El ecosistema digital en Ecuador ha dado un paso decisivo. La Superintendencia de Protección de Datos Personales (SPDP) ha publicado la Resolución No. SPDP-SPD-2026-0009-R, una norma técnica que aterriza los principios de la LOPDP al complejo mundo de la Inteligencia Artificial (IA).
Esta regulación no es solo un trámite administrativo; es el estándar que definirá cómo las empresas operarán con algoritmos de ahora en adelante.
1. Ámbito de Aplicación:
Un punto fundamental es que la norma no se limita a empresas domiciliadas en Ecuador. Si un sistema de IA trata datos de ciudadanos ecuatorianos —sin importar dónde esté el servidor o el proveedor—, la norma es de cumplimiento obligatorio. Esto alinea al país con estándares internacionales como el RGPD europeo.
2. Definición de Roles: ¿Quién es quién en la cadena?
Para evitar zonas grises, la resolución desglosa las responsabilidades en cuatro figuras clave:
Desarrollador: Quien crea o genera el sistema.
Desplegador: Quien utiliza la IA para prestar un servicio profesional.
Implementador: Quien integra la IA en sus procesos internos.
Distribuidor: Quien comercializa el sistema en el mercado.
Nota: Todos ellos son considerados responsables o encargados del tratamiento y deben responder por la transparencia del proceso.
3. El pilar de la transparencia y el derecho al «factor humano»
La resolución refuerza un derecho crítico: el titular no puede ser sometido a decisiones basadas única o parcialmente en valoraciones automatizadas que afecten sus derechos.
Esto obliga a las organizaciones a:
Informar con claridad: No basta con decir «usamos IA»; hay que explicar la finalidad y la lógica del tratamiento automatizado.
Garantizar la oposición: El ciudadano tiene derecho a oponerse a este tipo de valoraciones.
4. Obligaciones Operativas: de la teoría a la práctica
El cumplimiento ahora exige evidencias tangibles. Las organizaciones deben:
Evaluaciones de Impacto (EIPD): Realizar análisis preventivos antes de poner en marcha cualquier sistema de IA que trate datos personales.
Registro de Actividades (RAT): Es obligatorio incluir los tratamientos de IA en el RAT y ponerlo a disposición de la autoridad.
Auditorías Continuas: No es un esfuerzo de una sola vez; los sistemas deben auditarse en función de su nivel de riesgo para asegurar que no existan sesgos o vulnerabilidades.
Conclusión: un desafío de ética y cumplimiento
La resolución SPDP-2026-0009-R deja claro que la innovación no puede ir por delante de los derechos fundamentales. Para las empresas, esto significa que la privacidad desde el diseño ya no es una sugerencia, sino un requisito operativo para evitar las sanciones previstas en el régimen legal.
Por: Abg. Alejandra Morla Vargas.
Fuente: Resolución No. SPDP-SPD-2026-0009-R