Resolución No SPDP-SPDP-2024-002-R: Apoderados Especiales en Ecuador

Juan Carlos Urquiza LarcoJuan Carlos Urquiza Larco
4 min read

La Resolución No SPDP-SPDP-2024-002-R, emitida por la Superintendencia de Protección de Datos Personales (SPDP) de Ecuador, introduce nuevas medidas que refuerzan el marco normativo de protección de los datos personales en el país. Esta resolución se centra principalmente en la obligación de entidades extranjeras que procesan datos de ciudadanos ecuatorianos de designar un apoderado especial en Ecuador.

¿A quién está dirigida la resolución?

La resolución está dirigida a entidades extranjeras que tratan datos personales de ciudadanos ecuatorianos, ya sea porque:

  • Ofrecen bienes o servicios a residentes de Ecuador, independientemente de si estos servicios son gratuitos o pagos.

  • Monitorean el comportamiento de los ciudadanos ecuatorianos, ya sea de forma presencial, virtual o remota, dentro del territorio nacional.

  • Forman parte del sistema de protección de datos en Ecuador, sometiéndose a las regulaciones locales.

Obligaciones clave para las empresas extranjeras

Para cumplir con las disposiciones de la resolución, las entidades extranjeras deben cumplir con varias obligaciones importantes, siendo la designación de un apoderado especial en Ecuador una de las principales. Este apoderado actuará en representación de la entidad extranjera ante las autoridades ecuatorianas en cualquier asunto relacionado con la protección de datos personales, tanto en instancias judiciales como administrativas.

Requisitos del apoderado especial:

  1. Debe ser una persona natural o jurídica: El apoderado especial puede ser un ciudadano ecuatoriano o un extranjero residente en Ecuador, o una persona jurídica que esté legalmente habilitada para actuar como mandatario.

  2. Poderes amplios: El apoderado debe contar con poderes suficientes y sin limitaciones que puedan comprometer los derechos de los titulares de los datos personales.

  3. Registro obligatorio: El apoderado debe ser registrado ante la SPDP, presentando un documento de poder que debe estar legalizado o apostillado si fue otorgado fuera de Ecuador y traducido al español si está en otro idioma.

Proceso de registro y supervisión

Una vez designado, el apoderado especial debe cumplir con un registro obligatorio ante la SPDP, lo cual requiere que el poder otorgado cumpla con las formalidades legales establecidas. La SPDP evaluará la suficiencia de dicho poder y, en caso de que no cumpla con los requisitos, la entidad extranjera tendrá 15 días para subsanar cualquier observación.

Este registro estará disponible en línea para que los ciudadanos ecuatorianos puedan consultar quiénes son los responsables de sus datos personales y ejercer sus derechos de manera efectiva.

Otras obligaciones para las empresas extranjeras

Además de la designación del apoderado, las entidades extranjeras responsables del tratamiento de datos personales deben cumplir con los siguientes requisitos adicionales:

  1. Acuerdos de corresponsabilidad o de encargo en el tratamiento de los datos personales.

  2. Registro de las actividades de tratamiento de datos personales.

  3. Análisis de riesgos relacionados con el tratamiento de datos.

  4. El flujo de datos personales que realicen por cada tratamiento.

  5. Medidas de seguridad implementadas para garantizar la comunicación y transferencia seguras de datos personales.

  6. Códigos de autorregulación, si existen, deben ser aprobados por la SPDP.

Plazos y sanciones

Las entidades extranjeras que ya están operando en Ecuador deberán cumplir con esta resolución en un plazo máximo de seis meses desde su publicación en el Registro Oficial. Sin embargo, la SPDP se reserva el derecho de aplicar medidas correctivas inmediatas si detecta infracciones a los derechos de los titulares de los datos.

El incumplimiento de esta resolución puede acarrear sanciones administrativas, que van desde advertencias hasta multas, dependiendo de la gravedad de la infracción y el impacto sobre los derechos de los ciudadanos.

Cambios en el apoderado especial

El registro del apoderado especial debe ser actualizado en casos como el fallecimiento o renuncia del apoderado, vencimiento del poder, o cambios en la estructura corporativa de la entidad designada. El apoderado seguirá siendo responsable ante la SPDP hasta que se actualice el registro.

Objetivo de la resolución

El objetivo principal de la Resolución No SPDP-SPDP-2024-002-R es fortalecer la protección de los datos personales en Ecuador al garantizar que las empresas extranjeras que traten datos de ciudadanos ecuatorianos cumplan con las leyes locales y respeten los derechos de los titulares de los datos. Con esta normativa, la SPDP busca aumentar la transparencia y garantizar que los ciudadanos ecuatorianos tengan mecanismos efectivos para proteger su información personal, incluso cuando esta sea procesada por entidades fuera del país.

Conclusión

La Resolución No SPDP-SPDP-2024-002-R marca un hito en la protección de los datos personales en Ecuador, especialmente en un contexto de globalización digital donde las empresas extranjeras juegan un rol clave. Esta regulación no solo refuerza el marco legal del país, sino que también asegura que los ciudadanos ecuatorianos tengan mayor control y protección sobre su información personal en un entorno globalizado.

1
Subscribe to my newsletter

Read articles from Juan Carlos Urquiza Larco directly inside your inbox. Subscribe to the newsletter, and don't miss out.

legalDatabases#cybersecurity

Written by

Juan Carlos Urquiza Larco
Juan Carlos Urquiza Larco

Soy un profesional apasionado por la protección de datos y el cumplimiento normativo, con una sólida formación en Derecho por la Universidad Internacional del Ecuador y certificaciones especializadas en la implementación de la privacidad como DPO según el RGPD. Mi experiencia como consultor en GRC me ha permitido diseñar soluciones innovadoras y estratégicas para proteger activos digitales y garantizar el cumplimiento de normativas en diversos sectores. A lo largo de mi trayectoria, he liderado proyectos clave donde he implementado exitosamente sistemas de gobernanza y gestión de riesgos que fortalecen la seguridad y confianza de las operaciones empresariales. Además, he trabajado en el diseño de estrategias de ciberseguridad, protegiendo la infraestructura digital de múltiples organizaciones. Mi enfoque se centra en combinar el conocimiento legal con la tecnología, asegurando que las soluciones que desarrollo no solo cumplan con la normativa vigente, sino que también sean sostenibles y escalables en un entorno empresarial dinámico. Como Delegado de Protección de Datos Personales y consultor en privacidad, me comprometo a mantener la integridad y confidencialidad de la información en todas las áreas donde opero. ¡Estoy aquí para impulsar el cambio y la innovación en el ámbito de la privacidad y el cumplimiento normativo!