La Superintendencia de Protección de Datos Personales (SPDP) del Ecuador emitió el 21 de octubre de 2025 una guía técnica obligatoria dirigida a responsables y encargados del tratamiento de datos personales. Esta guía establece lineamientos para integrar la protección de datos desde las fases iniciales de concepción y diseño de proyectos, garantizando el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y fortaleciendo la confianza de los titulares de datos.

¿Cuáles son los Principios Fundamentales?

1. Protección de Datos desde el Diseño

Este principio implica considerar los riesgos potenciales para los derechos y libertades de los titulares de los datos desde las primeras fases del proyecto. Se enfoca en la identificación y mitigación de riesgos futuros, tanto jurídicos como operacionales, mediante la implementación de medidas técnicas y organizativas adecuadas.

2. Protección de Datos por Defecto

Se refiere a configurar de manera predeterminada los sistemas para garantizar la minimización de datos y facilitar el ejercicio de los derechos de los titulares, como acceso, eliminación y portabilidad de datos. Esta configuración debe aplicarse sin menoscabar las obligaciones legales y debe alinearse con el principio de pertinencia y minimización de datos.

¿Cuáles son las estrategias recomendadas?

Arquitectura de Cero Confianza (Zero Trust)

Adoptar un enfoque que no otorgue confianza implícita a ninguna operación que involucre el tratamiento de datos personales. Este modelo integra principios de privacidad, seguridad de la información y gestión de riesgos, asegurando una protección robusta desde la concepción del proyecto.

Operaciones DevPrivOps, DevSecOps y DevRiskOps

Implementar prácticas que aseguren la privacidad y seguridad de los datos en todas las etapas del ciclo de vida del proyecto. Estas operaciones permiten una gestión proactiva de riesgos, integrando la protección de datos en el desarrollo y operación de sistemas.

Evaluación de Madurez

Establecer mecanismos para evaluar el grado de implementación de los principios de protección de datos, utilizando niveles como «Implícito», «Temprano explícito» y «Maduro explícito». Esta evaluación permite identificar áreas de mejora y fortalecer las prácticas de protección de datos.

Evaluación de Impacto del Tratamiento de Datos Personales (DPIA)

La guía enfatiza la importancia de realizar una DPIA cuando el tratamiento implique un alto riesgo para los derechos y libertades de los titulares. La DPIA debe seguir las etapas de identificación, análisis, evaluación y tratamiento del riesgo, considerando tanto aspectos cualitativos como cuantitativos.

Ejemplo práctico para la aplicación de la Guía Protección de Datos Personales desde el Diseño y por Defecto

Contexto:
Una empresa va a implementar un software para gestionar la nómina de sus empleados, que incluye datos personales, salarios, descuentos, aportes a seguridad social y beneficios.

Aplicación del principio “protección de datos desde el diseño”:

1. Evaluación de riesgos desde el inicio:
   • Se identifica que la información de nómina es altamente sensible y que un acceso no autorizado podría vulnerar derechos fundamentales de los empleados.
   • Se evalúa el riesgo de filtración de datos, errores de cálculo que afecten pagos o accesos indebidos por parte de personal interno.
2. Minimización y pertinencia de los datos:
   • El sistema solicita únicamente la información necesaria para procesar la nómina (nombre, cédula, salario, aportes legales).
   • Evita recolectar datos que no sean indispensables, como información personal no relacionada con el pago.
3. Seguridad incorporada desde el diseño:
   • Se implementa cifrado de la base de datos y de las comunicaciones entre usuarios y servidores.
   • Se aplican roles y permisos: solo el área de recursos humanos y contabilidad pueden acceder a información específica, y con registro de auditoría de accesos.
   • Se usan medidas de protección contra intrusiones, malware y pérdida de datos.
4. Derechos de los titulares integrados:
   • Los empleados pueden acceder a sus propios registros de nómina, descargar comprobantes y solicitar correcciones.
   • El sistema incluye mecanismos para solicitar la eliminación de información innecesaria, cumpliendo con la LOPDP.
5. Documentación y revisión continua:
   • Todo el diseño del sistema se documenta como evidencia de que se consideró la protección de datos desde la concepción.
   • Se realizan pruebas periódicas para identificar vulnerabilidades y asegurar que los controles de privacidad funcionan correctamente.

Resultado:
El sistema cumple con la normativa de protección de datos, reduce riesgos de incidentes de seguridad y demuestra un compromiso con la privacidad de los empleados. La protección de datos no es un agregado, sino una parte integral del desarrollo del software.

Conclusión

La implementación de los principios y estrategias establecidos en la guía no solo asegura el cumplimiento de la LOPDP, sino que también fortalece la confianza de los usuarios y protege la información personal de manera proactiva. Es fundamental que las organizaciones adopten un enfoque integral de protección de datos, integrando la privacidad y seguridad en todas las fases de sus  proyectos.

En Sanchez y Barriga abogados te acompañamos en todos los pasos para la aplicación de la Guia Protección de Datos Personales desde el Diseño y por Defecto en la creación de tus proyectos.

• Consultoría Legal en Etapa de Planificación del Proyecto
• Diseño de Políticas de Privacidad y Términos de Uso
• Implementación de Privacidad desde el Diseño
• Configuración Legal de Protección de Datos por Defecto
• Evaluación de Impacto de Privacidad (DPIA)
• Revisión y Elaboración de Contratos Tecnológicos
• Capacitación Especializada para Equipos de Desarrollo
• Soporte Legal en Lanzamiento y Operación
• Gestión Legal de Incidentes y Vulneraciones