Lo que debes saber sobre la Resolución de SPDP-SPD-2026-0009-R emitida por la Superintendencia de Protección de Datos Personales. Guía clara para entender su impacto en el uso de Inteligencia Artificial en Ecuador

Table of Contents

Ejecutivos analizando protección de datos personales en el mundo de la inteligencia artificial

La Superintendencia de Protección de Datos Personales publicó la Resolución SPDP-SPD-2026-0009-R, un hito regulatorio que marca el inicio de un marco más robusto para proteger los datos personales en sistemas de Inteligencia Artificial (IA).

Esta norma nace en respuesta al incremento del uso de tecnologías automatizadas y al reconocimiento de la necesidad de establecer garantías claras para evitar abusos o riesgos que afecten los derechos de las personas.

¿Por qué se emitió esta resolución?

La resolución surge por tres razones esenciales:

1. La Constitución y la Ley ya exigen protección reforzada

El derecho a la protección de datos es un derecho fundamental y el Estado tiene la obligación de garantizarlo.
Además, la Ley Orgánica de Protección de Datos Personales ya prevé controles, principios y mecanismos de cumplimiento que deben adaptarse al contexto tecnológico actual.

2. La IA usa grandes volúmenes de datos personales

El documento reconoce que la IA puede generar riesgos significativos si no se aplican medidas de seguridad, transparencia y supervisión humana. La propia Estrategia Nacional de IA advierte la necesidad de fortalecer las garantías para la ciudadanía.

3. Ecuador carecía de una norma específica para IA

Aunque existe un marco legal sólido en protección de datos, no había directrices claras para el uso responsable de datos en sistemas automatizados. Esta resolución llena ese vacío.

 ¿Qué establece la resolución?

Aunque la resolución es extensa, se enfoca principalmente en aprobar la Norma General para garantizar la protección de datos en el uso de IA y detallar el proceso mediante el cual esta norma fue construida y validada. Estos son sus elementos clave:

 1. Reafirma la obligación de proteger los datos en contextos automatizados

Se destaca que ningún sistema de IA puede vulnerar derechos ni generar decisiones que afecten a una persona sin supervisión humana adecuada.

La protección no es opcional: es un mandato legal y constitucional.

 2. Exige evaluaciones de impacto antes de usar IA

Toda organización que utilice sistemas que procesen datos personales debe analizar previamente los riesgos y consecuencias, e implementar medidas para minimizarlos.
Este análisis preventivo es obligatorio en uso de IA.

3. Ordena seguridad, minimización y controles técnicos

El responsable del tratamiento de datos debe:

  • Usar solo los datos estrictamente necesarios.
  • Evitar accesos indiscriminados.
  • Implementar seguridad desde el diseño y por defecto.

Estas obligaciones se ajustan a estándares internacionales utilizados por la región iberoamericana.

 4. Incorpora estándares internacionales de IA ética

La resolución integra criterios de:

  • UNESCO
  • Red Iberoamericana de Protección de Datos
  • Estrategia Nacional de IA

Con principios como:

  • transparencia,
  • equidad,
  • rendición de cuentas,
  • supervisión humana,
  • protección reforzada de datos personales.

5. Formaliza la creación de la Norma General para IA

La resolución documenta todo el proceso:

  • Elaboración técnica
  • Validación jurídica
  • Publicación para comentarios ciudadanos
  • Revisión de observaciones
  • Aprobación final

Este procedimiento garantiza seguridad jurídica y participación pública.

 Puntos clave

1. La SPDP aprobó una norma específica para el uso de IA en Ecuador.

Regula cómo deben tratarse los datos cuando participan algoritmos o procesos automatizados.

2. Ningún sistema de IA puede afectar derechos sin supervisión humana.

Se protege explícitamente que las decisiones automatizadas no pueden ser absolutas ni afectar libertades sin control.

3. Las organizaciones deberán hacer evaluaciones de impacto.

Toda entidad pública o privada deberá identificar riesgos y mitigarlos antes de implementar IA.

4. Se exige seguridad reforzada y minimización de datos.

Solo se pueden usar los datos estrictamente necesarios para la finalidad del sistema.

5. La resolución se alinea con estándares internacionales.

Garantiza compatibilidad con buenas prácticas globales de ética y protección de datos.

6. Promueve transparencia y responsabilidad en todos los sistemas de IA.

Las empresas deben demostrar cómo protegen los datos y cómo supervisan sus algoritmos.

¿Por qué es importante esta resolución para empresas y ciudadanos?

Para empresas y entidades públicas:

  • Obliga a adoptar políticas claras sobre IA.
  • Exige documentación, controles y transparencia.
  • Implica responsabilidad proactiva y demostrable ante auditorías futuras.

Para la ciudadanía:

  • Brinda garantías reales frente a posibles abusos.
  • Protege su información frente a decisiones automatizadas.
  • Permite exigir derechos frente a sistemas de IA poco transparentes.

Conclusión

La Resolución SPDP-SPD-2026-0009-R marca un paso decisivo para consolidar una IA ética, segura y centrada en las personas en Ecuador.
Para cualquier organización que utilice datos personales y tecnologías automatizadas, este es el momento de revisar sus procesos, fortalecer la gobernanza de datos y prepararse para un ecosistema regulatorio más exigente y responsable.

En Sánchez y Barriga abogados te acompañamos en cada paso para que des cumplimiento con la Ley de Protección de Datos Personales y esta resolución:

1. Diagnóstico Inicial y Mapeo de IA

  •  Identificación de sistemas de IA utilizados en la empresa.
  •  Determinación de si procesan datos personales o datos sensibles.
  •  Matriz de riesgos preliminar por tipo de sistema y su impacto.

2. Evaluación de Impacto en Protección de Datos (EIPD)

(Obligatoria para cualquier IA que trate datos personales)

3. Elaboración del Registro de Actividades de Tratamiento (RAT) para IA

  • Inclusión de nuevos procesos automatizados basados en IA.
  • Descripción jurídica de las decisiones automatizadas que pueden generar efectos en titulares.
  • Identificación del responsable, encargado, desarrollador, implementador o distribuidor.

4. Revisión de Contratos, Proveedores y Modelos Tecnológicos

  • Auditoría contractual de proveedores de IA.
  • Cláusulas de seguridad, confidencialidad, supervisión y responsabilidad proactiva.
  • Análisis de transferencias internacionales de datos.

5. Políticas Internas de IA

  • Política de uso responsable de IA.
  • Procedimiento para decisiones automatizadas.
  • Política de trazabilidad y supervisión humana.
  • Matriz de gestión de riesgos para IA.

6. Protocolos de Información y Consentimiento

  • Redacción de avisos de privacidad específicos para IA.
  • Avisos de toma de decisiones automatizadas.
  • Formularios de oposición y explicabilidad.
  • Mecanismos para garantizar derechos del titular.

7. Programa de Seguridad y Medidas Técnicas

  • Asesoría legal para definir y documentar medidas administrativas, jurídicas y organizativas.
  • Política de minimización y proporcionalidad del tratamiento.
  • Procedimiento para incidentes de seguridad en sistemas de IA.
  • Coordinación con equipos técnicos para cumplimiento del principio “seguridad desde el diseño”.

8. Auditorías Legales de Sistemas de IA

  • Auditoría interna anual o semestral.
  • Evaluación del funcionamiento del sistema frente a obligaciones legales.
  • Verificación de medidas de seguridad y RAT actualizado.
  • Informe técnico-jurídico para demostrar cumplimiento ante la SPDP.

9. Capacitación y Formación Interna

  • Taller para directivos sobre riesgos legales en IA.
  • Capacitación para equipos de tecnología y datos.
  • Formación para personal que interactúa con decisiones automatizadas.
  • Simulaciones de auditorías regulatorias.

10. Representación ante la Superintendencia de Protección de Datos

  • Preparación de documentación en caso de inspecciones.
  • Elaboración de respuestas, descargos y recursos.
  • Implementación de medidas correctivas solicitadas por la autoridad.
  • Acompañamiento en procedimientos sancionadores.

La solución legal que necesitas está a un solo paso

Agenda tu consulta y recibe asesoría directa, estratégica y humana.

Estoy aquí para escucharte, orientarte y ayudarte a resolver cualquier situación legal que enfrentes, personal o empresarial. 

Agenda tu consulta ahora







    Este sitio está protegido por reCAPTCHA y se aplican la Política de privacidad y los Términos del servicio de Google.