Norma General de Transferencias o Comunicaciones Nacionales e Internacionales se Datos Personales

CorralRosales > Boletines > Norma General de Transferencias o Comunicaciones Nacionales e Internacionales se Datos Personales
Categories Boletines Posted on Author Jorge Cadena Tags Ecuador, Quito

La Superintendencia de Protección de Datos Personales (“SPDP”) emitió, mediante la Resolución No. SPDP-SPD-2026-0004-R de 28 de enero de 2026, la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales (“Norma de Transferencias”), con el fin de regular los procedimientos y requisitos técnicos y jurídicos que garantizan el derecho de protección de datos personales en las transferencias de datos personales dentro y fuera de Ecuador.

 

La Norma de Transferencias establece las siguientes reglas:

 

  1. Transferencias nacionales: deben cumplir con los siguientes requisitos:

 

  • Existencia de una finalidad lícita vinculada a las funciones del responsable del tratamiento y del destinatario de los datos personales.
  • Contar con una base de legitimación conforme a la Ley Orgánica de Protección de Datos Personales (“LOPDP”).
  • Contar con el consentimiento previo, libre, específico, informado e inequívoco del titular, salvo por las excepciones previstas en la LOPDP.
  • Adoptar medidas de seguridad, incluyendo minimización de datos, medidas técnicas como el cifrado y la limitación o control de transferencias ulteriores.
  • Garantizar que el destinatario adopte los mecanismos para cumplir con los derechos de rectificación, actualización, supresión u oposición ejercidos por el titular.
  • El destinatario deberá cumplir con sus obligaciones en calidad de responsable del tratamiento.

 

  1. Transferencias internacionales: se regulan los mecanismos habilitantes para transferir datos personales fuera del Ecuador:

 

  • Nivel adecuado de protección: Se permiten transferencias internacionales a países, organizaciones internacionales, personas jurídicas o territorios económicos que hayan sido declarados con un nivel adecuado de protección, a petición de parte o de oficio por la SPDP, al cumplir con los siguientes requisitos:

 

    • Contar con medidas contractuales y técnicas.
    • Mantener un registro actualizado de las transferencias.
    • Informar a los titulares sobre la transferencia.
    • Cumplir con el registro de información sobre la transferencia en el Registro Nacional de Protección de Datos (“RNPD”).

 

  • Garantías adecuadas: En caso de que la transferencia se realice a países, organizaciones internacionales, personas jurídicas o territorios económicos que no hayan sido declarados con nivel adecuado de protección, se podrán adoptar garantías adecuadas, como:

 

    • Cláusulas contractuales tipo, conforme al acuerdo modelo de transferencia internacional de datos personales entre responsable y responsable de la Red Iberoamericana de Protección de Datos.
    • Normas corporativas vinculantes, previa verificación del cumplimiento de los requisitos establecidos en la LOPDP, su Reglamento y la Norma de Transferencias, y con la aprobación de la SPDP.
    • Códigos de conducta, previa verificación del cumplimiento de los requisitos establecidos en la LOPDP, su Reglamento y la Norma de Transferencias, y con la aprobación de la SPDP.
    • Procesos de certificación de transferencias internacionales, siempre y cuando se cumpla con la normativa específica que emita la SPDP.

 

  • Autorización: De manera excepcional se podrá solicitar la autorización previa de la SPDP. La solicitud deberá incluir:

 

    • Identificación de los intervinientes y lugar de destino de los datos.
    • Justificación legal y técnica de la necesidad, finalidad y proporcionalidad de la transferencia.
    • Análisis de riesgos.
    • Evaluación de impacto.
    • Descripción de las medidas de seguridad.
    • Copia del contrato de transferencia que cumpla con las obligaciones establecidas en la LOPDP y su Reglamento.
    • Certificación de haber solicitado el consentimiento al titular y de haberle informado sobre la finalidad, derechos, mecanismos de reclamación, contacto del delegado de protección de datos y posibles riesgos.
    • Acreditación de que el destinatario se obliga a cumplir con la LOPDP, su Reglamento y demás normativa de protección de datos personales, y se somete a la SPDP y a los tribunales ecuatorianos, o que en su jurisdicción se garantice el ejercicio de los derechos de protección de datos personales, incluyendo la posibilidad de presentar una reclamación ante una autoridad de protección de datos, así como el derecho a la tutela judicial efectiva.
    • Explicación motivada de la imposibilidad de realizar la transferencia internacional a un país, organización internacional, persona jurídica o territorio económico con un nivel adecuado, o mediante garantías adecuadas.

 

  1. Régimen especial “Intra-CAN” para la Comunidad Andina de Naciones: las transferencias hacia países miembros de la CAN se consideran flujos transfronterizos y, por mandato comunitario, se reconoce su nivel adecuado de protección sin evaluación adicional de la SPDP, salvo deficiencias graves.

 

  • En estos casos se permite la transferencia al cumplir con la obligación de informar a los titulares sobre los elementos del derecho a la información establecidos en el artículo 12 de la LOPDP y adoptando contratos, políticas internas, análisis de riesgos, evaluaciones de impacto y reportes de seguridad.

 

  1. Registro y transparencia:

 

  • Las transferencias internacionales que se realicen en virtud de autorizaciones conferidas por la SPDP o bajo el régimen Intra-CAN, se inscribirán caso por caso en el RNPD.

 

  • Las transferencias internacionales realizadas a través de los demás mecanismos no requieren inscripción individual, pero se deberá presentar un reporte consolidado anual dentro del primer trimestre de cada año a la SPDP, en el que se incluyan las salvaguardas adoptadas y los requisitos del artículo 78 del Reglamento de la LOPDP.

 

  1. Adecuación:

 

  • La Norma de Transferencias establece que dentro de los doce (12) meses posteriores a su entrada en vigor, los responsables y encargados deben regularizar las transferencias internacionales ejecutadas previamente.

 

  • Para ello, se deberá:
    • Notificar a la SPDP las transferencias internacionales ejecutadas previamente; y,
    • Presentar un plan de adecuación que incluya las medidas de control y mitigación, el mecanismo para regularizar la transferencia y el plazo de implementación.

 

  • Durante este período, no se impondrán sanciones, siempre y cuando se cumpla con la notificación previa, se presente el plan de adecuación y se ejecuten las medidas correspondientes.

 

La Norma de Transferencias aclara que el encargo de tratamiento no constituye transferencia de datos personales. No obstante, el uso de cláusulas contractuales tipo se considera una buena práctica.

 

Rafael Serrano, Socio en CorralRosales
rserrano@corralrosales.com
+593 2 2544144

© CORRALROSALES 2026
NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.

CORRALROSALES

PREVIOUS
NEXT