En Ecuador, mediante Resolución No. SPDP-SPD-2025-0005-R, de 30 de abril de 2025, la Superintendencia de Protección de Datos Personales expidió el Reglamento para la elaboración y aprobación del Plan Anual de Auditorías (PAA). Este instrumento establece los lineamientos, responsabilidades y procedimientos que debe seguir la Intendencia General de Control y Sanción (ICS) para planificar las auditorías anuales a los sujetos que realizan tratamiento de datos personales.
Objeto y ámbito de aplicación
El reglamento es de cumplimiento obligatorio para la ICS, en atención a las facultades de control y supervisión que le han sido delegadas. Define a la auditoría como un proceso técnico y jurídico, sistemático y documentado, mediante el cual se evalúa el cumplimiento de los administrados con la Ley Orgánica de Protección de Datos Personales (LOPDP), su reglamento (RGLOPDP) y demás normativa aplicable.
Contenido mínimo del PAA
El Plan Anual de Auditorías deberá elaborarse cada año a partir del primer día laborable de junio, correspondiente al ejercicio fiscal siguiente. El contenido mínimo que debe incluir es el siguiente:
- Datos generales del plan: Nombre de la autoridad competente, ejercicio fiscal aplicable, responsables de elaboración y aprobación, y fechas de emisión.
- Introducción: Antecedentes, marco legal y alineación con la misión, visión y objetivos estratégicos de la SPDP.
- Desarrollo: Alcance, metodología, objetivos generales y específicos, criterios de auditoría, programación de actividades, recursos disponibles e indicadores de seguimiento.
- Conclusiones, recomendaciones y anexos.
La propuesta del PAA debe ser remitida al Superintendente o su delegado hasta el último día laborable de agosto. Este deberá aprobarla o formular observaciones antes de la segunda semana de septiembre. En caso de devoluciones, la ICS tiene un plazo máximo de quince días para subsanar y reenviar la propuesta.
Criterios para la selección de sectores auditados
El reglamento establece que la selección de sectores y sujetos auditados debe basarse en criterios objetivos, entre los cuales se destacan:
- Alcance, impacto y riesgo del tratamiento de datos en los derechos de los titulares.
- Volumen, sensibilidad o categoría especial de los datos.
- Vulnerabilidad de los titulares.
- Cantidad y gravedad de denuncias.
- Innovaciones tecnológicas utilizadas.
- Recursos disponibles para auditorías.
- Cantidad y gravedad de vulneraciones reportadas.
Publicación del Boletín Informativo de Auditorías Anuales
Una vez aprobado el PAA, la ICS debe elaborar un Boletín Informativo de Auditorías Anuales, que será publicado en la página web institucional, cumpliendo con el principio de transparencia. Este boletín contendrá información básica del plan aprobado y de los sectores auditados, y deberá permanecer disponible durante todo el ejercicio fiscal correspondiente. La web institucional también deberá mantener un archivo histórico de boletines anteriores.
En caso de modificaciones al PAA (por ejemplo, cambios de ejercicio fiscal o sectores auditados), se deberá elaborar un nuevo boletín que justifique los cambios introducidos.
Disposiciones generales y transitorias
- Para el ejercicio 2025, el PAA no se sujetará al procedimiento del reglamento, ya que la SPDP inició sus funciones en septiembre de 2024. En este caso, el plan será elaborado directamente con base en un informe técnico de la ICS y aprobado por el Superintendente.
- A partir del ejercicio 2026, se incorporará un nuevo reglamento específico que regulará el procedimiento de auditoría, incluyendo mecanismos de retroalimentación para evaluar su eficacia y realizar mejoras continuas.
Entrada en vigencia
La resolución entró en vigencia desde su suscripción, sin perjuicio de su publicación en el Registro Oficial.
