Antes del go-live y antes de firmar: las dos obligaciones que la LOPDP exige antes del incidente, no después
La Evaluación de Impacto en la Protección de Datos debe realizarse antes de que el sistema entre en producción. El contrato de encargo de tratamiento debe estar firmado antes de que el proveedor acceda a los datos. Ninguna de las dos es un trámite posterior al incidente. Son las dos obligaciones que la LOPDP establece como condición previa al tratamiento — y que la mayoría de empresas ecuatorianas todavía no ha ejecutado.
El mismo principio, dos momentos distintos
La LOPDP establece que el cumplimiento no comienza cuando ocurre un problema: comienza antes de que el sistema procese el primer dato y antes de que el proveedor acceda al primer registro. Dos instrumentos concretos materializan ese principio.
El primero es la Evaluación de Impacto en la Protección de Datos (EIPD): el análisis preventivo que debe realizarse antes del inicio del tratamiento cuando existe probabilidad de alto riesgo para los derechos de los titulares. El segundo es el contrato de encargo de tratamiento (DPA): el instrumento escrito que debe regular la relación con cualquier proveedor que acceda a datos personales antes de que ese acceso ocurra.
Ambos comparten la misma lógica: actuar antes, no después. Y ambos son, en la práctica ecuatoriana, las obligaciones que con mayor frecuencia se omiten o se ejecutan de forma incompleta.
La EIPD: lo que la ley exige antes del go-live
El Art. 42 LOPDP establece la obligación de realizar una evaluación de impacto cuando existe probabilidad de que el tratamiento conlleve un alto riesgo para los derechos del titular. No es opcional: su ausencia constituye infracción grave bajo el Art. 68 num. 5 LOPDP.
El Art. 31 Reglamento SPDP es categórico sobre el momento: la EIPD deberá realizarse de forma previa al inicio del tratamiento. No al mes siguiente del lanzamiento. No cuando la SPDP lo requiera. Antes.
La Resolución SPDP-SPD-2026-0005-R establece casos de calificación directa y obligatoria de EIPD, sin necesidad de cálculo adicional. Entre ellos: todo tratamiento de datos biométricos, todos los sistemas de información crediticia o financiera, y toda vigilancia sistemática mediante videovigilancia. Si su organización opera en alguno de estos supuestos, la EIPD no es discrecional.
¿Cuándo es obligatoria la EIPD en Ecuador?
| Supuesto de obligatoriedad | Norma aplicable | Sectores más expuestos |
|---|---|---|
| Datos sensibles a gran escala (biométricos, salud, financieros) | Art. 42 LOPDP + Art. 31 Reglamento + Art. 14.1 Res. SPDP-2026-0005-R | Cooperativas, bancos, aseguradoras, clínicas, empresas con control de acceso biométrico |
| Elaboración de perfiles con efectos jurídicos o significativos | Art. 42 LOPDP + Art. 31 Reglamento + Art. 14.2 Res. SPDP-2026-0005-R | Sistemas de scoring crediticio, RRHH con evaluación automatizada |
| Videovigilancia y geolocalización sistemática a gran escala | Art. 42 LOPDP + Art. 31 Reglamento + Arts. 14.3-14.4 Res. SPDP-2026-0005-R | Retail, municipios, logística, transporte |
| Sistemas de información crediticia o financiera | Art. 14.5 Res. SPDP-2026-0005-R (calificación directa) | Burós de crédito, bancos, cooperativas, empresas de cobranza |
Contenido mínimo de una EIPD — Art. 32 Reglamento
- Descripción sistemática de las operaciones de tratamiento y sus finalidades
- Justificación de la necesidad y proporcionalidad del tratamiento
- Evaluación de riesgos para los derechos y libertades de los titulares
- Medidas previstas para hacer frente a los riesgos identificados
Una EIPD que identifica riesgos pero no incluye un plan de tratamiento ejecutado no cumple su función ni demuestra diligencia ante la SPDP. El Art. 29 Reglamento define la EIPD como un análisis preventivo para identificar y mitigar riesgos. La identificación sin la mitigación es un documento incompleto.
El contrato de encargo (DPA): lo que la ley exige antes de contratar
Toda organización que contrata un servicio en el que un tercero accede, almacena, procesa o consulta datos personales está estableciendo una relación de encargo de tratamiento. Esa relación debe regirse por un contrato escrito antes de que el acceso ocurra.
El Art. 34 LOPDP establece la obligación de suscribir un contrato con el encargado. El Art. 41 Reglamento SPDP detalla su contenido mínimo.
La Resolución SPDP-SPD-2025-0006-R, Modelo 2 (cláusula entre responsable y encargado), establece expresamente: «La presente cláusula no exime a las partes de suscribir un contrato de encargo de tratamiento de acuerdo con la LOPDP.» Una cláusula genérica en el contrato de servicios no sustituye al DPA. Es complementaria, no equivalente.
Contenido mínimo del DPA — Art. 41 Reglamento SPDP
| Elemento obligatorio | Contenido mínimo | Norma |
|---|---|---|
| Objeto del encargo | Descripción precisa de qué datos se tratan y con qué finalidad | Art. 41 lit. a) Reglamento |
| Duración | Plazo del tratamiento y condiciones de terminación | Art. 41 lit. b) Reglamento |
| Naturaleza y finalidad | Tipo de operaciones permitidas y sus fines | Art. 41 lit. c) y d) Reglamento |
| Categorías de datos y titulares | Qué tipos de datos y a qué personas corresponden | Art. 41 lit. e) y f) Reglamento |
| Notificación de vulneraciones | Plazo máximo de 2 días para notificar al responsable | Art. 43 LOPDP / Res. SPDP-2025-0006-R |
| Subcontratación | Autorización expresa o prohibición de sub-encargados | Art. 45 Reglamento |
| Devolución o eliminación al término | Plazo de 5 días con acreditación documentada | Art. 46 Reglamento / Res. SPDP-2025-0030-R |
| Auditorías e inspecciones | Derecho del responsable a verificar el cumplimiento del encargado | Art. 47 Reglamento |
El vínculo entre las dos obligaciones
La EIPD y el DPA no son instrumentos independientes. Se articulan en la misma lógica de responsabilidad proactiva del Art. 47 LOPDP y el Art. 58 Reglamento: el responsable debe poder demostrar, en cualquier momento, que adoptó medidas apropiadas antes de iniciar el tratamiento.
El argumento más frecuente para omitirlos es la presión de tiempo: "para ayer". Ese argumento no suspende la obligación legal. Lo que suspende es la capacidad de demostrar diligencia ante la SPDP cuando ocurre el incidente. La notificación oportuna y las medidas de respuesta son atenuantes bajo el Art. 46 LOPDP; los atenuantes reducen la sanción, no reemplazan las obligaciones previas incumplidas.
Antes de dar acceso a datos personales a cualquier proveedor o sistema nuevo: (1) verifique si aplica la obligación de EIPD; si hay datos sensibles, biométricos, financieros o tratamiento a escala, la respuesta casi siempre es sí. (2) Exija y firme el DPA antes de la puesta en producción, no después.
¿Sus sistemas tienen EIPD documentada? ¿Sus proveedores tienen DPA firmado?
En Wiibiq realizamos un diagnóstico gratuito DataGuard que identifica qué sistemas requieren EIPD, cuáles contratos carecen de DPA con el contenido mínimo del Art. 41 Reglamento, y qué acciones son prioritarias antes de la próxima inspección de la SPDP.
Solicitar diagnóstico gratuito DataGuard →