Centros de desarrollo infantil y la LOPDP: tres categorías especiales de datos en un solo formulario
Cada formulario de ingreso, registro de desarrollo neuromotor, informe de evaluación o historial de sesiones que gestiona un centro de estimulación temprana es, ante la ley ecuatoriana, un dato sensible de un grupo de atención prioritaria. La LOPDP no lo trata como un dato cualquiera: impone obligaciones específicas, plazos concretos y sanciones reales. Y la mayoría de centros infantiles en Ecuador todavía no ha iniciado el cumplimiento.
Por qué estos centros concentran múltiples categorías especiales
El Art. 25 LOPDP establece cuatro categorías especiales de datos con régimen de protección reforzado: datos de niñas, niños y adolescentes; datos de salud; datos sensibles (incluye biométricos y genéticos); y datos de personas con discapacidad y sus sustitutos.
Un centro de desarrollo infantil o de estimulación temprana no solo maneja la primera de estas categorías: en muchos casos las maneja todas al mismo tiempo. Registros de desarrollo psicomotriz, diagnósticos neurológicos, evaluaciones fonoaudiológicas, informes de terapia ocupacional, fotografías y videos de sesiones, datos biométricos para control de acceso. Cada elemento activa obligaciones específicas y multiplica el nivel de riesgo regulatorio.
Cuando en un mismo tratamiento confluyen datos de NNA, datos de salud y datos de discapacidad, no está ante un solo problema de cumplimiento: está ante tres categorías especiales simultáneas. El régimen de protección es acumulativo, no alternativo.
La triple capa de exigencia
1. Datos de niñas, niños y adolescentes
El Art. 19 Reglamento LOPDP establece que para tratar datos de menores de 15 años se requiere el consentimiento del representante legal. Para datos sensibles o decisiones automatizadas sobre menores, ese consentimiento debe ser expreso. Sin eso documentado, el tratamiento carece de base legal.
El Art. 20 Reglamento añade que el consentimiento que menoscabe el interés superior del niño — conforme al Código de la Niñez y Adolescencia — es inválido de pleno derecho. Un formulario mal redactado puede nulificar toda la base legal del tratamiento, sin importar cuántas firmas tenga.
2. Datos de salud
El Art. 31 LOPDP impone requisitos específicos: los datos de salud deben tratarse bajo principios de confidencialidad y secreto profesional; siempre que sea posible deben ser previamente anonimizados o seudonimizados; y el tratamiento solo puede realizarlo un profesional sujeto a la obligación de secreto profesional o bajo su responsabilidad.
Para un centro de estimulación esto tiene implicaciones prácticas directas: los informes de los terapeutas, los registros de evolución y cualquier comunicación con especialistas externos son datos de salud bajo la LOPDP. Su almacenamiento en carpetas compartidas sin control de acceso, su envío por mensajería sin cifrado, o su entrega a terceros sin autorización expresa del representante legal constituyen infracciones a la norma.
3. Datos de personas con discapacidad
El Art. 25 LOPDP reconoce como categoría especial independiente los datos de personas con discapacidad y de sus sustitutos. Cuando un centro trabaja con niños que tienen una condición diagnosticada, el registro de esa condición es en sí mismo un dato especialmente protegido — independiente de que también sea dato de salud y dato de NNA.
La normativa ecuatoriana no establece — al corte de esta publicación — un régimen diferenciado de consentimiento para datos de discapacidad en menores, más allá del consentimiento del representante legal exigido para NNA. Sin embargo, dado que también son datos sensibles bajo el Art. 25 LOPDP, el consentimiento debe ser expreso. Ante cualquier duda, consulte a la SPDP o a un especialista.
La obligación que muchos desconocen: el Delegado de Protección de Datos
La Res. SPDP-SPD-2025-0028-R Art. 10 es explícita sobre los sujetos obligados a designar un DPD, con independencia de si tienen o no fines de lucro:
- Las instituciones de educación inicial, educación general básica y bachillerato
- Cualquier institución que trate datos de menores de edad aunque no lo haga en el ámbito educativo
- Toda actividad que conlleve tratamiento de datos de categorías especiales relacionadas con menores
Un centro de estimulación temprana que no se define como institución educativa sigue estando en esta lista. La obligación no depende del nombre del establecimiento ni de su figura jurídica: depende de si trata datos de menores.
El DPD no puede ser el director del centro, un socio, ni pariente hasta cuarto grado de consanguinidad de los administradores. Debe contar con título de tercer nivel en Derecho, Sistemas de Información, Comunicación o Tecnologías, y al menos cinco años de experiencia acreditada (Art. 55 Reglamento LOPDP). Puede ser interno o externo, siempre que se garantice su independencia y acceso directo al más alto nivel ejecutivo.
La EIPD también puede ser obligatoria para centros pequeños
La Res. SPDP-SPD-2026-0005-R califica como tratamiento de gran escala de forma directa y obligatoria dos supuestos que aplican simultáneamente a estos centros:
- Art. 14.1: Tratamientos relativos a la salud en el marco de sistemas asistenciales, y otros datos de categorías especiales sensibles.
- Art. 14.5: Tratamiento sistemático de datos de NNA en entornos institucionales, educativos, digitales o de prestación de servicios dirigidos a estos grupos de atención prioritaria.
Las consecuencias inmediatas: obligación de EIPD antes de iniciar o continuar el tratamiento, refuerzo de la obligación de DPD, incorporación al RAT, y medidas reforzadas de responsabilidad proactiva.
La aplicación de la calificación "gran escala" a centros de tamaño pequeño o mediano no ha sido objeto de pronunciamiento expreso de la SPDP al corte de esta publicación. Si su institución atiende un número reducido de niños, consulte a la SPDP o a un especialista antes de asumir que esta calificación no le aplica.
Verificación de cumplimiento: los puntos de mayor riesgo regulatorio
| Obligación | Base legal | Estado típico en el sector |
|---|---|---|
| Consentimiento expreso del representante legal para datos del niño | Art. 19, Reglamento LOPDP | Frecuentemente ausente o verbal |
| Consentimiento expreso separado para datos de salud | Art. 26, LOPDP | Sin documentación específica |
| Consentimiento expreso separado para datos de discapacidad | Art. 25, LOPDP | Sin documentación específica |
| Política de privacidad en lenguaje claro para familias | Art. 24, LOPDP | Poco implementada |
| Designación y registro del DPD | Arts. 10.1 y 10.3, Res. SPDP-2025-0028-R | En mayoría pendiente |
| Registro de Actividades de Tratamiento (RAT) | Art. 44, LOPDP | No estructurado |
| EIPD si hay tratamiento sistemático | Art. 42, LOPDP / Res. SPDP-2026-0005-R | Casi inexistente en el sector |
| Protocolo de confidencialidad para terapeutas | Art. 31, LOPDP | Sin controles formales |
| Canal formal de derechos ARCO | Arts. 13-18, LOPDP | Sin canal definido |
| DPA con proveedores (plataformas, apps, cámaras) | Art. 35, LOPDP / Res. SPDP-2025-0006-R | Sin contratos de encargo |
El riesgo concreto: no es solo una multa
Las sanciones por incumplimiento de la LOPDP pueden llegar hasta porcentajes significativos de la facturación anual. Pero el riesgo reputacional puede ser más severo que el económico.
Un incidente que exponga datos de niños con condiciones de salud o discapacidad — una filtración de informes terapéuticos, el acceso no autorizado a registros de desarrollo, o la revelación de un diagnóstico sin autorización — puede destruir la confianza de las familias en cuestión de horas y tener consecuencias legales que van más allá del régimen administrativo.
Los terapeutas también son un punto de riesgo
Los terapeutas, psicólogos, fonoaudiólogos y médicos acceden habitualmente a los datos más sensibles del sistema. La Art. 31 LOPDP exige que los acuerdos de confidencialidad estén formalizados por escrito, que los accesos estén delimitados por función, y que existan protocolos claros sobre qué puede compartirse con quién y bajo qué condiciones. No es automático.
Los proveedores tecnológicos también son su responsabilidad
Si su institución usa aplicaciones de gestión, plataformas de comunicación con familias, sistemas de videovigilancia o servicios en la nube que procesan datos de niños, esos proveedores son encargados del tratamiento bajo la LOPDP. Sin el contrato de encargo correspondiente (Res. SPDP-2025-0006-R), el riesgo legal recae íntegramente sobre su institución.
Por dónde empezar: tres acciones prioritarias
- Mapa de datos. Identificar qué datos de menores y representantes trata, con qué finalidad, dónde se almacenan, cuánto tiempo se conservan y quién tiene acceso. Incluya expresamente los datos de salud y discapacidad — son los de mayor riesgo y con más frecuencia se gestionan sin controles adecuados.
- Revisar y documentar el consentimiento. Los formularios de ingreso deben distinguir claramente el consentimiento para datos de NNA, el consentimiento expreso para datos de salud, y el consentimiento expreso para datos de discapacidad. Son tres bases legales diferentes que deben documentarse de forma independiente.
- Designar o contratar un DPD. Dada la obligación legal explícita y la triple concurrencia de categorías especiales, este no es un paso que pueda postergarse. El DPD puede ser interno o externo, siempre que cumpla los requisitos del Reglamento y la Res. SPDP-2025-0028-R.
¿Sabe si su institución cumple con la LOPDP?
En Wiibiq realizamos un diagnóstico gratuito DataGuard para centros de desarrollo infantil y estimulación temprana. Identificamos brechas reales en el tratamiento de datos de NNA, datos de salud y datos de discapacidad, priorizamos acciones y acompañamos el cumplimiento sin tecnicismos innecesarios.
Solicitar diagnóstico gratuito DataGuard →