por | Feb 11, 2026 | Novedad Jurídica | 0 Comentarios

La Superintendencia de Protección de Datos Personales (SPDP) expidió la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales, mediante la Resolución No. SPDP-SPD-2026-0004-R publicada el 28 de enero del 2026, la cual tiene por objeto regular los procedimientos y requisitos técnicos y jurídicos que garantizan el derecho de protección de datos en las transferencias o comunicaciones nacionales e internacionales; aplicable a todos los encargados y responsables del tratamiento nacional o internacional que transfieran datos personales.

Puntos Claves

Transferencias o Comunicaciones Nacionales a Terceros

Deberá sujetarse a las siguientes condiciones: i. Que exista una finalidad lícita, legítima y determinada, vinculada a las funciones del responsable y del tercero; ii. Que se cuente con una base de legitimación; y, iii. Que se disponga del consentimiento informado del titular, salvo en los casos de excepción previstos en la Ley Orgánica de Protección de Datos Personales (SPDP).

Se deberán implementar, en todo momento, medidas de protección de los datos. El destinatario asume la calidad de responsable del tratamiento; por lo que quedará obligado a: respetar la finalidad de la comunicación de datos; aplicar íntegramente la normativa nacional de protección de datos; atender directamente las solicitudes de derechos de los titulares; y, abstenerse de transferir posteriormente los datos sin legitimación adecuada.

Transferencias o Comunicaciones Internacionales

Se regula el procedimiento para la evaluación, reconocimiento, revisión y revocatoria del nivel adecuado de protección de países, organizaciones internacionales, personas jurídicas o territorios económicos internacionales.

Obligaciones del responsable del tratamiento en transferencias internacionales

El responsable del tratamiento, deberá:

  • Verificar que el destinatario conste en el listado vigente de nivel adecuado.
  • Adoptar medidas contractuales y técnicas que garanticen el cumplimiento de la Ley Orgánica de Protección de Datos Personales.
  • Mantener un registro actualizado de las transferencias o comunicaciones.
  • Informar a los titulares de los datos sobre las transferencias y los mecanismos de protección existentes.
  • Cumplir con el registro de información sobre transferencias internacionales en el Registro Nacional de Protección de Datos.

Transferencias basadas en Garantías Adecuadas

La norma desarrolla las garantías adecuadas como mecanismo habilitante para transferencias internacionales cuando no exista el nivel adecuado.

  • Cláusulas Contractuales Modelo (CCM): Se reconocen de la Red Iberoamericana de Protección de Datos (RIPD) como válidas y suficientes, siempre que cumplan los requisitos de la normativa ecuatoriana. Su incumplimiento constituye infracción conforme la LOPDP.
  • Normas Corporativas Vinculantes y Certificaciones: se regulan para grupos empresariales. Se establece un régimen de certificación, aplicable a operaciones específicas, sistemas de gestión o procesos, sin que la certificación exonere responsabilidades legales.

Procedimiento de autorización de transferencias internacionales

La obligación de solicitar autorización corresponderá al responsable del tratamiento o al encargado del tratamiento que ejecute la transferencia. La solicitud se dirigirá a la SPDP, presentada de manera física o electrónica y deberá contener: identificación de intervinientes y destino; justificación legal y técnica; análisis de riesgos; evaluación de impacto; medidas de seguridad; copia del instrumento contractual; consentimiento del titular y vías de reclamación; supuestos del RGLOPDP; y, motivación de imposibilidad de cumplir la transferencia internacional por garantías adecuadas o por nivel adecuado de protección.

Régimen Especial para la Comunidad Andina

Las transferencias hacia países miembros de la Comunidad Andina (CAN) se consideran flujos transfronterizos con nivel adecuado de protección reconocido sin evaluación adicional por parte de la SPDP, salvo que se identifiquen deficiencias graves en el cumplimiento normativo.

Disposiciones Transitorias

Las transferencias internacionales de datos personales anteriores a la LOPDP o a esta norma, deberán acogerse al procedimiento de regularización: tendrán un plazo de 12 meses desde la vigencia de esta norma para notificar a la SPDP la existencia de transferencias internacionales previas, incluyendo y un plan de adecuación. Concluido el plazo, el incumplimiento dará lugar a sanciones y medidas correctivas.