por | Feb 20, 2026 | Novedad Jurídica | 0 Comentarios

La Superintendencia de Protección de Datos Personales (SPDP) publicó la Resolución No. SPDP-SPD-2026-0009-R el 12 de febrero de 2026; mediante la cual expidió la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial.

La norma es de obligatorio cumplimiento para los responsables y encargados del tratamiento siempre que desarrollen, entrenen, implementen, desplieguen o provean sistemas de Inteligencia Artificial. No se aplicará en los sistemas de inteligencia artificial que no procesen datos personales de conformidad con la Ley Orgánica de Protección de Datos Personales (SPDP).

Puntos Claves

Principios Rectores y Garantías en el Uso de Inteligencia Artificial (IA)

Se regirán con los principios establecidos en la LOPDP. Los responsables y encargados del tratamiento garantizarán los derechos reconocidos en la misma norma, además del acceso a los mecanismos para su ejercicio según el Reglamento General a la Ley Orgánica de Protección de Datos Personales (RGLOPDP). Se deberá garantizar el derecho a no ser objeto de una decisión basada únicamente en valoraciones automatizadas, así como el derecho a la información y el derecho de oposición.

Obligaciones de los Responsables y Encargados del Tratamiento

Son obligaciones para los responsables y encargados del tratamiento:

  • Informar al titular respecto al tratamiento de datos personales, incluyendo finalidad y su carácter automatizado.
  • Realizar la gestión de riesgos y evaluaciones de impacto.
  • Implementar medidas de seguridad administrativas, técnicas, físicas, organizativas y jurídicas en función de las categorías y el volumen de datos personales, además de identificar los riesgos probables en el uso de sistemas de IA que traten datos personales.
  • Incluir los tratamientos de datos personales en el Registro de Actividades de Tratamiento (RAT).
  • Auditar el funcionamiento general del sistema de IA en función del nivel de riesgos.

Los responsables y encargados deberán realizar una gestión de riesgos y evaluación de impacto de acuerdo con la normativa vigente. Deberán, además, de forma permanente y continua, implementar las medidas de seguridad adecuadas según la normativa, en consecuencia, deberán: incluir en el RAT las decisiones automatizadas; implementar la gestión de riesgos, la evaluación de impacto y las medidas de seguridad; y, realizar auditorías.

En caso de incumplimiento, los responsables y encargados del tratamiento serán sancionados de conformidad con la normativa prevista para tal efecto.

Garantía del Derecho de Protección de Datos Personales

Dejando a salvo las excepciones por norma, podrán realizarse los tratamientos de datos personales a través de sistemas de IA, siempre y cuando se garanticen y cumplan, en todo momento, los principios, los derechos y las obligaciones previstas en le LOPDP, en el RGLOPDP y en la normativa secundaria expedida por la SPDP.

La SPDP podrá auditar los sistemas de IA, así también imponer medidas correctivas o medidas cautelares de conformidad con la LOPDP y el Código Orgánico Administrativo (COA), cuando no se garanticen los principios, derechos y obligaciones establecidos.