Privacidad en la mira: Acuerdo comercial entre Ecuador y Estados Unidos apuesta por una transferencia más libre de información personal

El 13 de marzo de 2026, Estados Unidos y Ecuador firmaron un "Acuerdo Comercial Recíproco" amplio que ha sido descrito como uno de naturaleza geopolítica. Aunque la mayor parte de la atención, hasta ahora, se ha concentrado en la reducción o eliminación de aranceles así como en inquietudes de ciertos sectores industriales, el tratado también incluye apartados que buscan la transferencia de información personal a Estados Unidos.

De manera explícita, el acuerdo insta a que Ecuador reconozca a la jurisdicción estadounidense como "adecuada" para la transferencia y tratamiento de datos de personas que habitan en el territorio ecuatoriano.

Organizaciones sociales consideran que el acuerdo, tal como está redactado hasta ahora, "tendría consecuencias adversas sobre la soberanía política y tecnológica ecuatoriana", a la vez que piden a las autoridades a reconsiderar compromisos.

En un mundo hiperconectado como el de ahora, expertos y autoridades coinciden en que deben existir mecanismos para que organizaciones, personas y gobiernos rindan cuentas si usan nuestra información sin permiso o de manera abusiva. Ejemplos de esto son el caso de Cambridge Analytica, en el que a partir de 2014 se realizó un perfilamiento de las preferencias políticas de millones de personas mediante Facebook, y que llegaron a influir en procesos electorales en Estados Unidos y Reino Unido, o el caso de Clearview AI, en el que una empresa en 2019 recopiló millones de fotografías publicadas en redes sociales para bases de datos de uso policial.

Fuera del ámbito tecnológico, además, analistas han señalado que, si bien el acuerdo podría permitir inversiones, el tratado también enfrenta riesgos legales y desafíos internos en Ecuador.

No obstante, el presidente Daniel Noboa ha asegurado que el acuerdo, firmado el 13 de marzo, no es definitivo y que se renegociará en agosto de este año.

¿Qué dice el acuerdo sobre la transferencia de información personal?

El tratado expone lineamientos que se espera Ecuador cumpla para que, eventualmente, exista un marco más flexible para la transferencia de información personal hacia Estados Unidos, con fines principalmente comerciales.

En el acuerdo se indica que Ecuador deberá facilitar el comercio digital al "abstenerse de medidas que discriminen los servicios digitales de Estados Unidos o los productos distribuidos digitalmente de Estados Unidos, asegurando la libre transferencia de información a través de entornos de confianza para llevar a cabo negocios, y colaborar con Estados Unidos para abordar desafíos de ciberseguridad".

De manera puntual, en la tercera sección del Anexo III, existe un artículo cuyos dos únicos numerales están enfocados en la transferencia de información.

El primer numeral indica que Ecuador "deberá esforzarse en reconocer a Estados Unidos como un país o jurisdicción que provee una protección de datos adecuada bajo su marco legal para el 31 de diciembre de 2026".

Mientras que en el segundo numeral expone que Washington esperará que el Estado ecuatoriano reconozca dos certificados de transferencia de datos personales entre países, impulsados por Estados Unidos, como "mecanismos válidos" dentro del marco legal de Ecuador. 

Estos certificados son el Global Cross Border Privacy Rules (CBPR) y el Global Privacy Recognition for Processors (PRP), los dos bajo el control del Global CBPR Forum, entidad establecida en 2022 por Estados Unidos, Canadá, Japón, Corea del Sur, Filipinas, Singapur y Taiwán. 

El sistema del certificado CBPR fue lanzado apenas en 2025.

En diciembre del año pasado, la Comisión Europea determinó que el CBPR no asegura un nivel suficiente de protección para información personal proveniente de la Unión Europea (UE).

La Ley de Protección de Datos Personales de Ecuador, vigente desde 2021, está inspirada fuertemente en el Reglamento General de Protección de Datos de la UE (GDPR). Según un análisis del Centre For Information Policy Leadership, con sede en Washington y oficinas en Bruselas y Londres, solo el 72% de los requerimientos del certificado CBPR están alineados con las políticas del GDPR. 

Organizaciones piden se garanticen derechos humanos en entornos digitales

En una declaración firmada por ocho organizaciones sociales ecuatorianas y regionales, incluida la Fundación Regional de Derechos Humanos (INREDH) y la oenegé Derechos Digitales, estas instaron a las autoridades a "reconsiderar" los compromisos hechos por Ecuador en el acuerdo, al argumentar que se cedería "un terreno importante en la soberanía regulatoria y tecnológica de Ecuador".

Respecto a considerar que Estados Unidos tenga un marco legal "adecuado" para la protección de datos personales, las organizaciones señalan que, a diferencia de Ecuador -que tiene la Ley Orgánica de Protección de Datos (LOPDP), así como la Superintendencia de Protección de Datos Personales (SPDP) como ente de control y regulación-, Estados Unidos "no cuenta con una ley federal de privacidad" integral.

El país norteamericano, hasta la fecha, tiene un ecosistema normativo de protección de datos bastante fragmentado y descentralizado, de acuerdo con un artículo publicado por la University of Cincinnati Law Review. 

En Estados Unidos hay regulaciones para tratamiento de información como las relacionado a datos médicos (HIPAA), financieros y bancarios, (GLBA), de menores de edad (COPPA) y académicos (FERPA).

Además hay 17 estados, como California, Colorado, Oregon y Nueva Jersey, que cuentan con leyes propias para la protección de datos personales.

La Comisión Federal de Comercio (FTC, en inglés) es la principal entidad de control de privacidad en Estados Unidos, pero ha sido cuestionada por organizaciones civiles en ese país por su capacidad y autoridad para asegurar la protección de información de ciudadanos estadounidenses.

La innovación tecnológica y la protección de datos debe confluir, dice la SPDP

Manuel Jacho Chávez, superintendente subrogante de Protección de Datos Personales (SPDP), señaló en una entrevista con PRIMICIAS que actualmente ya existe un reglamento que determina la manera en la que se debe dar la transferencia de datos personales desde Ecuador a otros países, y que se han iniciado conversaciones con Estados Unidos con miras a que Washington pueda tener el reconocimiento correspondiente para el manejo de este tipo de información.

Jacho, quien habitualmente se desempeña como Intendente General de Regulación, indicó que desde la SPDP consideran que se puede "encontrar estándares adecuados que permitan garantizar que los datos de los residentes en Ecuador" tengan un marco de protección en el ámbito comercial con Estados Unidos.

Como ejemplo pone a Uruguay, que actualmente reconoce marcos jurídicos adecuados para transferir datos personales tanto a la Unión Europea como a Estados Unidos. Estas dos economías son conocidas por tener enfoques opuestos en el tratamiento de datos, con Bruselas favoreciendo la soberanía digital mientras que Washington aboga por una circulación de información más libre.

"Puede entenderse las alarmas que existen en cuanto a las actividades (de transferencia de datos, ndr), creo que no podemos aislarnos del mundo de la globalización económica", considera Jacho.

No obstante, en 2023 Uruguay determinó que la transferencia de datos bajo su jurisdicción podía realizarse a Estados Unidos si es que se realizaba bajo el régimen del Marco de Privacidad de la Unión Europea y Estados Unidos (DPF), caso contrario, por medio de cláusulas contractuales.

El DPF usado por Uruguay fue creado en 2023 después de que en 2020 se invalidó otra ley denominada US-EU Privacy Shield, cuando un tribunal europeo consideró que con esta última podía haber un uso excesivo de la información por parte de los programas de vigilancia del gobierno estadounidense.

Respecto al reconocimiento de los certificados CBPR , el superintendente subrogante comenta que "capaz" este deba ser complementado con "mecanismos que garanticen ejercicios de derechos, tutelaje por parte del ente de control y la protección judicial de los derechos".

El funcionario afirmó a PRIMICIAS que la Superintendencia ya se ha contactado con la Embajada de Estados Unidos para crear mesas de trabajo conjuntas y así identificar la información que requiere Ecuador para que se emita una "eventual" declaración que reconozca a la jurisdicción estadounidense como una "adecuada" para el tratamiento de datos personales de ecuatorianos y extranjeros residentes en el país.