Tecnología cotidiana, datos sensibles invisibles: la cerradura y la cámara que nadie incluyó en el RAT
La cerradura de huella dactilar que protege la sala de servidores lleva tres años instalada. El sistema de cámaras del pasillo principal lleva cinco. Ninguno de los dos aparece en el Registro de Actividades de Tratamiento. Ninguno tiene base de licitud documentada. Ambas tecnologías son tratamiento de datos personales bajo la LOPDP desde el primer día de operación. El problema no es la tecnología: es que nadie lo registró.
Por qué la LOPDP aplica a tecnología que no parece un sistema de datos
La LOPDP define el tratamiento de datos personales de manera amplia: incluye cualquier operación realizada sobre datos de personas naturales identificables, en cualquier tipo de soporte, automatizados o no. El Art. 2 LOPDP no exige que el sistema esté conectado a una red, que tenga una base de datos centralizada ni que forme parte de un software etiquetado como "sistema de información".
Un dispositivo físico que almacena la plantilla de huella dactilar de un empleado es un soporte de datos personales. Una cámara que captura imágenes de personas identificables realiza un tratamiento de datos personales. En ambos casos, la LOPDP aplica desde el momento en que el dato existe en el soporte.
El Art. 4 LOPDP define el dato biométrico como "dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona". La huella dactilar, el reconocimiento facial y la geometría de vena son datos biométricos — todos datos sensibles. Su tratamiento requiere base de licitud reforzada bajo el Art. 26 LOPDP.
El control de acceso biométrico: tres escenarios y sus obligaciones
Escenario 1 — Cerradura biométrica autónoma, sin red ni app
El dispositivo almacena la plantilla de huella en su memoria interna: eso es un soporte de datos personales. El Art. 2 LOPDP no distingue entre soportes conectados y soportes físicos autónomos. Las obligaciones incluyen: documentar el tratamiento en el RAT, establecer una base de licitud para el dato sensible bajo el Art. 26 LOPDP, informar al titular, y evaluar si existen medios alternativos de acceso menos intrusivos conforme al principio de minimización del Art. 10 lit. c) LOPDP.
Escenario 2 — Sistema biométrico con software de gestión y base de datos local
El tratamiento es sistemático y puede involucrar elaboración de perfiles de comportamiento de los empleados. Si hay un número relevante de personas bajo tratamiento permanente, puede activarse la obligación de EIPD previa conforme al Art. 42 LOPDP. El RAT debe incluir este sistema con clasificación de dato sensible y descripción de las medidas de seguridad sobre el servidor.
Escenario 3 — Sistema biométrico con app, nube o sincronización externa
Este es el escenario de mayor exposición. Si los servidores de la plataforma están fuera de Ecuador, aplica el marco de transferencias internacionales (Arts. 55-61 LOPDP). La app del fabricante opera como encargado del tratamiento: se requiere contrato de encargo (DPA) con el proveedor antes de la puesta en operación.
La Resolución SPDP-SPD-2026-0005-R establece que todo tratamiento de datos biométricos constituye tratamiento a gran escala de calificación directa y obligatoria. Esto activa: obligación de EIPD previa, designación de DPD, inclusión en el RAT con requisitos ampliados, y medidas reforzadas de responsabilidad proactiva. Aplica independientemente del número de titulares.
La videovigilancia: cuándo es lícita y qué prohíbe expresamente la SPDP
Los sistemas de videovigilancia son el tratamiento de datos personales más extendido y menos documentado en el sector empresarial ecuatoriano. La imagen de una persona identificable en un video es dato personal bajo el Art. 4 LOPDP. Su captación sistemática es tratamiento.
La Resolución SPDP-SPD-2025-0041-R establece prohibiciones específicas que no admiten excepción ni base de licitud alternativa:
- Videovigilar zonas que conlleven vulneración de intimidad: baños, vestidores, lactarios, comedores. Esta prohibición es absoluta — no hay base de licitud que la levante. (Art. 15.2 Res. SPDP-2025-0041-R)
- Grabar audio bajo interés legítimo: la resolución prohíbe expresamente la grabación de audio cuando se usa el interés legítimo como base, especialmente para supervisión o control del desempeño laboral. (Art. 15 párr. final Res. SPDP-2025-0041-R)
- Usar imágenes para una finalidad distinta a la declarada: difundir grabaciones obtenidas con finalidad de seguridad viola el principio de finalidad del Art. 10 lit. d) LOPDP.
Checklist de cumplimiento: diez verificaciones para dos tecnologías
| Verificación | Qué implica normativamente |
|---|---|
| BLOQUE A — Control de acceso biométrico | |
| ¿El dispositivo almacena plantillas de huella, rostro o vena? | Si almacena plantillas —aunque sea localmente y sin red—, hay tratamiento de dato biométrico. La LOPDP aplica desde el momento del almacenamiento en el soporte físico. |
| ¿Está documentada la base de licitud para ese dato sensible? | El Art. 26 LOPDP exige base de licitud específica para datos sensibles. En el ámbito laboral debe estar documentado y comunicado al trabajador. |
| ¿Existen alternativas de acceso menos intrusivas disponibles? | El principio de minimización (Art. 10 lit. c) exige que el tratamiento sea necesario para la finalidad. Si existen alternativas equivalentes, el uso exclusivo de biometría puede no superar el test de necesidad. |
| ¿El dispositivo tiene conectividad o sincronización con servidor externo? | Si hay sincronización con servidores fuera de Ecuador, aplica el régimen de transferencias internacionales (Arts. 55-61 LOPDP). |
| ¿Está el tratamiento biométrico registrado en el RAT? | Omitir datos biométricos del RAT es un incumplimiento directo del Art. 47 num. 2 LOPDP. |
| BLOQUE B — Videovigilancia | |
| ¿Las cámaras registran únicamente zonas de acceso, áreas comunes o perímetro exterior? | La Res. SPDP-2025-0041-R prohíbe videovigilar baños, vestidores, lactarios, comedores. Las cámaras en esas zonas son ilícitas independientemente de la base de licitud. |
| ¿Existe señalización visible que informe sobre la existencia de las cámaras? | El principio de transparencia y el derecho a la información del Art. 12 LOPDP exigen que el titular conozca el tratamiento. |
| ¿Las grabaciones incluyen audio capturado de forma sistemática? | La Res. SPDP-2025-0041-R prohíbe expresamente la grabación de audio bajo interés legítimo para supervisión o control del desempeño laboral. |
| ¿Está documentado el plazo de conservación de las grabaciones? | El principio de conservación (Art. 10 lit. i) LOPDP) exige conservar los datos solo el tiempo necesario. Para videovigilancia de seguridad, el plazo debe definirse y aplicarse. |
El costo de no documentar lo que ya existe
El argumento más frecuente ante estos hallazgos es: "lleva años instalado y nunca ha pasado nada". Ese argumento no es una defensa jurídica. La LOPDP no exige que ocurra un incidente para que exista una infracción: la infracción existe desde el momento en que el tratamiento se realiza sin cumplir las obligaciones legales.
Estos son dos de los incumplimientos más frecuentes y más fáciles de corregir. No requieren cambiar la tecnología: requieren documentarla correctamente, establecer la base de licitud, informar a los titulares y definir plazos de conservación. El costo operativo es bajo; el riesgo de no hacerlo, alto.
¿Sus cámaras y cerraduras están en su RAT? ¿Tienen base de licitud documentada?
En Wiibiq realizamos un diagnóstico gratuito DataGuard que revisa los sistemas de control de acceso y videovigilancia, verifica si están en el RAT con la clasificación correcta, e identifica si existen zonas o prácticas expresamente prohibidas por la SPDP.
Solicitar diagnóstico gratuito DataGuard →