Almeida Guzmán Asociados informa que, el 2 de febrero de 2026, la Superintendencia de Protección de Datos Personales – SPDP emitió la Resolución N.º SPDP-SPD-2026-0005-R, mediante la cual se expide la Norma General sobre el Tratamiento de Datos Personales a Gran Escala, que establece criterios técnicos y jurídicos para identificar, evaluar y gestionar aquellos tratamientos que, por su magnitud o nivel de riesgo, requieren la aplicación de medidas reforzadas de cumplimiento, control y responsabilidad proactiva, en desarrollo de las obligaciones previstas en la Ley Orgánica de Protección de Datos Personales y su Reglamento. Así:
1. Contexto normativo
La Superintendencia de Protección de Datos Personales (SPDP) expidió la Norma General sobre el Tratamiento de Datos Personales a Gran Escala, con el objetivo de establecer criterios técnicos y jurídicos para identificar, evaluar y gestionar tratamientos que, por su magnitud o riesgo, requieren medidas reforzadas de cumplimiento, control y responsabilidad proactiva.
Esta resolución desarrolla las obligaciones previstas en la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento, especialmente en materia de:
· Evaluaciones de impacto;
· Designación obligatoria de Delegado de Protección de Datos (DPO);
· Auditorías; y,
· Transparencia y trazabilidad de los tratamientos.
2. ¿Cuándo un tratamiento se considera “a gran escala”?
La norma introduce el Modelo Técnico de Gran Escala (MTGE), que permite calificar objetivamente los tratamientos en función de seis variables:
· Número de titulares.
· Volumen de datos.
· Categorías de datos.
· Frecuencia del tratamiento.
· Permanencia del tratamiento.
· Alcance geográfico.
Un tratamiento será considerado a gran escala cuando el puntaje total sea igual o superior a 6 puntos, lo que activa automáticamente obligaciones legales reforzadas. Adicionalmente, existen casos de calificación directa obligatoria, como:
· Tratamientos de datos de salud y categorías especiales.
· Videovigilancia y monitoreo sistemático en espacios públicos.
· Datos biométricos y geolocalización.
· Perfilamiento automatizado con efectos jurídicos.
· Tratamiento sistemático de datos de niñas, niños y adolescentes.
· Transferencias internacionales estructurales y continuas.
3. Obligaciones clave para responsables y encargados
3.1. Registro de Actividades de Tratamiento (RAT) reforzado
Los tratamientos a gran escala deben constar en un RAT actualizado, que incluya como mínimo: descripción del tratamiento, categorías de datos y titulares, frecuencia, permanencia y medidas de seguridad. El RAT deberá revisarse al menos una vez al año o cuando existan cambios sustanciales en el tratamiento o en su nivel de riesgo.
3.2. Evaluación de Impacto en Protección de Datos (EIPD)
Cuando el tratamiento es calificado como de gran escala, se activa la obligación de realizar una Evaluación de Impacto previa, con el objetivo de identificar los riesgos para los derechos de los titulares, establecer medidas técnicas y organizativas para mitigar esos riesgos, y justificar la proporcionalidad y necesidad del tratamiento.
3.3. Designación obligatoria de Delegado de Protección de Datos (DPO)
Los responsables de tratamientos a gran escala deben designar un DPO, registrarlo ante la SPDP y cumplir con este requisito dentro del plazo máximo de 90 días desde la entrada en vigencia de la norma.
3.4. Privacidad desde el diseño y por defecto
Se impone la obligación de aplicar los principios de Privacy by Design y Privacy by Default (privacidad desde el diseño y por defecto), lo que implica que la protección de datos debe ser incorporada desde la fase de planificación del tratamiento y mantenerse durante todo su ciclo de vida.
3.5. Auditorías obligatorias
Los responsables y encargados deben someterse a auditorías internas o externas al menos una vez cada 12 meses, y a auditorías adicionales cuando cambien tecnologías utilizadas, finalidades del tratamiento, nivel de riesgo, o el alcance y naturaleza del tratamiento. Los informes de auditoría deben conservarse durante un mínimo de cinco años y estar disponibles para la SPDP cuando sean requeridos.
3.6. Transparencia y políticas de privacidad
Las políticas de privacidad deben identificar expresamente los tratamientos a gran escala e informar de manera clara sobre las finalidades, las categorías de datos tratados, las categorías de titulares y los derechos que les asisten.
3.7. Informes anuales de cumplimiento
Los responsables y, cuando corresponda, los encargados, deben elaborar informes que documenten las actividades de control interno, los resultados de auditorías, la revisión del MTGE, la actualización de la EIPD y las medidas de mejora implementadas. Estos informes deben conservarse durante cinco años y estar disponibles para la SPDP.
4. Régimen diferenciado para Encargados del Tratamiento
El encargado solo asume estas obligaciones respecto de las fases del tratamiento sobre las que tenga:
· Acceso;
· Visibilidad; o,
· Control efectivo
Esta delimitación no implica exoneración de responsabilidad, sino una aplicación proporcional conforme a la naturaleza del servicio prestado y a las instrucciones del responsable.
5. Riesgo sancionatorio y recomendación práctica
La omisión en la actualización o modificación del Registro de Actividades de Tratamiento (RAT) será sancionada conforme al régimen previsto en la Ley Orgánica de Protección de Datos Personales (LOPDP) y su normativa aplicable.
Adicionalmente, el incumplimiento de las obligaciones relacionadas con la identificación del tratamiento a gran escala, la aplicación del Modelo Técnico de Gran Escala (MTGE), la ejecución de evaluaciones de impacto, la implementación de auditorías y la adopción de medidas de control y seguridad podrá dar lugar a responsabilidades administrativas en el marco del régimen general de supervisión y control ejercido por la Superintendencia de Protección de Datos Personales.
En este contexto, se recomienda que las organizaciones que traten datos personales en sectores como salud, educación, turismo, financiero, logística y courier, automotriz y videovigilancia, realicen de manera prioritaria un diagnóstico MTGE, actualicen su RAT y validen si se encuentran obligadas a:
· Designar un Delegado de Protección de Datos (DPO).
· Ejecutar una Evaluación de Impacto en Protección de Datos (EIPD).
· Implementar auditorías formales de cumplimiento en materia de protección de datos personales.
Quedamos atentos a cualquier inquietud que pueda surgir. Las consultas se las puede realizar a la siguiente dirección de correo: pmerino@almeidaguzman.com
Quito D.M. / Guayaquil, febrero de 2026
