📊 Tratamiento de datos personales a gran escala: lo que cambia con la nueva normativa de la SPDP

La protección de datos personales en Ecuador continúa evolucionando. Con la emisión de la Resolución No. SPDP-SPD-2026-0005-R, la Superintendencia de Protección de Datos Personales (SPDP) ha establecido un marco técnico clave para identificar y gestionar el tratamiento de datos personales a gran escala, marcando un antes y un después en el cumplimiento de la LOPDP.

🔍 ¿Qué es el tratamiento a gran escala?

La normativa define el tratamiento a gran escala como aquel que involucra una gran cantidad de datos, un elevado número de titulares y un alcance geográfico amplio, lo que puede implicar mayores riesgos para los derechos y libertades de las personas .

Este concepto no es menor: su identificación activa obligaciones más estrictas para las organizaciones.

⚙️ El Modelo Técnico de Gran Escala (MTGE)

Uno de los principales aportes de la resolución es la creación del Modelo Técnico de Gran Escala (MTGE), una herramienta que permite determinar objetivamente cuándo un tratamiento alcanza esta categoría.

El modelo evalúa seis variables clave:

• Número de titulares

• Volumen de datos

• Categorías de datos

• Frecuencia del tratamiento

• Permanencia del tratamiento

• Alcance geográfico

Si el puntaje total es igual o superior a 6, el tratamiento se considera de gran escala .

👉 Esto introduce por primera vez en Ecuador un enfoque cuantitativo y medible del riesgo en protección de datos.

🚨 Casos donde aplica automáticamente

La resolución también establece escenarios donde el tratamiento es considerado de gran escala sin necesidad de cálculo, por ejemplo:

• Datos de salud o datos sensibles

• Videovigilancia en espacios públicos

• Geolocalización o datos biométricos

• Sistemas de información crediticia

• Tratamiento de datos de niños, niñas y adolescentes

• Transferencias internacionales sistemáticas

Esto es especialmente relevante para sectores como salud, educación, seguridad y financiero .

📌 Principales obligaciones para las organizaciones

Cuando una empresa realiza tratamiento a gran escala, deberá cumplir con obligaciones adicionales, entre ellas:

• Realizar una Evaluación de Impacto (DPIA)

• Designar un Delegado de Protección de Datos (DPD)

• Mantener actualizado el Registro de Actividades de Tratamiento (RAT)

• Aplicar privacidad desde el diseño y por defecto

• Someterse a auditorías periódicas

• Documentar informes de cumplimiento

Estas exigencias refuerzan el principio de responsabilidad proactiva en la LOPDP

Para las organizaciones, esto implica un cambio de enfoque:
👉 pasar de un cumplimiento básico a una gestión estratégica del riesgo en datos personales.

La Resolución SPDP-SPD-2026-0005-R no solo introduce criterios técnicos, sino que eleva el estándar de cumplimiento en Ecuador. Identificar correctamente si un tratamiento es a gran escala ya no es opcional: es una obligación que puede definir el nivel de responsabilidad legal de una organización.