Mediante Resolución No. SPDP-SPD-2025-0041-R, de 7 de noviembre de 2025, la Superintendencia de Protección de Datos Personales expidió la “Normativa general para la aplicación del interés legítimo como base de legitimación para el tratamiento de datos personales dentro del territorio de la República del Ecuador”.
Objeto y ámbito de aplicación
- La normativa precisa el alcance del interés legítimo como base de legitimación, conforme a la LOPDP, su reglamento (RGLOPDP) y los criterios técnicos de la SPDP.
- Su cumplimiento es obligatorio para los responsables que apliquen interés legítimo.
- La base de legitimación por interés legítimo solo podrá usarse en el sector privado.
Definiciones clave
- Interés legítimo: Permite tratar datos sin consentimiento cuando prevalecen los derechos y libertades del titular.
- Evaluación de ponderación: Análisis motivado y documentado que justifica el tratamiento basado en interés legítimo y garantiza principios y derechos del titular.
Requisitos del interés legítimo
- Lícito: No puede perseguir fines prohibidos ni justificar incumplimientos legales.
- Real y concreto: Debe ser específico, actual y comprobable; no admite hipótesis o suposiciones.
- Proporcional: El uso de datos debe ser adecuado, necesario, oportuno, relevante y no excesivo frente a los derechos del titular.
- Compatible con las expectativas razonables: Debe informarse de forma clara, diferenciada y en español, antes de ejecutar el tratamiento; cualquier cambio de finalidad requiere información previa al titular.
Evaluación de ponderación (obligatoria y previa)
- Todo tratamiento fundado en interés legítimo exige evaluación de ponderación previa, motivada, documentada y disponible para la SPDP y el titular.
- Se admite, excepcionalmente, evaluación simplificada solo para tratamientos recurrentes u homogéneos de bajo riesgo, mediante plantillas internas con parámetros mínimos del Anexo 1.
- Aplicar evaluación simplificada a tratamientos de riesgo medio, alto o crítico constituye infracción grave sancionable con la sanción más alta del régimen vigente.
- El responsable debe demostrar con evidencias el cumplimiento de los principios de la LOPDP y que el resultado de la ponderación garantiza los derechos y libertades del titular; en caso de duda, prevalecen los derechos del titular.
Contenido mínimo de la evaluación
- Idoneidad del interés: Descripción del interés lícito, concreto, real, proporcional y vinculado a una finalidad determinada.
- Necesidad: Explicación de por qué el tratamiento es indispensable y por qué no existe una alternativa menos invasiva.
- Ponderación: Análisis de naturaleza de datos (incluidas categorías especiales), categorías de titulares (con salvaguardas reforzadas para NNA), contexto y expectativas razonables, volumen y transferencias (incluidas internacionales), y gestión de riesgos con medidas de mitigación.
- Resultado: Justificación documentada de la admisibilidad y proporcionalidad.
- Debe seguirse la Metodología del Anexo 1 o una equivalente técnicamente justificable y trazable.
- El Anexo 1 establece criterios mínimos para la evaluación de ponderación y puede sustituirse por metodologías equivalentes si se justifica técnicamente y se documenta su trazabilidad.
- La omisión de la evaluación es infracción grave.
Transparencia, acceso y conservación
- La evaluación debe mantenerse disponible en formato físico y electrónico para la SPDP y para el titular, en lenguaje claro, sencillo y en español (resguardando información reservada o secretos comerciales para el titular; versión íntegra siempre disponible para la SPDP).
- El responsable debe llevar registro ordenado, accesible y actualizado de todas las evaluaciones.
- La evaluación debe revisarse y actualizarse obligatoriamente cada año desde el último registro, y en todo caso pierde vigencia si cambian finalidad, categoría de datos, tipo de titulares o riesgos.
Supuestos admisibles (condicionados a la ponderación)
| Supuesto admisible | Condiciones principales |
|---|---|
| Mercadotecnia directa | No debe afectar derechos y libertades. No pueden usarse datos de NNA ni datos sensibles. Dirigida a titulares con relación contractual previa o expectativa razonable de contacto. Se admite segmentación y perfiles sin efectos jurídicos significativos ni afectaciones graves. Debe ofrecerse un mecanismo visible, gratuito y eficaz de oposición con atención inmediata. |
| Prevención, detección y reporte de fraudes, lavado y delitos conexos | Tratamiento limitado a datos estrictamente necesarios para identificar, analizar o reportar operaciones sospechosas. Conservación de listas de bloqueo y evidencias solo por el tiempo estrictamente necesario. En datos crediticios, se aplica la LOPDP y normativa sectorial. |
| Comunicación interna en grupos empresariales | Debe acreditarse el grupo (actos societarios, certificaciones, declaración del representante, etc.). Finalidad limitada a gestiones internas legítimas (auditoría, control, servicios compartidos, gestión financiera o administrativa). Transferencias internacionales sujetas a adecuación o garantías adecuadas. Debe garantizarse transparencia al titular (finalidades, responsables, medidas de seguridad, canales de derechos). |
| Seguridad de redes y sistemas TIC | Deben existir controles técnicos y organizativos proporcionales al riesgo. Incorporar privacidad por diseño y por defecto, y tecnologías de mejora de privacidad (PETs). Sustentarse en protocolos de ciberseguridad (gestión de incidentes, continuidad operativa, controles de acceso, detección, prevención y respuesta). |
| Videovigilancia | Finalidad de seguridad de personas, bienes o instalaciones, con respeto a principios de necesidad y proporcionalidad. Prohibida en zonas que vulneren la intimidad (baños, vestidores, lactarios, comedores, etc.). Prohibida la grabación de audio con fines de supervisión, control de desempeño o captación de conversaciones privadas o sensibles. |
Prohibiciones y límites
| Prohibición o límite | Descripción |
|---|---|
| Datos sensibles | No procede aplicar el interés legítimo para el tratamiento de datos sensibles. |
| Categorías especiales de datos | Solo se admite si el tratamiento es estrictamente indispensable, la evaluación de ponderación garantiza los derechos y libertades del titular, y se aplican medidas reforzadas de seguridad y protección. |
| Perfiles totalmente automatizados | No procede cuando produzcan efectos jurídicos significativos o afecten gravemente los derechos de los titulares. Excepción: sectores financiero, bancario y de seguros, si existe transparencia, derecho de oposición y revisión humana bajo supervisión de autoridad competente. |
| Datos de niñas, niños y adolescentes (NNA) | Solo se admite si existe una justificación expresa vinculada al interés superior del niño, respaldada en la evaluación de ponderación o de impacto, con medidas reforzadas de protección. |
| Tratamientos masivos o reutilización de datos | Prohibido cuando la nueva finalidad sea incompatible con la finalidad original, salvo lo previsto para mercadotecnia directa. |
Derechos del titular
- El titular puede oponerse en todo momento; el responsable debe atender la oposición y/o suspensión de manera inmediata, según LOPDP y RGLOPDP.
- Toda información sobre tratamientos basados en interés legítimo debe estar en lenguaje claro, accesible, sencillo y en español.
Vigencia
La resolución rige desde su suscripción (7 de noviembre de 2025), sin perjuicio de su posterior publicación en el Registro Oficial.
