Por: Susana Recalde
Mediante Resolución No. SPDP-SPD-2026-0005-R, de 2 de febrero de 2026, la Superintendencia de Protección de Datos Personales (SPDP) expidió la Norma General sobre el Tratamiento de Datos Personales a Gran Escala, cuyo objeto es fortalecer la protección de los derechos de las personas frente al uso masivo de su información personal y establecer definiciones y criterios claros para que las entidades públicas y privadas identifiquen, gestionen y controlen este tipo de tratamientos.
Criterios para determinar el tratamiento a gran escala
La norma incorpora un Modelo Técnico de Gran Escala (MTGE), que permite calificar un tratamiento como “a gran escala” a partir de seis criterios, a los que se asigna un puntaje específico:
| Criterio | Rango o condición | Puntaje |
|---|---|---|
| Número de titulares en doce (12) meses por tratamiento | De 0 a 1.000 titulares | 1 punto |
| De 1.001 a 10.000 titulares | 2 puntos | |
| De 10.001 a 100.000 titulares | 3 puntos | |
| De 100.001 o más titulares | 4 puntos | |
| Volumen de datos personales tratados | Hasta 10 tipos de datos por titular | 0,5 puntos |
| Entre 11 y 30 tipos de datos por titular | 1 punto | |
| Entre 31 y 100 tipos de datos por titular | 2 puntos | |
| 101 o más tipos de datos por titular | 3 puntos | |
| Categorías de datos personales tratados | Únicamente datos básicos (no categorías especiales) | 0,5 puntos |
| Incluye una categoría especial de datos | 2 puntos | |
| Incluye más de una categoría especial, datos de grupos vulnerables o datos de naturaleza penal o infracciones | 3 puntos | |
| Frecuencia del tratamiento | Tratamiento puntual | 0,5 puntos |
| Tratamiento periódico o recurrente | 1 punto | |
| Tratamiento continuo o en tiempo real | 2 puntos | |
| Permanencia del tratamiento | Tratamiento ocasional | 0,5 puntos |
| Tratamiento temporal | 1 punto | |
| Tratamiento prolongado | 2 puntos | |
| Alcance geográfico del tratamiento | Alcance local | 1 punto |
| Alcance nacional | 2 puntos | |
| Alcance global o transfronterizo | 3 puntos |
La calificación se obtiene sumando los puntos asignados en cada categoría. Cuando el resultado alcanza o supera los seis (6) puntos, el tratamiento se considera de gran escala y se activan obligaciones reforzadas de cumplimiento.
Supuestos de calificación directa obligatoria
La resolución también prevé supuestos en los que el tratamiento se considera de gran escala de forma directa, sin necesidad de aplicar el modelo de puntaje. Entre estos se incluyen, entre otros, tratamientos de datos de salud, datos biométricos, geolocalización, videovigilancia en espacios públicos, perfilamiento automatizado, información crediticia, datos de niñas, niños y adolescentes, transferencias sistemáticas de datos y servicios de mensajería acelerada o courier.
Obligaciones asociadas al tratamiento a gran escala
Cuando un tratamiento es calificado como de gran escala, los responsables y encargados deberán cumplir, entre otras, con las siguientes obligaciones:
- Mantener actualizado el Registro de Actividades de Tratamiento (RAT).
- Realizar evaluaciones de impacto en protección de datos personales.
- Designar un Delegado de Protección de Datos.
- Aplicar los principios de privacidad desde el diseño y por defecto.
- Someterse a auditorías periódicas.
- Elaborar informes anuales de cumplimiento disponibles para la SPDP.
Plazo para la designación del delegado de protección de datos
La norma concede un plazo de noventa (90) días para que quienes identifiquen que realizan tratamientos de datos personales a gran escala designen y registren a su Delegado de Protección de Datos, salvo en los casos en los que esta obligación ya se encontraba vigente conforme al Reglamento General de la Ley Orgánica de Protección de Datos Personales.
Con esta regulación, la SPDP busca establecer un marco técnico y jurídico más claro para el tratamiento masivo de datos personales, alineando el desarrollo de la economía digital con estándares internacionales y buenas prácticas en materia de protección de la privacidad.
