Skip to main content
Protección de Datos

La Norma General De Transferencias O Comunicaciones Nacionales E Internacionales De Datos Personales

20 de febrero de 2026
Escrito por:

1. Resumen Ejecutivo de la Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales

La Norma General de Transferencias o Comunicaciones Nacionales e Internacionales de Datos Personales emitida por la Superintendencia de Protección de Datos Personales (en adelante “SPDP”) del Ecuador establece los procedimientos, requisitos técnicos y jurídicos necesarios para garantizar la protección de datos personales durante su transferencia, tanto a nivel nacional como internacional. Estas disposiciones son de cumplimiento obligatorio para responsables y encargados del tratamiento de datos personales. La norma incluye condiciones para transferencias nacionales y requisitos más estrictos para transferencias internacionales, exigencias de documentación, medidas de seguridad, mecanismos contractuales, procedimientos de registro y regularización, y contempla disposiciones especiales para transferencias entre países miembros de la Comunidad Andina. Enfoca la protección efectiva de los derechos de los titulares garantizando trazabilidad, control y transparencia en todas las operaciones de transferencia de datos personales.

2. Obligaciones Específicas para Responsables y Encargados del Tratamiento

Responsables del Tratamiento (nacionales y extranjeros)

  • Cumplir con los procedimientos y requisitos jurídicos y técnicos de la norma.
  • Asegurarse de que las transferencias tengan una finalidad lícita, legítima y determinada.
  • Contar con base de legitimación según la ley y, salvo excepciones, obtener el consentimiento informado del titular.
  • Facilitar a los titulares el derecho a la información.
  • Implementar medidas de protección de los datos transferidos (limitación al mínimo necesario, mecanismos seguros, acuerdos escritos con terceros, control de transferencias ulteriores).
  • Notificar al destinatario si el titular ejerce algún derecho sobre sus datos.
  • Mantener documentación que respalde la legalidad y legitimidad de la transferencia, durante al menos tres años.
  • Informar a la SPDP incidentes de seguridad y cambios materiales relevantes.
  • Registrar y/o reportar las transferencias en el Registro Nacional de Protección de Datos.
  • Garantizar la trazabilidad y transparencia de las transferencias, especialmente frente a los titulares.

Encargados del Tratamiento (nacionales y extranjeros)

  • Aplicar las disposiciones en nombre y por cuenta del responsable, tanto en transferencias nacionales como internacionales.
  • Mantener documentación, durante al menos tres años, y cooperar en la gestión de derechos de los titulares.
  • Asegurar las transferencias conforme las instrucciones del responsable y bajo los mismos principios y garantías exigidos.
  • Adoptar y acreditar medidas documentales que demuestren cumplimiento, especialmente en transferencias entre países miembros de la Comunidad Andina (intra-CAN).

3. Proceso de Transferencia de Datos: Pasos para el Cumplimiento de la Guía

Transferencias Nacionales

  • Verificar finalidad lícita, concreta, base de legitimación y, salvo excepciones, obtener consentimiento previo e informado.
  • Implementar medidas de protección, como limitación de datos, mecanismos seguros, acuerdo escrito con destinatario, control de transferencias ulteriores.
  • Formalizar un acuerdo escrito con el tercero o el destinatario en el que este último se comprometa a utilizar los datos exclusivamente para cumplimiento de la finalidad y aplicar un nivel equivalente de protección.
  • Notificar a terceros destinatarios sobre el ejercicio de derechos de los titulares y asegurar su cooperación.
  • El destinatario asume la calidad de responsable y se obliga a respetar los fines, normativa interna y a no transferir nuevamente sin legitimidad.
  • Documentar y conservar la información de respaldo al menos tres años.

Transferencias Internacionales

  1. Hacia países/jurisdicciones con nivel adecuado de protección:
  • Verificar que el país, organización o destinatario está reconocido oficialmente en el listado de nivel adecuado.
  • Adoptar medidas contractuales y técnicas para cumplir con la LOPDP, incluyendo obligaciones sobre integridad, confidencialidad y restricción de transferencias ulteriores.
  • Mantener registro actualizado y notificar al titular sobre la transferencia.
  • Reportar de forma consolidada a la SPDP.

Estas obligaciones aplican al responsable del tratamiento y al encargado del que, por instrucciones del responsable, transfirieren o comunicaren datos personales nacional o internacionalmente.

  1. Sin nivel adecuado, pero con garantías adecuadas:
  • Implementar instrumentos jurídicos como cláusulas contractuales tipo (CCM), normas corporativas vinculantes, códigos de conducta aprobados o mecanismos de certificación.
  • Asegurarse de que estas garantías:
  1. Implementen los principios previstos en la LOPDP.
  2. Sean susceptibles de verificación periódica de cumplimiento.
  3. Sean jurídicamente exigibles y claras.
  4. Reconozcan derechos de titulares y procedimientos de ejercicio.
  5. Incluyan aceptación de jurisdicción ecuatoriana y mecanismos de reparación.
  • Mantener documentación que acredite la implementación.
  1. Sin nivel adecuado ni garantías adecuadas:
  • Solicitar autorización previa a la SPDP para transferencias excepcionales.
  • Presentar solicitud con identificación de las partes, justificación legal/técnica, análisis de riesgo, evaluación de impacto, copia contractual, justificación de la imposibilidad de cumplir por otras vías, medidas de seguridad, consentimiento del titular, vías de reclamación, entre otros.
  • Esperar evaluación (hasta tres meses), subsanar si hay observaciones.
  • Recibir resolución motivada y, si procede, registrar la autorización.
  • Cumplir obligaciones de notificación de incidentes y cambios.

Régimen especial “Intra-CAN’’ para la Comunidad Andina

  • Consideradas transferencias con nivel adecuado, pero se deben seguir medidas de información al titular y documentación interna.

4. Información de Interés Práctico dentro del Proceso

  • Documentación exigible: Siempre conservar respaldo contractual, registros, análisis de riesgos y evaluaciones de impacto ante posibles auditorías o requerimientos de la SPDP.
  • Consentimiento: Debe ser informado, específico, previo y puede ser revocado en cualquier momento.
  • Mecanismos de seguridad: Es obligatorio emplear medidas técnicas y organizativas como cifrado, anonimización, políticas internas, control de acceso, auditorías, entre otros.
  • Supervisión y Actualización: Las resoluciones de nivel adecuado y garantías se revisan periódicamente; estar atentos a renovaciones y cambios normativos.
  • Registro: Reporte consolidado anual, dentro del primer trimestre del año, o inscripción individual de transferencias según el tipo ante la SPDP.
  • Regularización: Las transferencias previas a la entrada en vigencia deben notificarse y ajustarse a la norma en un plazo de 12 meses; no habrá sanciones en ese lapso siempre que se cumplan los requisitos.
  • Suspensión/revocatoria: Ante incumplimiento grave o comprobado, la SPDP puede suspender o revocar autorizaciones o garantías; se debe cesar la transferencia de inmediato.
  • Transparencia: Publicación de extractos no sensibles en el portal de la SPDP para seguimiento público. La información sensible está protegida.

Estas pautas permiten gestionar estratégicamente cualquier proceso de transferencia de datos personales cumpliendo con la normativa vigente, protegiendo los derechos de los titulares, minimizando riesgos regulatorios y favoreciendo la transparencia y la seguridad jurídica.


© TobarZVS

Esta publicación contiene información de interés general y no constituye opinión legal sobre asuntos específicos. Cualquier análisis particular, requerirá asesoramiento legal de la Firma.