{_legathea} News

4 Años de la LOPDP:
Un Hito y una Ruta de Excelencia para la Protección de Datos Personales en Ecuador

2 de junio de 2025

El pasado 29 de mayo, fueron cuatro años de la vigencia de la Ley Orgánica de Protección de Datos Personales (LOPDP) en nuestro país, lo que confirma un hito fundamental en la defensa de los derechos de privacidad y el impulso a la confianza digital.

Como consultor senior en protección de datos personales y comunicación estratégica de Legathea Consultores de 20 años de experiencia y acompañando a empresas en procesos de cumplimiento normativo, quiero compartir un análisis en el que trato de combinar rigor técnico, un justo reconocimiento a los esfuerzos realizados por la SPDP y una visión proactiva para el futuro.

Alcance de la Ley y sus avances al momento

Parte de su creación en 2021, sentando las bases para un marco normativo robusto, y que fue complementado por el Reglamento General expedido en 2023; definiendo los principios de licitud, minimización y responsabilidad proactiva, pilares esenciales para el tratamiento de datos personales.

A lo largo de estos cuatro años, la Superintendencia de Protección de Datos Personales (SPDP), han expedido resoluciones técnicas clave, como la Política de Privacidad y Protección de Datos Personales (Res. SPDP-2024-0019-R), el Plan Anual de Auditorías (Res. SPDP-2025-0005-R), el Reglamento de Cláusulas Mínimas para Contratos (Res. SPDP-2025-0006-R), entre otros.

Además, se han dado pasos firmes en la consolidación de la SPDP, como la autoridad de control, encargada de supervisar y garantizar la protección de datos personales; no obstante, uno de los principales puntos de debate, sigue siendo que el tratamiento de datos en Ecuador no cumple con la normativa básica ni se alinea con estándares internacionales, es decir, existen deficiencias estructurales y operativas graves en el cumplimiento de la ley. Denotando una alerta crítica para todas las organizaciones tanto públicas como privadas y, por extensión, para quienes pretendemos dar nuestro servicio como consultores y asesores especializados.

Ergo, es importante reconocer el excelente trabajo de quien conforman la SPDP, su esfuerzo es innegable, así como la correcta dirección de Fabrizio Peralta-Díaz.

Comunicación clara y prevención de rumores

El reto principal para quienes estamos involucrados de una u otra forma es sostener y amplificar estos avances de la Ley, siendo imprescindible:

  • Continuar con la correcta comunicación impulsada por al SPDP, de forma transparente.

  • Combatir rumores y desinformación que puedan debilitar la confianza, especialmente en torno a sanciones.

  • Mantener la coordinación con los sectores clave (público y privado) y con la sociedad civil.

  • Como consultores debemos aportar reforzando la concientización de la Ley por medio de capacitaciones tanto a organizaciones y colaboradores en las obligaciones y derechos de la LOPDP y su Reglamento y resoluciones; explicando claramente las diferencias entre la LOPDP y estándares internacionales (como ISO/IEC 27701, GDPR, entre otras.), destacando que la LOPDP es de cumplimiento obligatorio y no opcional.

  • Mantener una comunicación proactiva y técnica con las autoridades y organizaciones involucradas, exponiendo que la comunicación no es un lujo, es una herramienta estratégica para prevenir crisis reputacionales y garantizar los derechos de los titulares.

Diferencias entre el Sector Público y Sector Privado

El sector público ha avanzado en el cumplimiento de la Ley con la designación de Delegados de Protección de Datos Personales y la incorporación de cláusulas contractuales, mientras el sector privado todavía muestra rezagos preocupantes, pues muchas empresas privadas no han interiorizado la importancia de la LOPDP.

Es fundamental para el Sector Público, que comprendan que no se trata solo de evitar sanciones, sino de generar confianza, valor competitivo y reputacional.

Es también fundamental diferencias la LOPDP con Estándares Internacionales, aclarando que la LOPDP no es equivalente a las normas ISO (27001, 27701, 29001) ni al GDPR; y, que establece un marco jurídico nacional y obligatorio en Ecuador; mientras que las ISO y el GDPR son estándares y guías que pueden complementar y fortalecer el cumplimiento, pero sustituir a LOPDP.

Lo que, en contexto, marca la necesidad de una estrategia de cumplimiento integral que combine la normativa nacional y se complemente con estándares internacionales, pero siempre respetando las obligaciones locales definidas en la Ley y su Reglamento.

El Rol de Empresas Especialistas: Legathea como aliado Estratégico

Existen múltiples empresas y consultores que somos claves en este camino del cumplimiento normativa. Destaco que existen firmas como Legathea Consultores , cuya visión es legal y técnica, impulsando la competitividad a través de soluciones integradas en Legaltech, Ciberseguridad y Normativas Internacionales, con un enfoque sectorizado, ético y orientado a proteger datos y activos digitales; contando con expertos con profundo conocimiento técnico, jurídico y cultural, lo que permite a las organizaciones navegar de manera segura en la implementación de la LOPDP, complementando con Gobernanza de datos y Legaltech, especialmente en sectores donde la conciencia de riesgo aún es baja.

Conclusión

A cuatro años de la LOPDP, Ecuador ha sentado bases sólidas para la protección de datos personales y ha planteado el desafío de consolidar la cultura de protección de datos como un valor estratégico, no solo como un requisito normativo.

Felicito de manera personal y como parte de Legathea a las autoridades y a los equipos técnicos de la SPDP por estos avances. Confiamos en que vendrán mejoras continuas, siempre con el apoyo de profesionales y empresas especializadas como Legathea, ofreciendo a nuestros clientes un enfoque estratégico de maduración de la gestión de protección de datos.

Finalmente, debemos reforzar que la LOPDP, no se trata solo de evitar sanciones, sino de crear confianza digital y valor competitivo para las organizaciones.

¡Protejamos juntos el derecho a la privacidad y construyamos confianza digital!

Nuestra misión como Legathea es: “Brindar consultoría, formación y tecnología de excelencia para implementar normas de protección de datos, ciberseguridad y cumplimiento digital con enfoque legal, técnico y sostenible”.

#ProtecciónDeDatos #LOPDP #CulturaDeDatos #Privacidad #SeguridadDigital #Legathea #CumplimientoNormativo #ISO27001 #GDPR #AuditoríaDeDatos #GestiónDeRiesgos #Compliance #DataPrivacy #ConfianzaDigital #SPDP

Leonardo Arellano, CEO Legathea, Legaltech

WiDS Worldwide 2025:
Women in Data Science organizado por la Facultad de Sistemas de la EPN y la Sociedad Ecuatoriana de Estadística

8 de junio de 2025

Leonardo Arellano, CEO Legathea, Legaltech

El pasado 5 de junio, tuve el honor de participar en el evento WiDS Worldwide 2025, organizado por la Escuela Politécnica Nacional y la Sociedad Ecuatoriana de Estadística.

Mi ponencia, titulada “Gobernance 360”, abordó cómo la gobernanza de datos, la privacidad y la seguridad de la información son piezas clave para impulsar una ciencia de datos responsable, ética y sostenible.
Este evento fue un verdadero punto de encuentro para mujeres líderes en ciencia de datos, quienes compartieron valiosas historias y conocimientos. Mi reconocimiento especial para todas las expositoras Gabriela Mora V., Noelia Salomé Quishpe Zambrano, Mariela Zumba, Diana Vaca, Diana Martinez Mosquera, Noemi Fiallos y Stefanie Vásquez.
¡Compartir experiencias y conectar visiones es la mejor forma de construir el futuro con datos!
Igualmente, quiero extender mi gratitud a la Escuela Politécnica Nacional y la Facultad de Ingeniería de Sistemas EPN y de manera especial Cindy López por su cordial invitación a participar en este evento. Su apoyo fue fundamental para crear este espacio de aprendizaje e inspiración.

¡Sigamos inspirando e impulsando la equidad y la ética en el uso de datos!

#WiDSQuito2025 #WomenInDataScience #CienciaDeDatos #Gobernanza

Protección de Datos Personales e Inteligencia Estatal:
Compatibilidad entre la LOPDP y la Ley Orgánica de Inteligencia del Ecuador

15 de junio de 2025

Leonardo Arellano, CEO Legathea, Legaltech

La entrada en vigor de la Ley Orgánica de Inteligencia en 2025 ha reactivado el debate sobre la legitimidad del acceso estatal a datos personales frente a los derechos constitucionales a la intimidad, autodeterminación informativa y protección de datos.

Este artículo centra su atención en evaluar el grado de armonización o contradicción normativa existente entre dicho cuerpo legal y la Ley Orgánica de Protección de Datos Personales (LOPDP), vigente desde 2021, considerando los principios constitucionales y los estándares internacionales de privacidad.

Fundamento Constitucional y Marco General

La LOPDP se fundamenta en el artículo 66, numeral 19 de la Constitución de la República del Ecuador, que reconoce el derecho a la protección de datos personales como derecho fundamental. Por su parte, la Ley de Inteligencia se ampara en el artículo 147.17 CRE, que atribuye al Presidente de la República la dirección de la política de seguridad del Estado.

La tensión jurídica entre ambas normas radica en que el tratamiento de datos personales, incluso con autorización judicial, ya que no puede operar al margen de los principios constitucionales de legalidad, necesidad, proporcionalidad y control institucional.

Puntos Clave de la Ley Orgánica de Protección de Datos Personales (LOPDP)

  1. Reconocimiento Constitucional: Se amparada en el artículo 66, numeral 19 de la Constitución del Ecuador y garantiza el derecho a la protección de datos personales, incluyendo el acceso, decisión y protección sobre estos.

  2. Alcance y Aplicación: Cualquier tratamiento de datos, incluso por responsables o encargados fuera del país, si afecta a residentes ecuatorianos (Art. 3 LOPDP).

  3. Principios Rectores: Licitud, lealtad, transparencia, minimización de datos, exactitud, limitación de la finalidad, y responsabilidad proactiva.

  4. Consentimiento: Base legal central del tratamiento, con excepciones como interés público, mandato legal o ejecución de un contrato (Art. 7 LOPDP).

  5. Derechos de los Titulares: Acceso, rectificación, supresión, oposición, portabilidad, limitación del tratamiento.

  6. Evaluación de Impacto y Gestión de Riesgos: Obligatorias para tratamientos con alto riesgo (Art. 42 LOPDP; Art. 29-32 del Reglamento). Fundamentadas en el estándar ISO/IEC 27005:2022.

  7. Régimen Sancionador: Establece infracciones leves, graves y muy graves, con multas proporcionales y medidas correctivas.

Puntos Clave de la Ley Orgánica de Inteligencia (2025)

  1. Objetivo y Ámbito: Reglamentar las actividades de inteligencia y contrainteligencia del Estado ecuatoriano, enfocadas en la soberanía, defensa, seguridad pública y orden interno.

  2. Organismos: Establece un Sistema Nacional de Inteligencia coordinado por una entidad nacional, con participación de FF.AA., Policía Nacional y otros entes.

  3. Acceso a Información: Autoriza a organismos de inteligencia el acceso a datos e información, incluso de carácter personal, bajo control institucional y previa autorización judicial.

  4. Control y Fiscalización: Prevé un Consejo de Supervisión compuesto por representantes del Legislativo, Ejecutivo y otros entes, pero no detalla participación ciudadana ni control independiente.

  5. Limitaciones Ambiguas: Aunque incluye principios de proporcionalidad y necesidad, no establece estándares detallados para protección de datos, anonimización o minimización.

LOPDP vs Ley de Inteligencia (2025)

La tensión entre ambas leyes encuentra su eje en la ausencia de garantías procesales en la Ley de Inteligencia frente al robusto sistema de derechos consagrado por la LOPDP. Esta asimetría normativa podría generar conflictos de aplicación directa con el artículo 424 de la Constitución, que otorga supremacía a los tratados internacionales de derechos humanos ratificados por el Ecuador.

Análisis Jurídico del Alcance Legal

La LOPDP es de aplicación general a cualquier tratamiento de datos personales en territorio ecuatoriano, sea este realizado por entidades públicas o privadas. Su enfoque es integral, preventivo y basado en principios internacionales de protección de derechos fundamentales. En contraste, la Ley de Inteligencia no especifica su sujeción a la LOPDP ni contempla protocolos de evaluación de impacto ni garantías procesales para los titulares de los datos.

Esta omisión puede ser interpretada como un riesgo de inconstitucionalidad por vulnerar los artículos 11.8, 92 y 424 de la Constitución, así como el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos.

Derivaciones Normativas

a) Reforma a la Ley de Inteligencia:

  • Incluir referencia expresa a la sujeción a la LOPDP.

  • Incorporar principios de minimización, trazabilidad, retención y anonimización.

  • Prever la evaluación de impacto como requisito para tratamientos de alto riesgo.

b) Protocolos interinstitucionales:

  • Mecanismos de coordinación entre la SPDP y el Sistema Nacional de Inteligencia.

  • Procedimientos de control ex post con participación ciudadana y técnica.

c) Revisión Constitucional:

  • Posible requerimiento de control de constitucionalidad para disposiciones que contradigan derechos fundamentales.

Conclusión

La Ley Orgánica de Protección de Datos Personales y la Ley de Inteligencia pueden coexistir dentro del ordenamiento jurídico ecuatoriano; sin embargo, su armonización exige reformas puntuales que garanticen la supremacía constitucional, la protección efectiva de los derechos digitales y el respeto a los estándares internacionales. Ecuador, como un Estado moderno no puede entender la seguridad como sinónimo de opacidad. La inteligencia estatal, para ser legítima, debe operar con control democrático, legalidad sustantiva y trazabilidad institucional. La protección de datos personales no es una concesión: es una garantía esencial del estado de derecho en el siglo XXI.

Referencias Bibliográficas

  • Constitución de la República del Ecuador (2008)

  • Ley Orgánica de Protección de Datos Personales (Registro Oficial Suplemento N.º 459, 2021)

  • Reglamento General a la LOPDP (2023)

  • Ley Orgánica de Inteligencia (junio 2025)

  • Pacto Internacional de Derechos Civiles y Políticos (Art. 17)

  • Reglamento General de Protección de Datos (UE) (2016/679)

  • ISO/IEC 27001, ISO/IEC 27701, ISO/IEC 27005

Finalmente, desde Legathea Consultores, planteamos las siguientes preguntas a la Superintendencia de Protección de Datos Personales y al Superintendente de Protección de Datos Personales del Ecuador Fabrizio Peralta-Díaz

  1. ¿Plantea la SPDP una evaluación de compatibilidad legal entre la LOPDP y la nueva Ley Orgánica de Inteligencia (2025)?

  2. ¿Estarán formalmente sujetos los organismos de inteligencia del Estado al régimen de control y auditoría técnica de la SPDP?

  3. ¿Se han analizado mecanismos de coordinación interinstitucional para garantizar el cumplimiento de principios como necesidad, proporcionalidad y minimización?

  4. ¿La SPDP exigirá Evaluaciones de Impacto (EIPD) a las operaciones de tratamiento de datos realizadas por organismos de inteligencia?

  5. ¿Se contempla un protocolo especial para tratamientos que impliquen vigilancia masiva, monitoreo sistemático o uso de tecnologías intrusivas?

  6. ¿Considera la SPDP que el uso de datos personales por parte de organismos de inteligencia, aún con orden judicial, puede operar como excepción automática al consentimiento previsto en el Art. 7 de la LOPDP?

  7. ¿Cómo garantizará la SPDP la rendición de cuentas de organismos sujetos a reserva legal, sin vulnerar el principio de transparencia activa previsto en el Art. 12 de la LOPDP?

  8. ¿Se emitirán lineamientos técnicos para que las entidades públicas, incluyendo las de seguridad e inteligencia, implementen estándares internacionales como ISO/IEC 27001, 27701 y 27005?

  9. ¿Qué mecanismos de queja o denuncia puede activar un ciudadano que considere vulnerado su derecho a la protección de datos por parte de un organismo de inteligencia?

  10. ¿La SPDP considera necesaria una reforma a la Ley de Inteligencia para que se sujete expresamente al régimen de protección de datos y al control de la Superintendencia?

#ProtecciónDeDatos #LOPDP #InteligenciaEstatal #LegalTech #DerechoConstitucional #Cibesseguridad #ISO27701 #DataGovernance #GobernanzaDigital #ÉticaDigital #RGPD #Transparencia #SPDP

white and black labeled box
white and black labeled box

Noticias y eventos

Noticias Legathea

Publicaciones, fotografías y eventos de interés para la comunidad.

A wooden table topped with scrabble letters spelling news, trump
A wooden table topped with scrabble letters spelling news, trump
Eventos Institucionales

Cobertura de eventos importantes en nuestra comunidad local.

A modern news studio set is displayed.
A modern news studio set is displayed.
Temas de Interés

Artículos sobre asuntos relevantes y actuales en Legathea.

black and white typewriter on black table
black and white typewriter on black table
This is an empty modern news studio set.
This is an empty modern news studio set.
Fotografías Destacadas

Imágenes que capturan momentos significativos de nuestra comunidad.

Publicaciones Recientes

Últimas noticias y actualizaciones sobre Legathea y más.

Las noticias de Legathea son siempre interesantes y relevantes. ¡Me encanta seguir sus publicaciones y eventos!

Juan Pérez

brown wooden board with i love you print
brown wooden board with i love you print
A wooden table topped with scrabble tiles spelling news
A wooden table topped with scrabble tiles spelling news

★★★★★

asesorate@legathea.com

Copyright © 2025 {_legathea} Todos los derechos reservados