Recursos· DataGuard · LOPDP· Sector Automotriz

LOPDP para concesionarios y talleres de vehículos en Ecuador: score, seguros y el límite del equipo legal interno

📅 Abril 2026 ⏱ 14 min lectura ✍ Wiibiq ⚖️ Alto riesgo normativo

Un concesionario de vehículos opera en la intersección de tres de los tratamientos de datos más regulados bajo la LOPDP: el perfilamiento crediticio del comprador, la gestión de datos de seguros, y el historial de mantenimiento del vehículo ligado a su propietario. Agregue la fuerza de ventas con acceso a CRM, los sistemas de financiamiento con algoritmos de scoring, y los talleres con datos de múltiples clientes en rotación continua — y tiene un perfil de riesgo normativo que muchos equipos legales internos no están preparados para gestionar. Este artículo explica por qué.

El mapa de datos de un concesionario: más complejo de lo que parece

El primer error frecuente en el sector automotriz es pensar que los datos que trata son "solo los del cliente que compra". En realidad, un concesionario mediano opera con al menos ocho flujos de datos personales simultáneos, varios de ellos con implicaciones normativas de primer nivel bajo la LOPDP:

Macroproceso	Datos personales involucrados	Riesgo LOPDP
Evaluación crediticia del comprador	Cédula, ingresos declarados, historial en buró de crédito, referencias comerciales, datos del garante, situación laboral, extractos bancarios	Alto — perfilamiento financiero + decisiones automatizadas (Art. 20 LOPDP)
Gestión de seguros del vehículo	Datos del asegurado, historial de siniestros, datos de la aseguradora, beneficiarios de la póliza, datos de salud si aplica en accidentes	Alto — transferencia a terceros (aseguradoras) + potencialmente datos de salud
Historial de mantenimiento (taller)	Nombre del propietario, placa, historial de reparaciones, comportamiento de uso del vehículo, datos de contacto del conductor habitual	Moderado — datos de comportamiento vinculados a persona identificada
CRM de ventas	Leads, prospectos no convertidos, historial de interacciones, preferencias de vehículo, presupuesto declarado, notas de gestión comercial	Moderado — datos de prospectos que nunca firmaron contrato
Financiamiento con entidad bancaria	Todos los datos del comprador más datos de scoring compartidos con el banco o financiera	Alto — transferencia masiva de datos financieros a tercero
Programa de posventa y fidelización	Historial de compras, preferencias, datos de contacto para campañas, comportamiento en app o portal del cliente	Moderado — requiere consentimiento separado para marketing
Personal: vendedores, técnicos, administrativos	Datos de empleados, comisiones, registros de desempeño, biometría si hay control de asistencia	Ordinario + potencialmente biometría
Cámaras de seguridad en showroom y taller	Imágenes de clientes, visitantes, empleados y vehículos en instalaciones	Moderado — requiere aviso visible y política de retención

El scoring crediticio: el tratamiento de mayor riesgo normativo

Cuando un concesionario evalúa la capacidad crediticia de un comprador para aprobar el financiamiento de un vehículo, está realizando uno de los tratamientos más regulados bajo la LOPDP: el perfilamiento financiero con impacto en decisiones significativas.

El Art. 20 LOPDP regula expresamente las decisiones automatizadas — incluyendo la elaboración de perfiles — cuando producen efectos jurídicos sobre el titular o le afectan de modo similar. La aprobación o rechazo de un crédito vehicular encaja exactamente en esa definición. Esto implica:

El comprador tiene derecho a no ser objeto de una decisión basada únicamente en tratamiento automatizado — puede solicitar que un humano revise la decisión
El concesionario debe poder explicar los criterios con los que se evaluó al solicitante — si el scoring lo hace un algoritmo del banco o financiera, el concesionario debe conocer y comunicar esos criterios
El comprador puede impugnar la decisión y obtener una revisión con intervención humana
Los datos del solicitante rechazado no pueden conservarse indefinidamente ni reutilizarse para otros fines sin nueva base de licitud

🔴 El caso del garante: el punto más vulnerable

En el proceso de crédito vehicular, los datos del garante son tratados por el concesionario y transferidos al banco o financiera — a menudo sin que el garante haya firmado ningún instrumento específico con el concesionario ni haya sido informado de que sus datos serán compartidos con una entidad financiera. Este flujo, que ocurre en prácticamente todos los cierres de venta con financiamiento, es un incumplimiento sistemático de la LOPDP en la mayoría de concesionarios ecuatorianos. El garante tiene los mismos derechos que el comprador principal — incluyendo el derecho de acceso y revocación.

Seguros: un ecosistema de transferencias de datos sin formalizar

La venta de un vehículo casi siempre incluye gestión de seguros — ya sea como parte del financiamiento obligatorio o como servicio de posventa. En este proceso, el concesionario actúa como intermediario entre el comprador y la aseguradora, lo que genera una cadena de transferencias de datos que la LOPDP regula en cada eslabón:

La transferencia al broker o aseguradora

Cuando el concesionario envía los datos del comprador a una aseguradora o broker de seguros para cotizar o activar una póliza, está realizando una comunicación de datos a un tercero. Bajo la LOPDP, esto requiere:

Base de licitud válida — típicamente el consentimiento del titular o la ejecución del contrato de compraventa si el seguro es parte del financiamiento
Informar al comprador sobre los destinatarios de sus datos en el aviso de privacidad
Si la aseguradora actúa como Responsable del Tratamiento independiente, la relación se rige por las normas de transferencia — no de encargo

El historial de siniestros

El historial de siniestros de un asegurado es un dato que puede revelar comportamiento de conducción, accidentes y eventualmente datos de salud si hubo personas lesionadas. Cuando un concesionario consulta o recibe este historial para evaluar una renovación o nuevo seguro, está tratando datos de comportamiento vinculados a una persona identificada — con base de licitud que debe estar documentada.

El seguro en el crédito vehicular: datos de salud encubiertos

Muchas entidades financieras exigen un seguro de desgravamen vinculado al crédito vehicular. Este seguro puede requerir datos de salud del comprador (estado de salud, enfermedades preexistentes, historial médico para evaluación del riesgo). En el momento en que el concesionario o la financiera recaba esa información, está tratando datos de categoría especial bajo el Art. 25 LOPDP — con todas las obligaciones reforzadas que eso implica.

El taller: un responsable del tratamiento independiente del concesionario

Una empresa que opera tanto concesionario como taller de servicio tiene dos perfiles normativos distintos que frecuentemente se gestionan como uno solo. El taller trata datos que el concesionario no tiene — y viceversa. Los flujos de datos entre ambas unidades también deben tener base de licitud documentada.

Lo que trata un taller automotriz que no siempre se documenta:

Historial de reparaciones vinculado al propietario del vehículo — no solo a la placa
Datos de contacto del conductor habitual, que puede ser distinto del propietario registrado
Información sobre el uso del vehículo: kilometraje, frecuencia de servicio, tipo de conducción — datos de comportamiento
Datos del conductor en caso de accidente ingresado al taller para reparación post-siniestro
Imágenes del vehículo en el proceso de reparación que pueden incluir al propietario

💡 El valor del historial de servicio para el cliente

El historial de mantenimiento es un activo del propietario, no del taller. Bajo el derecho de portabilidad de la LOPDP, el cliente puede solicitar que se le entregue su historial completo en formato estructurado para llevarlo a otro taller. Los talleres que usan sistemas propietarios cerrados deben prever este mecanismo — de lo contrario, bloquear la portabilidad constituye una violación del Art. 22 LOPDP.

La fuerza de ventas como riesgo de datos: el mismo problema que en distribución, amplificado

Un asesor comercial de un concesionario maneja en sus dispositivos datos sensibles de prospectos: ingresos declarados, capacidad de pago, referencias, conversaciones sobre situación financiera. Cuando ese asesor se cambia a la competencia — algo frecuente en el sector — ¿qué pasa con esos datos?

Sin una política formal de gestión de datos de clientes en dispositivos, el concesionario tiene:

Datos de clientes en teléfonos personales de ex-vendedores sin control
Conversaciones de WhatsApp con información financiera de clientes en dispositivos que ya no controla
CRM que el ex-vendedor puede seguir accediendo si no se revocaron los accesos inmediatamente
Bases de datos de prospectos exportadas que circulan en el mercado entre asesores

Por qué el equipo legal interno no es suficiente para ser DPO

Esta es la objeción más frecuente que recibimos en el sector automotriz: "Ya tenemos abogado interno — él puede asumir el DPO". Es comprensible desde la perspectiva de costos, pero tiene consecuencias normativas y operativas que conviene entender antes de tomar esa decisión.

⚠️ El argumento del costo inmediato tiene un costo oculto mayor

El costo mensual de asignar el DPO al equipo legal interno no es cero: requiere capacitación especializada en protección de datos, tiempo dedicado a funciones de supervisión que compiten con la operación legal normal, y —lo más importante— crea un conflicto de independencia funcional que la LOPDP expresamente prohíbe.

La Res. 0028-R y el Art. 49 LOPDP establecen que el DPO debe ejercer sus funciones con independencia funcional — no puede recibir instrucciones del responsable del tratamiento sobre cómo ejercer su supervisión. Un abogado interno que depende jerárquicamente de la gerencia general o del gerente comercial no tiene esa independencia estructuralmente garantizada.

Pero más allá del argumento jurídico, el problema es práctico: el DPO efectivo bajo la LOPDP requiere cuatro competencias simultáneas que raramente coexisten en un solo perfil:

Equipo legal interno

Conoce derecho contractual y mercantil, pero la LOPDP es una rama especializada que requiere formación específica en derecho de datos

No mapea procesos en BPMN ni construye Registros de Actividades de Tratamiento con criterio técnico

No evalúa controles técnicos de seguridad: cifrado, RBAC, logs de auditoría, pseudonimización

No gestiona tickets ARCO con SLA, ni produce Informes Mensuales del DPO ni Boletines Legales con novedades normativas

Tiene conflicto de independencia si reporta a la misma gerencia que toma decisiones sobre los datos

Su tiempo está partido entre múltiples frentes legales — la protección de datos compite con contratos, laborales y litigios

DataGuard by Wiibiq

Abogada especialista en compliance LOPDP dedicada exclusivamente a protección de datos — conoce cada resolución de la SPDP desde su vigencia

Especialista en procesos construye el RAT en notación BPMN por macroproceso — incluyendo scoring, seguros y taller

Especialista TI evalúa controles técnicos del DMS, CRM y sistemas de financiamiento con criterio de seguridad

Ejecutivo de cuenta gestiona tickets ARCO, SLA e Informes Mensuales del DPO como parte del ciclo recurrente

Independencia funcional estructural garantizada — la Célula no forma parte de la jerarquía del concesionario

Seis roles a tiempo completo en protección de datos — sin competencia con otras áreas legales u operativas

📖 Lo que dice la norma sobre la independencia del DPO

El Art. 49 LOPDP establece que el DPO debe poder ejercer sus funciones sin recibir instrucciones en cuanto a su desempeño. La Resolución SPDP-SPD-2025-0028-R especifica los requisitos de independencia funcional para el DPO registrado ante la SPDP. Un abogado que reporta al gerente general o al directorio y cuya continuidad laboral depende de esa misma gerencia no cumple este requisito estructuralmente — independientemente de su buena fe.

En caso de una inspección de la SPDP, la primera pregunta sobre el DPO interno será precisamente sobre su independencia funcional y su dedicación exclusiva a las funciones de supervisión.

El DMS (Dealer Management System) y la LOPDP

El sistema de gestión de concesionarios (DMS) — sea CDK, Reynolds & Reynolds, Autoline, o un sistema propietario — es el repositorio central de todos los datos del concesionario: clientes, vehículos, transacciones, historial de servicio, comisiones de vendedores. Es, en términos normativos, el sistema de mayor riesgo del negocio.

Las obligaciones específicas del DMS bajo la LOPDP:

DPA con el proveedor del DMS — accede a todos los datos de clientes del concesionario y actúa como Encargado del Tratamiento. Si el DMS es en la nube con servidores fuera de Ecuador, aplica la Res. 0028-R sobre transferencias internacionales
Control de acceso por roles (RBAC) — el asesor comercial no debería tener acceso al módulo de taller ni al historial de crédito de clientes que no son suyos. El técnico de taller no debería ver datos financieros del cliente
Logs de auditoría — registro de quién accede a qué datos y cuándo. En caso de un incidente de seguridad o una solicitud ARCO, el DMS debe poder producir esta información
Política de retención — ¿cuánto tiempo conserva el DMS los datos de un comprador que no renovó ni volvió? La respuesta "para siempre" no es compatible con la LOPDP

DataGuardGRC360 · Plataforma de cumplimiento

DataGuardGRC360 para concesionarios y talleres

DataGuardGRC360 es la plataforma de Wiibiq para la gestión integrada del cumplimiento normativo. En un concesionario, resuelve el problema de tener el cumplimiento LOPDP fragmentado: el equipo de ventas no sabe qué documentó el área financiera, el taller no comparte información con el CRM, y el área legal no tiene visibilidad de los datos que tratan los sistemas tecnológicos.

GRC360 centraliza el mapa de datos del concesionario, mantiene el inventario de tratamientos actualizado cuando se incorpora un nuevo producto financiero o una nueva aseguradora, gestiona los flujos de aprobación de DPA con proveedores del DMS y financieras, y produce los informes de cumplimiento que el DPO necesita para el ciclo mensual. Todo integrado — sin depender de que el equipo legal lo recuerde.

Con DMS (CDK, Autoline, propio)

Conexión vía API o exportación estructurada. El RAT se actualiza cuando el DMS incorpora nuevos módulos o nuevos tipos de cliente. Alertas de accesos no autorizados por rol cruzando los logs del DMS con las políticas de RBAC documentadas en GRC360.

Con CRM y sistemas de financiamiento

Gestión de DPA con financieras y aseguradoras desde GRC360. Registro de cada transferencia de datos al banco o aseguradora. Flujo de onboarding normativo cuando se agrega una nueva financiera o producto de crédito.

Sin DMS formal / Con Excel

Para talleres independientes o concesionarios pequeños sin DMS integrado: inventario de tratamientos manual construido por el equipo Wiibiq, formularios de consentimiento digital para clientes del taller, y canal ARCO sin infraestructura adicional.

¿Tu concesionario o taller está en cumplimiento LOPDP?

El diagnóstico para el sector automotriz evalúa el proceso de scoring y financiamiento, los contratos con aseguradoras, el DMS, el CRM de ventas y la gestión de datos del taller. Dos semanas, sin paralizar la operación.

Evaluación gratuita para sector automotriz →

Checklist de cumplimiento para concesionarios y talleres

DPO registrado ante la SPDP con independencia funcional verificable — no el abogado interno
RAT construido por macroproceso: scoring, seguros, DMS, CRM, taller, RRHH
Formularios de consentimiento para el proceso de crédito que incluyan al garante como titular con sus propios derechos
Aviso de privacidad para compradores, prospectos y clientes del taller diferenciado por finalidad
DPA con el proveedor del DMS — especialmente si es cloud o con servidores fuera de Ecuador
DPA con financieras y aseguradoras que reciben datos del comprador
Control de acceso por roles (RBAC) en el DMS — ventas, taller y finanzas con accesos separados
Protocolo de desvinculación de vendedores que incluya revocación de accesos al CRM y eliminación de datos de clientes en dispositivos
Canal ARCO para compradores, prospectos, garantes y clientes del taller
Revisión de los criterios del algoritmo de scoring para cumplir el Art. 20 LOPDP — el cliente tiene derecho a una explicación y a revisión humana
Política de retención para prospectos no convertidos, clientes inactivos e historiales del taller