Mediante Resolución No. SPDP-SPD-2025-0030-R, de 7 de agosto 2025, la Superintendencia de Protección de Datos Personales (en adelante “SPDP”) expidió el Reglamento para la seudonimización, anonimización, bloqueo y eliminación de datos personales (en adelante “Reglamento”).
El objeto del Reglamento es establecer directrices para aplicar medidas de seguridad sobre los datos y garantizar el ejercicio efectivo de los derechos de los titulares.
A continuación, resumimos los principales aspectos del Reglamento:
I. De la seudonimización
Es una medida técnica que preserva la posibilidad de reidentificación de los datos objeto de tratamiento.
Los responsables o encargados del tratamiento podrán aplicar técnicas de seudonimización, previa ejecución del análisis de riesgo correspondiente, con el fin de técnicamente preservar la posibilidad de reidentificación de los datos objeto de tratamiento.
Los datos seudonimizados seguirán considerándose datos personales y por tanto les resultarán aplicables las disposiciones de la Ley Orgánica de Protección de Datos Personales.
La seudonimización podrá aplicarse en los siguientes casos: i) en la prestación de productos o servicios en los que no sea necesaria la identificación del titular; ii) en procesos de investigación científica, histórica o estadística; y, iii) en auditorías internas, pruebas de sistemas o análisis de seguridad.
En caso de que se realice una acción de reidentificación de la información seudonimizada, esta deberá registrarse en miras a garantizar el derecho a la protección de datos de los titulares.
II. De la anonimización
Es una medida de seguridad técnica empleada para impedir la identificación o reidentificación de un titular.
Para la aplicación de esta técnica se deberá ejecutar un análisis de riesgo sobre las implicaciones y además evaluar que esta medida no afecte la continuidad y calidad de los servicios que se presten.
Se requerirá de autorización de la SPDP para el tratamiento de datos de salud que estuvieran anonimizados.
En caso de que los datos personales estuvieren anonimizados, no se requerirá del consentimiento del titular para su transferencia.
III. Del bloqueo
Una vez cumplida la finalidad del tratamiento, los datos personales podrán ser conservados por el plazo que determinará la ley en cumplimiento de obligaciones legales o mientras exista una base de legitimación que así lo permita.
No obstante, se deberán aplicar técnicas de bloqueo sobre estos datos con el fin de que sean mantenidos de forma segura y el acceso a estos sea limitado y restringido para el cumplimiento de las finalidades que subsistan luego de haberse agotado la finalidad principal.
IV. De la suspensión
El titular tiene el derecho de solicitar al responsable o encargado que detenga temporalmente una determinada actividad de tratamiento. En estos casos, el responsable deberá suspender el tratamiento en un término no mayor a tres días.
En caso de que el tratamiento sea objeto de encargo, el responsable deberá notificar al encargado sobre la solicitud y este deberá suspender el tratamiento en un término máximo de tres días contados a partir de la notificación.
Asimismo, cuando un titular revoque su consentimiento, el responsable deberá cesar las actividades de tratamiento en un plazo máximo de tres (3) días contados desde la recepción de la notificación por parte del titular.
V. De la eliminación
El titular podrá requerir la eliminación de todos o parte de sus datos personales objeto del tratamiento. Esta solicitud solo procederá cuando el responsable no cuente con una base de legitimación que le exija continuar tratando los datos personales que hubieran sido objeto de la solicitud.
Si el titular ejerce este derecho y su solicitud es aceptada, el responsable deberá entregarle un documento que certifique la eliminación de sus datos personales.
Cuando el titular ejerza su derecho de eliminación, el responsable deberá notificar esta solicitud a todos los encargados del tratamiento y a los terceros a quienes previamente haya transferido los datos, para que también procedan con su eliminación en un término de tres (3) días.
En el contrato de encargo se deberán establecer las condiciones necesarias para ejecutar las acciones o mecanismos que permitan y garanticen la devolución o eliminación de los datos personales por parte del encargado del tratamiento.
El encargado del tratamiento, una vez concluida su relación jurídica con el responsable, deberá devolver o eliminar los datos personales en un término de cinco (5) días y entregar al responsable un documento que certifique dicha eliminación.
VI. Del derecho de portabilidad
El derecho a la portabilidad faculta al titular a recibir del responsable sus datos personales en un formato compatible. Esta transferencia deberá realizarse cuando fuere técnicamente posible.
Una vez que la transferencia de datos se hubiere completado al nuevo responsable, el responsable original deberá eliminar los datos transferidos de sus propios sistemas.
En un plazo de 6 meses contados a partir de la publicación del Reglamento en el Registro Oficial, la Intendencia General de Innovación Tecnología y Seguridad de Datos Personales deberá presentar la “Guía Técnica de Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación en Protección de Datos Personales”.
Rafael Serrano, Socio en CorralRosales
rserrano@corralrosales.com
+593 2 2544144
