La inteligencia artificial ya no es un terreno sin regulación en Ecuador

La transformación digital ha impulsado la adopción acelerada de herramientas de inteligencia artificial en empresas, instituciones públicas y organizaciones de todos los tamaños. Desde asistentes virtuales y plataformas de análisis predictivo hasta sistemas automatizados de selección de personal y evaluación crediticia, la IA forma parte de la operación diaria de miles de organizaciones.

Sin embargo, el uso de estas tecnologías plantea importantes desafíos en materia de privacidad y protección de datos personales.

Con la expedición de la Resolución N.º SPDP-SPD-2026-0009-R, la Superintendencia de Protección de Datos Personales (SPDP) establece por primera vez un marco normativo específico para garantizar el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) en el uso de sistemas de inteligencia artificial.

¿Qué regula la nueva normativa sobre inteligencia artificial?

La nueva Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial tiene como objetivo asegurar que toda organización que utilice sistemas de IA respete los principios, derechos y obligaciones establecidos en la legislación ecuatoriana de protección de datos.

La norma aplica a cualquier responsable o encargado del tratamiento que desarrolle, entrene, implemente, despliegue o utilice sistemas de inteligencia artificial que procesen datos personales de titulares ecuatorianos, independientemente de dónde se encuentre ubicado el proveedor tecnológico o el sistema utilizado.

En otras palabras, el hecho de que una empresa utilice plataformas alojadas en el extranjero no la exime de cumplir con la normativa ecuatoriana cuando se traten datos personales de ciudadanos residentes en Ecuador.

El mensaje de la Superintendencia es claro: la IA está permitida, pero bajo reglas

Uno de los aspectos más relevantes de la resolución es que no prohíbe ni restringe el uso de la inteligencia artificial. Por el contrario, reconoce su utilidad y potencial para la innovación y la productividad.

No obstante, establece que el uso de estas tecnologías debe desarrollarse dentro de un marco de responsabilidad, transparencia y respeto a los derechos fundamentales de las personas.

La inteligencia artificial puede utilizarse legalmente en Ecuador siempre que las organizaciones puedan demostrar que han implementado mecanismos adecuados para proteger los datos personales involucrados.

Nuevas obligaciones para empresas que utilizan inteligencia artificial

La resolución incorpora obligaciones concretas que tendrán un impacto directo en las actividades empresariales.

Transparencia sobre el uso de IA

Las organizaciones deberán informar de manera clara y comprensible cuando los datos personales sean tratados mediante sistemas de inteligencia artificial.

Esta información deberá incluir las finalidades del tratamiento y la existencia de procesos automatizados que intervengan en la toma de decisiones.

Evaluaciones de impacto obligatorias

Uno de los cambios más importantes es la necesidad de realizar evaluaciones de impacto en protección de datos antes del desarrollo o implementación de sistemas de IA que procesen información personal.

Estas evaluaciones permiten identificar riesgos, prevenir vulneraciones y demostrar cumplimiento ante la autoridad de control.

Gestión de riesgos permanente

La normativa exige que las organizaciones implementen procesos continuos de identificación, evaluación y mitigación de riesgos asociados al uso de inteligencia artificial.

No basta con una revisión inicial; la gestión de riesgos debe mantenerse durante todo el ciclo de vida del sistema.

Medidas de seguridad reforzadas

Las empresas deberán adoptar medidas técnicas, administrativas, organizativas y jurídicas adecuadas al nivel de riesgo generado por el tratamiento de datos personales mediante inteligencia artificial.

Auditorías periódicas

Los sistemas de inteligencia artificial deberán ser auditados de manera regular para verificar su correcto funcionamiento, la protección de los datos personales y el cumplimiento de la normativa vigente.

Protección frente a decisiones automatizadas

La resolución fortalece uno de los derechos más importantes de la LOPDP: el derecho de las personas a no ser sometidas a decisiones basadas exclusivamente en procesos automatizados que produzcan efectos jurídicos o afecten significativamente sus derechos.

Esto implica que las organizaciones deberán garantizar mecanismos de supervisión humana cuando los sistemas de inteligencia artificial intervengan en decisiones relevantes para los titulares de los datos.

¿Qué empresas deben prestar especial atención?

La nueva regulación resulta especialmente relevante para:

• Instituciones financieras y aseguradoras.
• Empresas que utilizan sistemas de scoring o perfilamiento de clientes.
• Departamentos de recursos humanos que emplean herramientas automatizadas de selección de personal.
• Empresas de tecnología y software.
• Plataformas de comercio electrónico.
• Instituciones educativas.
• Clínicas y centros de salud.
• Organizaciones que utilizan asistentes de IA generativa como ChatGPT, Gemini, Copilot o herramientas similares para procesar información personal.

La importancia del cumplimiento preventivo

La Superintendencia de Protección de Datos Personales ha dejado claro que posee facultades para auditar sistemas de inteligencia artificial, requerir información, imponer medidas correctivas e iniciar procedimientos sancionadores cuando se detecten incumplimientos.

Por ello, las organizaciones no deberían esperar a una investigación para revisar sus procesos internos.

La adopción de políticas de gobernanza de IA, evaluaciones de impacto, registros de actividades de tratamiento y protocolos de seguridad se convierte ahora en una necesidad jurídica y estratégica.

Conclusión

La Resolución N.º SPDP-SPD-2026-0009-R representa el primer paso concreto hacia la regulación del uso de inteligencia artificial desde la perspectiva de la protección de datos personales en Ecuador.

El mensaje de la autoridad es inequívoco: la inteligencia artificial puede utilizarse libremente como herramienta de innovación y desarrollo, pero toda organización que procese datos personales mediante sistemas de IA deberá demostrar transparencia, gestión de riesgos, evaluaciones de impacto, medidas de seguridad adecuadas, auditorías permanentes y respeto efectivo de los derechos de los titulares.

En consecuencia, las empresas que actualmente utilizan herramientas de inteligencia artificial deberían iniciar de manera inmediata una revisión integral de sus políticas de privacidad, registros de tratamiento, evaluaciones de impacto y contratos con proveedores tecnológicos para asegurar su cumplimiento con la nueva normativa y reducir riesgos regulatorios futuros.

En Sánchez y Barriga Abogados te acompañamos en cada paso para implementar en tu empresa, las políticas y protocolos necesarios

• Diagnóstico Legal de Uso de Inteligencia Artificial
• Auditoría de Cumplimiento de IA y Protección de Datos
• Evaluación de Impacto en Protección de Datos (DPIA) para Sistemas de IA
• Elaboración de Política Corporativa de Inteligencia Artificial
• Implementación de Gobernanza de Inteligencia Artificial
• Adecuación del Registro de Actividades de Tratamiento (RAT)
• Elaboración de Avisos de Privacidad para Sistemas de IA
• Revisión Legal de Contratos con Proveedores de IA
• Compliance de IA para Recursos Humanos
• Auditoría Legal de Uso de ChatGPT, Copilot, Gemini y Herramientas Generativas
• Capacitación Ejecutiva en Inteligencia Artificial y Protección de Datos