Nueva norma general de la SPDP sobre transferencias y comunicaciones nacionales e internacionales de datos personales

Mediante Resolución No. SPDP-SPD-2026-0004-R, de 28 de enero de 2026, la Superintendencia de Protección de Datos Personales del Ecuador expidió la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales. Esta resolución constituye uno de los desarrollos reglamentarios más relevantes del sistema ecuatoriano de protección de datos personales, al establecer un marco exhaustivo, técnico y procedimental para la circulación de datos dentro y fuera del país.

Objeto, alcance y sujetos obligados

La norma tiene por objeto regular los procedimientos y los requisitos jurídicos y técnicos que deben observarse en toda transferencia o comunicación de datos personales, con el fin de garantizar el ejercicio efectivo de los derechos de los titulares.

Su cumplimiento es obligatorio para:

  • Los responsables del tratamiento que realicen transferencias o comunicaciones de datos personales, ya sean nacionales o internacionales.
  • Los encargados del tratamiento que, por cuenta del responsable, participen en dichas operaciones, incluso cuando estas se ejecuten fuera del territorio ecuatoriano.

La resolución aclara además el concepto de flujo transfronterizo de datos personales, entendido como toda transferencia o comunicación internacional a un destinatario ubicado en un país distinto al de origen de los datos, independientemente del soporte, medio o tecnología utilizada, cuando se realice en el marco de organismos internacionales de integración supranacional.

Obligaciones generales aplicables a toda transferencia

La norma establece deberes transversales que rigen cualquier transferencia o comunicación de datos personales, entre los que destacan:

  • La obligación de conservar por al menos tres (3) años toda la documentación que respalde la legalidad de la transferencia, incluidos contratos, evaluaciones de impacto, análisis de riesgos y medidas de seguridad.
  • El deber permanente de garantizar el derecho a la información de los titulares, conforme a la LOPDP.
  • La implementación obligatoria de medidas técnicas, organizativas, administrativas y jurídicas que aseguren la confidencialidad, integridad y disponibilidad de los datos personales transferidos.

Transferencias o comunicaciones nacionales de datos personales

En el ámbito nacional, la resolución dispone que las transferencias a terceros solo serán lícitas cuando concurran de forma concurrente:

  • Una finalidad lícita, legítima y determinada, vinculada a las funciones del responsable y del tercero destinatario.
  • Una base de legitimación válida, conforme a la LOPDP.
  • El consentimiento informado del titular, salvo que se configure una de las excepciones legales.

Se regula además el régimen jurídico del destinatario, quien adquiere la calidad de responsable del tratamiento, quedando obligado a:

  • Respetar estrictamente las finalidades declaradas.
  • Aplicar íntegramente la normativa ecuatoriana de protección de datos.
  • Atender directamente los derechos de los titulares o cooperar con el responsable que realizó la transferencia.
  • Abstenerse de realizar transferencias ulteriores sin legitimación adecuada.

Estructura del régimen de transferencias internacionales

La resolución diseña un sistema escalonado para las transferencias o comunicaciones internacionales, en función del nivel de protección del país o destinatario de destino.

Se establece un procedimiento detallado para el reconocimiento del nivel adecuado de protección, que puede iniciarse:

  • A petición de parte, o
  • De oficio por la SPDP.

El reconocimiento se fundamenta en un análisis técnico integral que considera, entre otros aspectos, la legislación del país de destino, sus mecanismos de tutela de derechos, la existencia de una autoridad de control independiente y los compromisos internacionales asumidos. Las resoluciones de adecuación tienen una vigencia máxima de cuatro (4) años, están sujetas a revisión anual y pueden ser modificadas o revocadas si cambian las condiciones que las motivaron.

Transferencias basadas en garantías adecuadas

Cuando no exista nivel adecuado, las transferencias solo podrán realizarse si se implementan garantías adecuadas, entre las que la norma reconoce expresamente:

  • Cláusulas contractuales tipo.
  • Normas corporativas vinculantes.
  • Códigos de conducta aprobados.
  • Mecanismos de certificación reconocidos.

Estas garantías deben ser jurídicamente exigibles, asegurar el respeto de los principios de la LOPDP, reconocer los derechos de los titulares, prever mecanismos de supervisión y contemplar la aceptación expresa de la jurisdicción ecuatoriana.

Autorizaciones excepcionales

En ausencia de nivel adecuado y de garantías adecuadas, la norma regula un procedimiento de autorización previa, de carácter excepcional, que exige:

  • Análisis de riesgos obligatorio.
  • Evaluación de impacto obligatoria en todos los casos.
  • Descripción detallada de las medidas de seguridad.
  • Instrumentos contractuales con sometimiento a la normativa y jurisdicción ecuatoriana.

Las autorizaciones tienen vigencia limitada, nunca indefinida, y están sujetas a revisión, suspensión o revocatoria por parte de la SPDP.

Normas corporativas vinculantes, códigos de conducta y certificación

La resolución dedica capítulos completos a desarrollar:

Capítulo / mecanismoObjeto¿Quién lo utiliza?Rol de la SPDPEfectos principales
Normas corporativas vinculantesHabilitar transferencias o comunicaciones internacionales dentro de un mismo grupo empresarial o económico.Grupos empresariales que transfieren datos entre filiales, matrices o empresas vinculadas, responsables o encargados del tratamiento.Evalúa y aprueba las normas; supervisa su cumplimiento; puede suspenderlas o revocarlas; ejerce control y sanción.Permiten transferencias internacionales sin autorización caso por caso, mientras estén vigentes y aprobadas; generan obligaciones exigibles a todo el grupo.
Códigos de conductaEstablecer estándares sectoriales o de actividad para el tratamiento de datos y las transferencias internacionales.Asociaciones, gremios, cámaras, consorcios, grupos empresariales o entidades que representen a un sector específico.Evalúa, aprueba y registra los códigos; supervisa su aplicación; puede exigir auditorías, informes y actualizaciones.Funcionan como garantías adecuadas para transferencias internacionales y como marco común de cumplimiento sectorial.
CertificaciónAcreditar el cumplimiento de estándares de protección de datos en transferencias o comunicaciones.Responsables o encargados que participan en transferencias nacionales o internacionales.Reconoce la certificación como garantía adecuada; supervisa permanentemente a los certificados; coordina con organismos certificadores.Sirve como garantía adecuada para transferencias internacionales, sin eximir de las obligaciones legales ni del control de la SPDP.

Registro, transparencia y regímenes especiales

La norma regula de forma detallada el Registro Nacional de Transferencias Internacionales, distinguiendo entre:

  • Transferencias sujetas a inscripción individual, y
  • Transferencias sujetas a reporte agregado anual.

Asimismo, incorpora un régimen especial intra-CAN, por el cual las transferencias dentro de la Comunidad Andina se consideran realizadas hacia países con nivel adecuado de protección, sin perjuicio de controles posteriores.

Disposiciones transitorias y regularización

La resolución establece un régimen transitorio de regularización para transferencias internacionales realizadas antes de la vigencia de la LOPDP o de esta norma general. Durante un plazo de doce (12) meses, los responsables y encargados deberán notificar dichas transferencias y presentar un plan de adecuación, sin que se impongan sanciones si se cumplen las condiciones previstas.

Anexos de la resolución

La resolución cuenta con anexos que forman parte integrante de la norma, los cuales se enumeran a continuación, sin perjuicio de su contenido específico:

  • Anexo I: Cláusulas Contractuales Modelo-Tipo de la Red Iberoamericana de Protección de Datos Personales.
  • Anexo A: Formulario de adhesión de nuevas partes.
  • Anexo B: Descripción de la transferencia.
  • Anexo C: Medidas administrativas, físicas y técnicas para garantizar la seguridad de los datos.
  • Anexo D: Documentación legal adicional (ej.: avisos de privacidad o políticas de privacidad).

Resumen del régimen de transferencias internacionales de datos personales

Nivel del régimen¿Cuándo aplica?Mecanismo habilitanteIntervención de la SPDPVigencia / control
Nivel adecuado de protecciónCuando el país, organización internacional, persona jurídica o territorio económico internacional ofrece un nivel de protección equivalente o superior al ecuatoriano.Resolución de reconocimiento de nivel adecuado de protección.Reconocimiento de oficio o a petición de parte; evaluación técnica integral; inscripción en el Registro Nacional de Protección de Datos.Vigencia máxima de 4 años; revisión anual obligatoria; posibilidad de modificación, suspensión o revocatoria.
Régimen especial intra-CANTransferencias o comunicaciones dentro de la Comunidad Andina.Reconocimiento automático por mandato comunitario (Decisión CAN).Control posterior o ex post facto; verificación en caso de deficiencias graves.Revisión periódica; posible activación de procedimiento de evaluación si se detectan incumplimientos.
Garantías adecuadasCuando no existe nivel adecuado de protección reconocido.Cláusulas contractuales tipo; normas corporativas vinculantes; códigos de conducta aprobados; certificaciones reconocidas.Aprobación, reconocimiento, supervisión, suspensión o revocatoria de la garantía correspondiente.Vigencia sujeta al instrumento utilizado; control permanente y posibilidad de suspensión o revocatoria.
Autorización excepcionalCuando no existe nivel adecuado ni garantías adecuadas disponibles.Resolución de autorización previa para un caso concreto.Evaluación integral de la solicitud; análisis de riesgos y evaluación de impacto obligatorios; resolución expresa.Vigencia limitada (máx. 1 año); revisión, suspensión o revocatoria en cualquier momento.
Regularización transitoriaTransferencias realizadas antes de la vigencia de la LOPDP o de la norma general.Notificación y plan de adecuación.Recepción y análisis técnico; control posterior si se identifican riesgos.Plazo de 12 meses; sin sanciones si se cumple el proceso; luego aplica el régimen ordinario.

Entrada en vigencia

La Resolución No. SPDP-SPD-2026-0004-R entrará en vigencia a partir de su publicación en el Registro Oficial, y fue dada y firmada en Quito, Distrito Metropolitano, el 28 de enero de 2026.

Suscríbete a nuestro boletín semanal para recibir noticias de actualidad legal:
Suscribirse
Conectemos en:

02.02.2026

BLOG & NOTICIAS

Lo más reciente.

04.05.2026

Estado de excepción: medidas vigentes en nueve provincias y cuatro cantones

27.04.2026

La Corte Constitucional declara la inconstitucionalidad aditiva de la reiteración como elemento configurador del acoso laboral

27.04.2026

Subpartidas excluidas de la tasa de control aduanero del 100% para importaciones desde Colombia

27.04.2026

Recordatorio: presentación de declaración patrimonial 2026

Home

La Firma

Equipo de Trabajo

Servicios

Publicaciones

Contacto