por | Feb 12, 2026 | Novedad Jurídica | 0 Comentarios

La Superintendencia de Protección de Datos Personales (SPDP) publicó la Resolución No. SPDP-SPD-2026-0005-R, el 02 de febrero de 2026; mediante la cual expidió la Norma General sobre el Tratamiento de Datos Personales a Gran Escala. Esta norma tiene por objeto establecer las directrices y criterios técnicos para identificar y gestionar los tratamientos a gran escala para garantizar la protección de los derechos de los titulares.

Puntos Claves

Criterios de Identificación del Tratamiento a Gran Escala

Para determinar el nivel de riesgo del tratamiento, el responsable o encargado deberá evaluar, como mínimo, los criterios cualitativos:

  • La permanencia del tratamiento;
  • Las categorías de datos personales tratados;
  • La frecuencia del tratamiento; y,
  • El alcance geográfico del tratamiento

El responsable o encargado deberá actualizar y modificar el Registro de Actividades de Tratamiento (RAT) al menos una vez al año o cuando se produjeren cambios que incidan en los criterios determinantes o el nivel de riesgo de un tratamiento a gran escala. Debiendo llevar la debida evidencia del cálculo, la fecha de la última actualización del RAT y del Modelo Técnico de Gran Escala (MTGE), garantizando la trazabilidad.

La no actualización o modificación del RAT será objeto de sanción para el responsable o el encargado que tuviere acceso, visibilidad o control efectivo.

Identificación y Cálculo para el Tratamiento de Datos Personales a Gran Escala

Se establece el MTGE como un instrumento técnico-jurídico para valorar el nivel de riesgo y la magnitud de un tratamiento de datos personales; basado en la suma de 6 componentes que reflejan dimensiones esenciales: i. número de titulares, ii. Volumen de datos personales, iii. Categorías de datos personales, iv. Frecuencia del tratamiento; v. Permanencia del tratamiento y vi. Alcance geográfico del tratamiento.

Cada variable tendrá una puntuación especificada según los parámetros en la presente resolución, el puntaje total (P) del MTGE se calculará sumando el puntaje obtenido de cada componente.

El tratamiento de datos personales será considerado de gran escala cuando el valor total sea igual o mayor al umbral de calificación equivalente a 6 puntos.

Casos de Calificación Directa Obligatoria de Tratamiento a Gran Escala

Las siguientes actividades constituirán tratamiento de gran escala de manera obligatoria sin necesidad de aplicar el MTGE:

  • Tratamientos relativos a la salud, particularmente en el marco de sistemas sanitarios, asistenciales, de seguridad social o gestión de historiales clínicos, así como los que realicen tratamientos de datos sensibles.
  • La evaluación sistemática y exhaustiva de aspectos personales de personas naturales en tratamientos automatizados, como perfilamiento, predicción o monitoreo, cuando se derivaren decisiones con efectos jurídicos o que afecten derechos de los titulares.
  • La observación, vigilancia o monitoreo sistemático de personas en espacios públicos, mediante sistemas de videovigilancia y otros mecanismos de supervisión continua.
  • Todo tratamiento de datos biométricos y actividades de geolocalización.
  • El tratamiento en sistemas de información crediticia, financiera o de evaluación de riesgo económico.
  • El tratamiento de datos de menores de edad, cuando se realice en entornos institucionales, educativos, digitales o de prestación de servicios.
  • Las transferencias, nacionales e internacionales, sistemáticas de datos personales, cuando formaren parte de flujos continuos o estructurales de información entre responsables.
  • El tratamiento de datos en servicios de mensajería acelerada, expresa o Courier.

Obligaciones del Tratamiento a Gran Escala

Se deberá mantener el RAT con la información pertinente, incluyendo: descripción del tratamiento; categorías y tipos de datos; titulares de datos; frecuencia del tratamiento; permanencia del tratamiento; y, medidas de seguridad.

Los responsables y encargados deberán garantizar que, antes y durante el tratamiento a gran escala se apliquen medidas de privacidad desde el diseño y por defecto. Además, deberán someterse al menos 1 vez cada 12 meses, a auditorías internas o externas, que podrán realizarse bajo estándares, metodologías o certificaciones reconocidas.

En el caso de los encargados de tratamiento, la obligación de someterse a auditorías será exigible únicamente respecto de los procesos y actividades sobre los cuales tuvieren control o responsabilidad directa.

Los responsables o encargados deberán identificar expresamente dichos tratamientos en sus políticas de privacidad, indicando sus finalidades principales, las categorías de datos y de titulares, y los derechos que les asisten.