La respuesta es sí, todas las empresas en Ecuador sin importar su tamaño o sector deben cumplir con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento.  Esta ley entró en vigor desde mayo de 2021 y su reglamento se aplica de forma obligatoria a toda organización que recolecte, almacene o procese datos personales, como por ejemplo:

• Empresas grandes, medianas y pequeñas (Pymes)

• Negocios unipersonales
• Profesionales independientes
• Fundaciones y ONGs
• Instituciones educativas
• Comercios electrónicos y tiendas físicas

Si manejas información de clientes, proveedores o empleados, esta ley aplica para ti.

¿Qué se considera “datos personales”?

• Nombres y apellidos
• Número de cédula o RUC
• Dirección, correo, número de teléfono
• Información financiera o médica
• Datos biométricos (como huellas o reconocimiento facial)

El simple hecho de tener una base de datos con esta información ya te obliga a cumplir la normativa.

¿Qué deben hacer las empresas para cumplir?

1. Designar un Responsable de Protección de datos
2. Elaborar políticas de privacidad claras
3. Solicitar consentimiento informado
4. Proteger la información mediante medidas técnicas y organizativas
5. Permitir a los titulares ejercer sus derechos (acceso, rectificación, eliminación, etc.)

El Reglamento a la LOPDP establece que no todas las empresas están obligadas a nombrar un Responsable de Protección de Datos Personales (RPD), pero sí deben hacerlo aquellas que cumplan con ciertos parámetros específicos relacionados con la naturaleza, el volumen y el riesgo del tratamiento de datos.

A continuación, te explicamos los principales:

1. Traten datos personales de forma masiva o sistemática.

Ejemplo: empresas de telecomunicaciones, bancos, aseguradoras, plataformas digitales, cadenas comerciales con bases de datos amplias, etc.

2. Realicen tratamiento de categorías especiales de datos personales.

Incluye datos sensibles como:

• Información sobre salud
• Datos biométricos
• Orientación sexual
• Religión o creencias
• Opiniones políticas

3. Sean entidades públicas.

Todas las instituciones del Estado deben designar un Responsable de Protección de Datos.

4. Tengan como actividad principal la recopilación, análisis o comercialización de datos personales.

Ejemplo: agencias de marketing digital, encuestadoras, empresas de big data o análisis de comportamiento de usuarios.

5. Realicen monitoreo constante o seguimiento de personas a gran escala.

Por ejemplo, empresas que usan videovigilancia masiva, geolocalización, control biométrico, etc.

¿Qué pasa si no cumplo?

La Ley de Protección de Datos en Ecuador establece un régimen sancionador económico para garantizar el cumplimiento de la normativa y proteger los derechos de los titulares de datos. Las sanciones dependen del nivel de la infracción: leve, grave o muy grave. El incumplimiento puede generar multas que van desde el 0,1% hasta el hasta 1% de la facturación anual, en ciertos casos, puede incluir suspensión temporal del tratamiento o prohibición total. 

¿Cómo prevenir sanciones?

• Cumple con los principios de licitud, lealtad y transparencia.
• Solicita consentimiento claro y específico.
• Aplica medidas técnicas y organizativas de seguridad.
• Informa sobre tus políticas de privacidad.
• Nombra un responsable si tu empresa lo requiere.
• Mantén registros del tratamiento de datos.

En Sánchez y Barriga Abogados,  te ayudamos a cumplir con la normativa de protección de datos en Ecuador.

✔ Diagnóstico
✔ Asesoría legal especializada y personalizada
✔ Redacción de políticas, avisos y contratos
✔ Capacitación para tu equipo