Mediante Resolución No. SPDP-SPD-2025-0006-R, de 30 de abril de 2025, la Superintendencia de Protección de Datos Personales expidió el Reglamento que establece la obligación de incorporar cláusulas de protección de datos personales en los contratos celebrados dentro del territorio de la República del Ecuador. Esta norma tiene como objetivo asegurar que las relaciones jurídico-contractuales contemplen expresamente las obligaciones, principios y derechos previstos en la Ley Orgánica de Protección de Datos Personales (LOPDP).

Obligación contractual y finalidad de las cláusulas

Según el reglamento, todos los contratos que impliquen tratamiento de datos personales deben contener cláusulas específicas que:

• Reflejen el respeto a los principios de licitud, transparencia, seguridad y finalidad.
• Establezcan garantías frente a los riesgos del tratamiento.
• Aseguren el cumplimiento normativo como parte del sistema de gestión de cumplimiento y análisis de riesgos.
• Brinden seguridad jurídica a los titulares de los datos.

La inclusión de estas cláusulas no es opcional: se trata de un requisito obligatorio para todos los actores que participan en el ecosistema de protección de datos personales, conforme al artículo 5 de la LOPDP.

Definición y requisitos de las cláusulas

El reglamento define las cláusulas de protección de datos personales como textos contractuales sugeridos —que no equivalen a cláusulas tipo ni son de uso obligatorio en su redacción exacta—, pero que sí deben incorporar un contenido mínimo esencial.

Se establecen, además, doce defectos que las cláusulas deben evitar absolutamente:

1. Ambigüedad o vaguedad.
2. Finalidades no legítimas del tratamiento.
3. Falta de base de legitimación.
4. Falta de transparencia sobre el responsable, las finalidades o los derechos.
5. Omisión de la responsabilidad en la implementación de medidas de seguridad.
6. Exceso en la recolección de datos.
7. Restricción indebida de los derechos de los titulares.
8. Transferencias de datos sin control o información suficiente.
9. Exoneraciones excesivas de responsabilidad.
10. Ausencia de plazo de conservación de datos.
11. Cualquier disposición que permita tratamientos ilícitos o viole derechos.
12. Cualesquiera otros defectos contrarios a la normativa vigente.

Estas reglas aplican tanto para contratos entre responsables y titulares, como entre responsables y encargados, responsables y destinatarios, o entre responsables conjuntos.

Anexo con modelos referenciales

El reglamento incluye un Anexo I de carácter referencial y no obligatorio, que ofrece modelos de cláusulas redactadas conforme a la normativa ecuatoriana. Este anexo sirve como guía para estandarizar las disposiciones contractuales mínimas requeridas en función del tipo de relación entre las partes. Los modelos disponibles son:

1. Modelo de cláusula entre responsable y titular.
2. Modelo de cláusula entre responsable y encargado del tratamiento.
3. Modelo de cláusula entre responsable y destinatario.
4. Modelo de cláusula entre responsables conjuntos.

Aunque su uso no es obligatorio, estos modelos pueden ser actualizados por la SPDP mediante resolución motivada, sustentada en informes técnicos y jurídicos. Las actualizaciones deberán ser publicadas en el Registro Oficial y en los portales institucionales correspondientes.

Entrada en vigencia

La resolución entró en vigencia desde su suscripción, sin perjuicio de su publicación en el Registro Oficial.

---

Suscríbete a nuestro boletín semanal para recibir noticias de actualidad legal:

Conectemos en:

• LinkedIn
• Instagram
• X
• Mail