El 2 de febrero de 2026, la Superintendencia de Protección de Datos Personales (“SPDP”) emitió la Resolución No. SPDP-SPD-2026-0005-R que contiene la Norma General sobre el Tratamiento de Datos Personales a Gran Escala (“Norma a Gran Escala”), con objetivo de establecer directrices y criterios para identificar los tratamientos de datos personales a gran escala.
A continuación, detallamos los aspectos más relevantes de la Norma a Gran Escala:
- Definiciones relevantes
La Norma a Gran Escala define los siguientes términos:
- Alcance geográfico: extensión o impacto territorial del tratamiento. Se clasifica en:
- Local: tratamiento realizado dentro de una provincia, cantón o ciudad.
- Nacional: tratamiento realizado en más de una provincia, cantón o ciudad
- Transfronterizo: tratamiento realizado en un país, organización internacional, persona jurídica o territorio económico internacional.
- Global: tratamiento realizado en un más de un país, organización internacional, persona jurídica o territorio económico internacional.
- Frecuencia del tratamiento: regularidad o continuidad con la que se realizan las actividades de tratamiento, considerando la repetición, acumulación y continuidad de la operación, pudiendo ser única, periódica o continua
- Permanencia del tratamiento: tiempo durante el cual los datos personales están sometidos a actividades de tratamiento. Se clasifica en:
- Ocasional: el tratamiento se realiza de manera excepcional, puntual o esporádica.
- Temporal: el tratamiento se realiza por un período menor a tres (3) años.
- Prolongado: el tratamiento se realiza por un período de más de tres (3) años.
- Volumen de datos: cantidad total de datos personales tratados en un determinado tratamiento.
- Modelo Técnico de Gran Escala (“MTGE”)
El MTGE es un instrumento de carácter técnico-jurídico que permite valorar el nivel de riesgo y la magnitud de una determinada actividad de tratamiento de datos personales.
Para su cálculo, el MTGE toma en consideración las siguientes variables:
- Número de titulares de datos personales:
- De 0 a 1.000 titulares: 1 punto.
- De 1.001 a 10.000 titulares: 2 punto.
- De 10.001 a 100.000 titulares: 3 puntos.
- Más de 100.000 titulares. 4 puntos.
- Volumen de datos personales:
- Hasta 10 tipos de datos por titular: 0,5 puntos.
- Entre 11 y 30 tipos de datos: 1 punto.
- Entre 31 y 100 tipos de datos: 2 puntos.
- Más de 100 tipos de datos: 3 puntos.
- Categorías de datos personales:
- Una categoría de datos básicos: 0,5 puntos.
- Una categoría especial: 2 puntos.
- Más de una categoría especial: 3 puntos.
- Frecuencia del tratamiento de datos personales:
- Puntual: 0,5 puntos.
- Periódica o recurrente: 1 punto.
- Continua o en tiempo real: 2 puntos.
- Permanencia del tratamiento de datos personales:
- Ocasional: 0,5 puntos.
- Temporal: 1 punto.
- Prolongada: 2 puntos.
- Alcance geográfico:
- Local: 1 punto.
- Nacional: 2 puntos.
- Global o transfronterizo: 3 puntos.
El puntaje total del MTGE se calculará sumando los valores de las variables. En caso de que el resultado sea igual o superior a seis (6) puntos, será considerado como un tratamiento a gran escala.
- Calificación directa de tratamiento a Gran Escala (“Calificación Directa”)
Sin perjuicio del cálculo obtenido a través del MTGE, la SPDP establece que, de manera directa y obligatoria serán considerados tratamientos a gran escala los siguientes:
- Tratamientos de salud.
- Evaluación sistemática y exhaustiva de aspectos personales de titulares basa en tratamientos automatizados.
- Vigilancia o monitoreo sistemático de titulares en zonas de acceso al público, realizada mediante sistemas de videovigilancia.
- Tratamiento de datos biométricos.
- Actividades de geolocalización.
- Tratamiento estructural de datos personales en el marco de sistemas de información crediticia, financiera o de evaluación de riesgo económico.
- Tratamiento sistemático de datos de niños, niñas y adolescentes, cuando se realizare en entornos institucionales, educativos, digitales o de prestación de servicios dirigidos a estos grupos de atención prioritaria.
- Transferencias sistemáticas de datos personales.
- Tratamiento de datos en servicios de mensajería acelerada, expresa o courier.
- Efectos del cálculo obtenido a partir del MTGE y de la Calificación Directa
Tanto el resultado del MTGE como los casos de Calificación Directa, son vinculantes para:
- Determinar la obligación de realizar evaluaciones de impacto.
- Designación obligatoria de un Delegado de Protección de Datos Personales (“DPO”).
- Incorporar tratamientos en el Registro de Actividades de Tratamiento (“RAT”).
- Activar medidas reforzadas de responsabilidad proactiva, seguridad y supervisión.
En caso de que un responsable o encargado se vea obligado a designar un DPO en virtud de lo establecido en la Norma a Gran Escala, tendrá noventa (90) días para realizar dicha designación y registrarla ante la SPDP.
Quienes realicen tratamientos a gran escala de datos deberán incorporar en su RAT, además de los requisitos previstos en el artículo 38 del Reglamento de aplicación de la Ley Orgánica de Protección de Datos Personales, los siguientes elementos: (i) una descripción del tratamiento; (ii) la frecuencia y (iii) permanencia del tratamiento.
Los responsables o encargados que realizaren actividades de tratamientos a gran escala, deberán someterse al menos una vez cada doce (12) meses a auditorías internas o externa, o cuando se produjeren cambios significativos en la naturaleza, alcance, finalidades, tecnologías utilizadas o en el nivel de riesgo identificado. El informe de cada auditoría deberá conservarse por un período mínimo de cinco (5) años.
Además, en caso de realizar tratamientos a gran escala, los responsables o los encargados deberán identificar, expresamente, dichos tratamientos en sus políticas de privacidad, e indicar sus finalidades, las categorías de datos personales tratados y los titulares afectados.
