Lo Último
Temas:

Economía

Estas son las 12 prohibiciones para las cláusulas de protección de datos personales en Ecuador

Superintendencia emite resolución que establece el contenido que debe contener y que no debe contener una cláusula para la protección de datos personales en Ecuador.

Imagen de referencia de una pareja firmando un contrato, 7 de marzo de 2025.

Imagen de referencia de personas firmando un contrato, 7 de marzo de 2025.

- Foto

Freepik

Autor:

Mónica Orozco

Actualizada:

ÚNETE A NUESTRO CANAL

La Superintendencia de Protección de Datos Personales, a través de la resolución SPDP-SPD-2025-0006-R, emitida el 1 de mayo de 2025, estableció el contenido obligatorio que debe contener toda cláusula para el tratamiento de datos personales, entre el responsable y el titular. 

La resolución establece que la cláusula debe precisar, entre otros aspectos, la finalidad del tratamiento de datos y si se realizará el tratamiento de datos sensibles. 

Otro detalle importante es que se debe indicar a detalle todos los datos personales que serán objeto de tratamiento sin redacciones abiertas como "entre otros datos". 

Además, se debe indicar la posibilidad de poder presentar el reclamo directamente a la Superintendencia.

En la resolución (descargue aquí el documento), el organismo de control también señala que la cláusula de protección de datos personales no podrá caracterizarse, bajo ninguna consideración, por cualquiera de los siguientes defectos:

  1. Ambigüedad o vaguedad: 

    • La cláusula de protección de datos personales, en cualquiera de los contratos que se incluyere y sin importar quiénes fueren las partes, debe ser clara y específica en cuanto al tratamiento de los datos, la finalidad y los derechos de los titulares. En consecuencia, no debe prestarse, bajo ningún respecto, para dudas o interpretaciones indeterminadas, vagas o confusas

  2. 2. Finalidades no legítimas:

    • La cláusula no debe permitir ni describir el tratamiento de los datos para fines que no fueren legítimos, lícitos, específicos y explícitos, conforme a la legislación de protección de datos.

  3. Falta de bases de legitimación: 

    • En ningún caso se podrá establecer o estipular una cláusula que busque realizar tratamientos de datos personales que no cuenten con una base de legitimación, de acuerdo con lo establecido en la Ley Orgánica de Protección de Datos Personales.

  4. Falta de transparencia: 

    • Una cláusula de protección de datos no debe omitir información importante, tales como la identidad del responsable del tratamiento o la del encargado del tratamiento, los derechos del titular de los datos, las finalidades de tratamiento, entre otras informaciones necesarias.

  5. Omisión de la responsabilidad en la implementación de medidas de seguridad: 

    • La cláusula de protección de datos no debe excluir la responsabilidad que tienen las partes suscriptoras del contrato de contar con medidas de seguridad que deben implementarse para proteger los datos personales del acceso no autorizado o el tratamiento indebido.

  6. Excesos en la recopilación de datos: 

    • La cláusula no debe permitir que se reciban o recojan datos en forma indiscriminada o que se traten más datos que los estrictamente necesarios para cumplir con la finalidad del tratamiento.

  7. No respetar derechos de los titulares: 

    • La cláusula no debe impedir o limitar de manera indebida, por acción u omisión, los derechos de los titulares de los datos ni su cabal ejercicio.

  8. Condiciones de transferencia o comunicación de datos sin control: 

    • La cláusula de protección de datos no debe permitir la transferencia o comunicación de los datos a terceros sin garantías adecuados o sin informar previa, debida, suficiente y fehacientemente al titular de los datos.

  9. Exenciones excesivas de responsabilidad: 

    • La cláusula de protección de datos no debe eximir ni liberar ni al responsable ni al encargado del tratamiento de las obligaciones establecidas en la normativa de protección de datos personales vigente.

  10. Falta de plazo de conservación de los datos: 

    • La cláusula no debe omitir información sobre el período de retención de los datos personales, el cual debe ser limitado al tiempo necesario para cumplir con la finalidad del tratamiento.

  11. Restricciones de derechos, tratamientos ilícitos y omisiones esenciales: 

    • Una cláusula de protección de datos no debe contener disposiciones que vulneren, restrinjan, limiten o soslayen los derechos de los titulares de datos personales ni que permitan el tratamiento ilegítimo, ilícito o que omitan detalles esenciales sobre el manejo de los datos.

  12. La palabra "otros": 

    • Los demás que estableciere la normativa en protección de datos personales vigente.

Contenido Patrocinado