Mediante Resolución No. SPDP-SPD-2025-0030-R, de 7 de agosto de 2025, la Superintendencia de Protección de Datos Personales (SPDP) expidió el Reglamento para la Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales. La norma desarrolla lineamientos para aplicar estas medidas de seguridad de forma coherente con el ciclo de vida del dato, y para garantizar el ejercicio de los derechos previstos en la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RGLOPDP).
El reglamento es de aplicación obligatoria para todos los integrantes del sistema de protección de datos personales. Define conceptos clave como seudonimización, anonimización, bloqueo, suspensión, eliminación y tecnología de mejora de privacidad, y exige que en su aplicación se observen los principios constitucionales, los tratados internacionales ratificados por Ecuador y la normativa vigente en materia de protección de datos.
Seudonimización
- Consiste en sustituir los datos personales por seudónimos, preservando la posibilidad de reidentificación solo bajo condiciones controladas y seguras.
- Requiere base legitimadora y análisis de riesgos previo para evitar la identificación directa del titular sin afectar la finalidad del tratamiento.
- Casos de uso: prestación de servicios o productos cuando no sea imprescindible conocer la identidad, procesos de investigación científica/histórica/estadística (incluido el ámbito sanitario) y auditorías internas, pruebas de sistemas o análisis de seguridad.
- Registro obligatorio de toda acción de reidentificación para garantizar seguridad jurídica y trazabilidad.
Anonimización
- Puede aplicarse a todas las categorías de datos personales. El proceso debe ser exhaustivo, eliminando cualquier atributo que pueda permitir la reidentificación, incluso combinando información con otras fuentes.
- Para datos personales sensibles se exige metodología de análisis y gestión de riesgos adaptada a la naturaleza de los datos, el estado de la técnica y el contexto del tratamiento.
- En datos de salud se prioriza esta medida siempre que sea posible, requiriendo autorización previa de la SPDP para su tratamiento.
- Los datos debidamente anonimizados pueden transferirse o comunicarse sin necesidad de consentimiento.
Bloqueo
- Procede una vez cumplida la finalidad del tratamiento, siempre que exista base legitimadora para conservar los datos por el plazo previsto en la ley.
- Los datos bloqueados deben mantenerse de forma segura, con acceso limitado y restringido, pudiendo servir como respaldo.
- La decisión de bloquear dependerá de una evaluación de riesgos y de la necesidad de conservarlos para otras finalidades legítimas.
Suspensión
- Derecho aplicable a cualquier tratamiento de datos, sujeto a los requisitos de la LOPDP.
- El titular puede solicitar la suspensión temporal; el responsable debe ejecutarla en un plazo máximo de tres (3) días.
- Si el tratamiento fue encargado, el responsable debe notificar al encargado, quien está obligado a suspender en el mismo plazo desde la notificación.
- Excepciones para continuar el tratamiento pese a la suspensión: defensa de reclamaciones, protección de derechos de terceros tras un análisis de ponderación, razones de interés público previstas en norma con rango de ley y cumplimiento de obligaciones legales.
- En caso de revocatoria del consentimiento, el responsable debe cesar el tratamiento en un máximo de tres días.
Eliminación
- Aplica a todas las categorías de datos, incluidos datos de personas fallecidas (ejercido por sus herederos) y datos crediticios.
- El titular puede solicitar eliminación total o parcial; se exceptúa cuando exista base legitimadora para conservarlos.
- El responsable debe entregar al titular un documento que acredite la eliminación y detallar las medidas de seguridad aplicadas.
- Cuando el tratamiento fue encargado, el encargado debe entregar el mismo documento al responsable al finalizar la relación jurídica.
- El responsable debe notificar a encargados y terceros que hayan tratado esos datos, quienes deben eliminarlos en un plazo máximo de tres (3) días, salvo que cuenten con base legitimadora o vayan a tratarlos como nuevos responsables.
- Al finalizar la relación jurídica entre responsable y encargado, el encargado debe devolver o eliminar los datos en un plazo máximo de cinco (5) días y entregar documento que lo acredite.
- La SPDP podrá ordenar la eliminación como medida correctiva, sin perjuicio de imponer sanciones administrativas.
Cuadro comparativo de medidas y requisitos
A continuación, se presenta un cuadro comparativo que resume las características principales de cada medida regulada por la Resolución No. SPDP-SPD-2025-0030-R, incluyendo su definición, casos de aplicación y requisitos clave. Este esquema permite identificar de forma rápida las diferencias entre la seudonimización, anonimización, bloqueo, suspensión y eliminación, así como los procedimientos y condiciones que deben cumplirse en cada caso.
| Medida | Definición | Casos de aplicación | Requisitos |
|---|---|---|---|
| Seudonimización | Sustituye los datos por seudónimos, de manera que solo puedan reidentificarse bajo condiciones controladas y seguras. | Prestación de servicios sin necesidad de conocer la identidad del titularInvestigaciones científicas, históricas o estadísticas.Auditorías internas, pruebas de sistemas o análisis de seguridad. | Contar con base legitimadora.Realizar análisis de riesgos previo.Garantizar que no se afecte la finalidad del tratamiento.Registrar toda acción de reidentificación. |
| Anonimización | Proceso técnico que impide la identificación o reidentificación de una persona sin esfuerzos desproporcionados. | Aplicable a cualquier categoría de datos.Prioritaria para datos de salud, con autorización previa de la SPDP. | Proceso exhaustivo que elimine todo dato o atributo identificable.Realizar análisis y gestión de riesgos adaptado a la naturaleza y contexto del tratamiento.En datos de salud, obtener autorización previa de la SPDP.Si se realiza correctamente, no requiere consentimiento para transferir o comunicar datos. |
| Bloqueo | Inhabilita el acceso a datos personales, manteniéndolos de forma segura y con acceso restringido. | Cuando se haya cumplido la finalidad del tratamiento.Exista base legitimadora para conservarlos por el plazo legal. | Contar con base legitimadora.Garantizar conservación por el plazo previsto en la ley.Limitar el acceso y reforzar la seguridad.Realizar evaluación de riesgos antes de decidir el bloqueo. |
| Suspensión | Detiene temporalmente el tratamiento de datos personales a solicitud del titular, salvo excepciones previstas en la ley. | A solicitud del titular.En caso de revocatoria del consentimiento.Procede para cualquier tipo de tratamiento. | Ejecutar la suspensión en un máximo de 3 días.Notificar de inmediato al encargado del tratamiento para que también suspenda.Respetar principios de limitación, minimización y seguridad.Continuar el tratamiento solo en casos de defensa de derechos, interés público o cumplimiento de obligaciones legales. |
| Eliminación | Supresión definitiva de los datos personales para que no sean accesibles ni recuperables. | A solicitud del titular.Incluye datos de personas fallecidas y datos crediticios.Puede ser total o parcial. | Emitir documento que acredite la eliminación y las medidas aplicadas.Notificar a encargados y terceros que hayan tratado esos datos.Cumplir plazos máximos: 3 días para encargados/terceros y 5 días al finalizar una relación jurídica.Aplicar excepciones legales cuando exista base legitimadora para conservarlos. |
Disposición general y plazos
En un plazo máximo de seis (6) meses desde la publicación de esta resolución en el Registro Oficial, la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales deberá presentar para aprobación la Guía Técnica de Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación.
La resolución entró en vigencia desde su suscripción, sin perjuicio de su publicación en el Registro Oficial.
