Mediante Resolución No. SPDP‑SPD‑2026‑0009‑R, la Superintendencia de Protección de Datos Personales (SPDP) expidió la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial (IA). Esta norma desarrolla obligaciones específicas para responsables y encargados del tratamiento que desarrollen, implementen, desplieguen o provean sistemas de IA que procesen datos personales de titulares ecuatorianos, sin importar la ubicación del proveedor o de la infraestructura tecnológica.

Entre las obligaciones centrales, el reglamento dispone que los responsables y encargados deberán: (i) informar de forma clara sobre el tratamiento automatizado; (ii) realizar gestión de riesgos y evaluaciones de impacto; (iii) implementar medidas de seguridad administrativas, técnicas, organizativas y jurídicas basadas en la naturaleza del tratamiento; (iv) registrar en el Registro de Actividades de Tratamiento (RAT) los tratamientos y decisiones automatizadas; y (v) ejecutar auditorías periódicas sobre el funcionamiento del sistema de IA.

La norma confirma que la SPDP podrá auditar los sistemas de IA, emitir medidas correctivas y aplicar medidas cautelares del Código Orgánico Administrativo cuando el tratamiento sea incompatible con los principios y obligaciones de la LOPDP. Adicionalmente, regula la obligación de eliminar, bloquear o anonimizar datos una vez cumplida la finalidad asociada al uso de IA, salvo excepciones legales.