Facultad de Jurisprudencia, Ciencias Políticas y Sociales Revista cap jurídica central
universidad central del ecuador 9(17), julio - diciembre 2025, pp. 75-103
revista cap jurídica central
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a
la práctica, retos y perspectiva internacional.
Ecuadorian Public Institutions in the Face of the LOPDP: From Regulation to
Practice, Challenges and International Perspective
Eugenia Patricia Novoa Zubiria.1
RESUMEN: Tras la promulgación de la Ley Orgánica de Protección de Datos Personales (LOPDP) en Ecuador, las discusiones sobre el derecho a la protección de datos personales han cobrado relevancia. Este artículo busca analizar los desafíos que enfrentan las instituciones públicas ecuatorianas en la implementación de esta norma, particularmente identificando sus niveles de responsabilidad cuando actúan como responsables o encargadas del tratamiento de datos personales. Se realiza un análisis crítico del derecho basado en revisión documental de normativa nacional e internacional en materia de protección de datos personales, se examinan los principios, derechos y obligaciones establecidos en la LOPDP, así como los posibles retos prácticos para su aplicación efectiva desde una perspectiva internacional.
PALABRAS CLAVE: Ley de protección de datos, tratamiento de datos, protección de datos, Ecuador, políticas estatales.
ABSTRACT: Following the enactment of the Organic Law on Personal Data Protection (LOPDP) in Ecuador, discussions about the right to personal data protection have gained relevance. This article seeks to analyze the challenges faced by Ecuadorian public institutions in implementing this law, particularly identifying their levels of responsibility when acting as controllers or processors of personal data. A critical analysis of the law is conducted based on a documentary review of national and international regulations on personal data protection. The principles, rights, and obligations established in the LOPDP are examined, as well as the practical challenges for its effective implementation from an international perspective.
KEYWORDS: Data Protection Act, data processing, data protection, Ecuador, state policies.
INTRODUCCIÓN
El comercio internacional se redefine por los datos, trascendiendo fronteras y sobera-nías.2 Ecuador, inmerso en esta dinámica, ha reconocido la urgencia de políticas estata-les que aprovechen las oportunidades de la era digital, especialmente tras la pandemia
1 Docente Universidad Central del Ecuador, Master of Laws por Tulane University, Investigadora Observatorio de Financia-
miento para el Desarrollo, epnovoa@uce.edu.ec.
2 United Nations Conference of Trade and Development, “Digital Economy Report”, 2021, 74-81, https://unctad.org/system/
files/official-document/der2021_en.pdf.
DOI: https://doi.org/10.29166/cap.v9i16.8497 pISSN 2550-6595
CC BY-NC 4.0 —Licencia Creative Commons Reconocimiento-NoComercial 4.0 Internacional eISSN 2600-6014
© 2025 Universidad Central del Ecuador revistacap_juridica2.1@hotmail.com
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
de COVID-19.3 La pandemia evidenció la necesidad de regular el manejo de datos sen-sibles en contexto de emergencia sanitaria, lo que aceleró la promulgación de la Ley Orgánica de Protección de Datos Personales (LOPDP) en 20214 y su Reglamento en 2023. Por tanto, es necesario un análisis crítico de las obligaciones del Estado en la aplicación de esta nueva normativa.
La LOPDP impone diversas obligaciones a las instituciones estatales acorde a su
rol en el tratamiento de datos personales. Un aspecto central es el análisis de la responsa-bilidad de las instituciones públicas cuando toman el rol de Responsables o Encargados del tratamiento de datos personales, es sustancial delimitar las obligaciones específicas que recaen sobre cada entidad conforme a cada caso. Estas obligaciones en el marco de la LOPDP deben analizarse tanto en caso de instituciones del gobierno central, como en instituciones de los Gobiernos Autónomos Descentralizados.
Este estudio busca explorar los posibles retos que las instituciones del Estado ecua-
toriano enfrentan para cumplir con la LOPDP. Estos desafíos surgen como debido al complejo alcance del derecho de la protección de datos personales, y las responsabilida-des que cada institución tiene conforme el tratamiento de datos personales. Comprender estos retos es esencial para una implementación efectiva de la ley, atendiendo a una perspectiva internacional.
Así, este artículo, valiéndose de una revisión documental de normas nacionales e
internacionales en el marco de un análisis crítico del derecho, iniciará por examinar el alcance y ámbito de aplicación de la LOPDP en Ecuador. Posteriormente, se analizará el rol de las instituciones públicas ecuatorianas en el tratamiento de datos personales y su cumplimiento normativo. Finalmente, se expondrán distintos retos para que las instiu-ciones públicas del Estado ecuatoriano presentan para dar cumplimiento a la LOPDP, reflexionando desde una perspectiva internacional.
1. La Ley de Protección de Datos Personales en el Ecuador
A partir del 26 de mayo de 2021 en el Ecuador existe un marco regulatorio del dere-cho a la protección de datos personales. La normativa nace como efecto de un proce-so de lobbying normativo en el contexto de la pandemia, y como respuesta a distintas amenazas evidenciadas en el tratamiento de datos sensibles debido al aumento repen-tino de uso de nuevas tecnologías en todo el Estado.5 Así mismo, luego de treinta me-ses de incertidumbre, finalmente, se publica el Reglamento a la Ley de Protección de Datos Personales en Ecuador en Registro Oficial de fecha 13 de noviembre de 2023.6 Esta ley y su normativa conexa genera distintas obligaciones para instituciones estatales.
Ahora, es preciso comprender el ámbito de aplicación material de la Ley de Pro-
tección de Datos Personales (en adelante LOPDP) ecuatoriana.7 La ley, en su artículo
3 Ecuador Ministerio de Telecomunicaciones, Acuerdo Ministerial No. 012-2020, Registro Oficial 230, 23 de junio de 2020, art.
1; Ecuador Ministerio de Telecomunicaciones y Sociedad de la Comunicación, “Política pública para la transformación digi-tal del Ecuador 2025-2030”, 2025. https://www.gobiernoelectronico.gob.ec/wp-content/uploads/2025/03/INSTRUMEN-TO-Politica-Publica-para-la-Transformacion-Digital-Ecuador-2025-2030-MINTEL-signed_f.pdf
4 William E. Redrobán Barreto, “Protección de Datos Personales en Ecuador a consecuencia de la emergencia sanitaria Co-
vid-19,” Revista Universidad y Sociedad 15, no. 2 (2023): 194-206.
5 Ibíd., 194-195.; Roldán Carrilo, Felipe, “Los ejes centrales de la protección de datos: consentimiento y finalidad. Críti-cas y pro-
puestas hacia una regulación de la protección de datos personales en Ecuador”, USFQ Law Review 8, no 1, (2021): 193, doi: 10.18272/ulr.v8i1.2184.
6 Ecuador, Reglamento a La Ley Orgánica de Protección de Datos Personales, Registro Oficial Suplemento 435,13 de noviembre 2023. 7 Ecuador, Ley Orgánica de Protección de Datos Personales, Registro Oficial Suplemento 459, 26 de mayo de 2021.
76 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
segundo, busca crear un espectro amplio para su aplicación material «al tratamiento de datos personales contenidos en cualquier tipo de soporte, automatizados o no, así como a toda modalidad de uso posterior».8 El ámbito de aplicación material especifica ciertos casos taxativos de tratamiento de datos personales en los que la norma no tiene aplicación, como actividades domésticas o periodísticas, disociación de datos, gestión y riesgo de desastres naturales, seguridad y defensa de Estado. También se excluyen aquellos datos que busquen la prevención, investigación, detección o enjuiciamiento de infracciones penales. Finalmente, la norma no aplica para tratamiento de datos relativos a personas jurídicas.
En lo que al ámbito de aplicación territorial de la norma concierne, el artículo ter-
cero de la LOPDP ecuatoriana deja muchas incertidumbres. Se establece que la norma aplica para tratamiento de datos en cualquier parte del territorio nacional ecuatoriano9, sin embargo, el tratamiento de datos también puede ser transfronterizo.10 Asimismo, el ámbito de aplicación de la norma se extiende a aquellos responsables y encargados de tratamiento que se encuentren domiciliados en territorio nacional, lo que resulta lógico a primera vista. Ahora, la extensión del ámbito de aplicación territorial del artículo 3 numeral tres aplica para los siguientes casos:
. . . [T]ratamiento de datos personales de titulares que residan en el Ecuador por parte de un responsable o encargado no establecido en el Ecuador, cuando las actividades del tratamiento estén relacionadas con: 1) La oferta de bienes o servicios a dichos titulares, independientemente de si a estos se les requiere su pago, o, 2) del control de su comportamiento, en la medida en que este tenga lugar en el Ecuador. 11
El numeral citado es transplante legal literal del artículo 3 numeral 2 del Re-
glamento General de Protección de Datos europeo (en adelante, GDPR).12 Tanto el Tribunal de Justicia de la Unión Europea, así como el Comité Europeo de Protección de datos se han pronunciado respecto al alcance de este artículo, definiendo el alcance del «concepto de establecimiento se extiende a cualquier actividad efectiva y real, aun mínima, ejercida mediante una instalación estable»13 y no puede ser objeto de una in-terpretación restrictiva en contexto transfronterizo online, conforme el caso Weltimmo s.r.o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság.14 Así pues, vale la pena comprender que el alcance del artículo 3 numeral 3 de la LOPDP ecuatoriana puede extender la aplicación territorial de la norma a ciertas empresas que, aunque no cuenten con establecimientos físicos en Ecuador, en caso de que la Superintendencia de Protección de Datos Personales ecuatoriana interprete el alcance de este artículo siguiendo los parámetros que usa la Unión Europea.
Finalmente, la LOPDP establece que su aplicación se extiende a los responsables
o encargados del tratamiento que «en virtud de un contrato o regulaciones de derecho
8 Ibíd, art. 2.
9 Ibíd., art. 3.
10 Eugenia Novoa, “El derecho a la protección de datos de personales en la prestación de servicios de Cloud Computing. Una
perspectiva ecuatoriana”, Revista de Derecho Universidad Católica de Uruguay 22 (2020): 64-89, https://doi.org/10.22235/ rd.vi22.2239.
11 Ecuador, Ley Orgánica de Protección de Datos Personales, art. 3.3. 12 Parlamento Europeo y del Consejo. Regulación 2016/679 relativa a la protección de las personas naturales en lo que respecta al
tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial de las Comunidades Europeas L 119/1, 27 de abril de 2016. Art. 3.
13 Comité Europeo de Protección de Datos (CEPD), Directrices 3/2018 relativas al ámbito territorial del RGPD (artículo 3),
Versión 2.1, adoptadas el 12 de noviembre de 2019, 15, https://edpb.europa.eu/our-work-tools/our-documents/ guidelines/guidelines-32018-territorial-scope-gdpr-article-3_es.
14 Weltimmo s.r.o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság, Sentencia del Tribunal de Justicia (Sala Terce-
ra) de 1 de octubre de 2015, Caso C-230/14.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 77
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
internacional público, tengan obligaciones en la materia».15 Al ser este también un tras-plante legal del GDPR, vale la pena comprender que el Comité Europeo de Protección de Datos (CEDP) considera que el mismo se refiere a las obligaciones de agentes consu-lares y diplomáticos, aunque no vivan en el país.16 Sin embargo, la redacción tanto de la normativa europea, como del numeral 4 del artículo 317 ecuatoriano induce a confusión, este texto podría interpretarse como una superposición entre los ámbitos del derecho internacional público y el derecho internacional privado, principalmente debido a que no se especifica que la norma se refiere únicamente al alcance del Derecho Internacional Público en lo que refiere a la aplicación de la Convención de Viena sobre Relaciones Diplomáticas de 1961, la Convención de Viena sobre Relaciones Diplomáticas de 1963 o los acuerdos de sede celebrados entre las organizaciones internacionales y sus Estados miembros anfitriones, conforme lo especifica el CEDP para la aplicación de la norma europea.18 Aclarar esta distinción en Ecuador sería beneficioso para garantizar una apli-cación de la norma precisa y sin ambigüedades.19
Para comprender la ley es preciso aludir a ciertas definiciones que se plasman en el
artículo cuarto, mismas que se resumen en la siguiente tabla.
Tabla 1: Definiciones de la LOPDP
Término Definición de la norma Artículos
Conjunto estructurado de datos cualquiera
que fuera la forma, modalidad de creación, al-
macenamiento, organización, tipo de soporte, 4
Base de datos o fichero
tratamiento, procesamiento, localización o ac- LOPDP ceso, centralizado, descentralizado o repartido
de forma funcional o geográfica.
Bases de datos que pueden ser consultadas
Fuente accesible al 4
por cualquier persona, cuyo acceso es público,
público LOPDP
incondicional y generalizado.
Dato que identifica o hace identificable a una
persona natural, directa o indirectamente.
4
Dato personal Hay también distintas categorías de datos per-
LOPDP
sonales que se detallan en la norma como ge-
néticos o biométricos.
Persona natural o jurídica, pública o privada,
autoridad pública, u otro organismo que solo
Encargado del tratamien- 4, 34, 47
o conjuntamente con otros trate datos perso-
to de datos personales LOPDP
nales a nombre y por cuenta de un responsa-
ble de tratamiento de datos personales.
15 Ecuador, Ley Orgánica de Protección de Datos Personales. Art. 3.4. 16 CEPD, Directrices 3/2018, 25.
17 Ecuador, Ley Orgánica de Protección de Datos Personales. Art. 3.4. 18 CEPD, Directrices 3/2018, 26.
19 Ibíd.
78 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
Término Definición de la norma Artículos
Persona natural o jurídica, pública o privada,
Responsable de trata-
autoridad pública, u otro organismo, que solo 4, 47
miento de datos perso-
o conjuntamente con otros decide sobre la fi- LOPDP
nales
nalidad y el tratamiento de datos personales.
Persona natural cuyos datos son objeto de tra- 4
Titular
tamiento. LOPDP
Cualquier operación o conjunto de operacio-
nes realizadas sobre datos personales, ya sea
por procedimientos técnicos de carácter au-
tomatizado, parcialmente automatizado o no 4, 7
Tratamiento
automatizado . . . o cualquier otra forma de LOPDP habilitación de acceso, cotejo, interconexión,
limitación, supresión, destrucción y, en gene-
ral, cualquier uso de datos personales.
Nota: La tabla 1 muestra una adaptación de las definiciones con sus respectivos artículos contenidos en la Ley Orgánica de Protección de Datos Personales.
Si bien el artículo cuarto de la Ley contempla varias definiciones, las mencionadas son las principales para fines de la presente investigación. En el presente caso es importan-te considerar que definiciones como datos personales, encargado de tratamiento o res-ponsable de tratamiento dan base para comprender el alcance de la norma respecto al tratamiento de datos personales. Es imperante resaltar la necesidad de un análisis es-pecífico, de algunos de los términos mencionados en la Tabla 1, principalmente para la debida aplicación de la Ley y su respectivo Reglamento.
Asimismo, para comprender el alcance de esta norma, es preciso atender a los prin-
cipios de tratamiento de datos personales que se encuentran detallados en el artículo 10. Si bien la presente investigación no se centra en un análisis pormenorizado del alcance de estos, es necesario considerar que todo tratamiento de datos personales deberá rea-lizarse en observancia de los principios de tratamiento, pues así se previene violentar la norma. A continuación, una tabla con el resumen de los principios contemplados en el artículo 10 de la LOPDP ecuatoriana.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 79
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
Tabla 2: Principios de la LOPDP
Principio Definición en la norma Artículo
Los datos personales deben tratarse con estricto
apego y cumplimiento a los principios, derechos y
Juridicidad Art. 10 literal a
obligaciones establecidas en la Constitución, los ins-
trumentos internacionales, la presente Ley. . .
. . . para los titulares debe quedar claro que se están
recogiendo, utilizando, consultando o tratando de Art. 10 literal b
Lealtad otra manera, datos personales que les conciernen, así concordante con
como las formas en que dichos datos son o serán tra- art 8 LOPDP
tados. . .
. . . toda información o comunicación relativa a este
tratamiento deberá ser fácilmente accesible y fácil de
Transparencia Art. 10 literal c
entender y se deberá utilizar un lenguaje sencillo y
claro. . .
Las finalidades del tratamiento deberán ser determi-
nadas, explícitas, legítimas y comunicadas al titular;
no podrán tratarse datos personales con fines distin-
Finalidad tos para los cuales fueron recopilados, a menos que Art. 10 literal d
concurra una de las causales que habiliten un nuevo
tratamiento conforme los supuestos de tratamiento
legítimo señalados en esta ley. . .
Pertinencia y mi- Los datos personales deben ser pertinentes y estar li-nimización de da-mitados a lo estrictamente necesario para el cumpli- Art. 10 literal e
tos personales miento de la finalidad del tratamiento.
El tratamiento debe ser adecuado, necesario, oportu-
Proporcionalidad no, relevante y no excesivo con relación a las finalidades
Art. 10 literal f
del tratamiento para las cuales hayan sido recogidos o a la naturaleza
misma, de las categorías especiales de datos.
El tratamiento de datos personales debe concebirse
sobre la base del debido sigilo y secreto, es decir, no
Confidencialidad Art. 10 literal g
debe tratarse o comunicarse para un fin distinto para
el cual fueron recogidos. . .
Los datos personales que sean objeto de tratamien-
to deben ser exactos, íntegros, precisos, completos,
Calidad y exac-
comprobables, claros; y, de ser el caso, debidamen- Art. 10 literal h
titud
te actualizados; de tal forma que no se altere su vera-
cidad. . .
80 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
Principio Definición en la norma Artículo
Los datos personales serán conservados durante un
tiempo no mayor al necesario para cumplir con la fi-
Conservación nalidad de su tratamiento. . . el responsable del Art. 10 literal i
tratamiento establecerá plazos para su supresión o re-
visión periódica.
Los responsables y encargados de tratamiento de los
datos personales deberán implementar todas las me-
Seguridad de da- didas de seguridad adecuadas y necesarias, enten-
Art. 10 literal j
tos personales diéndose por tales las aceptadas por el estado de la
técnica, sean estas organizativas, técnicas o de cual-
quier otra índole. . .
El responsable del tratamiento de datos personales
Responsabilidad deberá acreditar el haber implementado mecanismos proactiva y de- para la protección de datos personales; es decir, el Art. 10 literal k mostrada cumplimiento de los principios, derechos y obligacio-
nes establecidos en la presente Ley. . .
En caso de duda sobre el alcance de las disposiciones
Aplicación favo- del ordenamiento jurídico o contractuales . . . inter-
Art. 10 literal l
rable al titular pretarán y aplicarán en el sentido más favorable al ti-
tular de dichos datos.
. . . la Autoridad de Protección de Datos deberá ejer-
Independencia cer un control independiente, imparcial y autónomo,
Art. 10 literal m
del control así como llevar a cabo las respectivas acciones de pre-
vención, investigación y sanción.
Nota: La tabla 2 muestra la definición de los principios contenidos en el Art. 10 de la Ley Orgánica de Protección de Datos Personales.
Podemos verificar que la ley ecuatoriana integra más principios a la protección de da-tos personales, que los definidos en la doctrina y en la Resolución 45/95 de Naciones Unidas.20 Tanto las directrices de Naciones Unidas para regularización de datos per-sonales, como la normativa europea acogen principios estándar para el tratamiento de datos personales: (i) lealtad y licitud, (ii) calidad y exactitud, iii) finalidad, iv) acceso, v) no discriminación (vi) seguridad; y, (vii) supervisón y sanciones.21 La LOPDP de Ecua-dor incluye otros principios como el de «juridicidad» o «independencia del control». Toda institución pública que realice tratamiento de datos personales, deberá proceder ciñéndose a los principios establecidos en la norma ecuatoriana indicados en la Tabla 2.
Es preciso también mencionar que en todo tratamiento de datos personales se
debe garantizar los derechos de los titulares. Al ser el derecho a la protección de datos personales un derecho independiente y complejo,22 para que este sea garantizado deben
20 Naciones Unidas. Asamblea General. “Directrices para la regulación de los ficheros computarizados de datos personales.” Re-
solución 45/95. 14 de diciembre de 1990. A/RES/45/
21 Eugenia Novoa, “El derecho a la protección de datos de personales en la prestación de servicios de Cloud Computing. Una
perspectiva ecuatoriana”, Revista de Derecho Universidad Católica de Uruguay 22 (2020): 64-89, https://doi.org/10.22235/ rd.vi22.2239.
22 Eugenia Novoa, “y”, Udla, (2015): 44-102, https://dspace.udla.edu.ec/handle/33000/4547.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 81
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
cumplirse con las obligaciones que plantean otros derechos que lo configuran, en el caso tales derechos se desarrollan en el capítulo III de la LOPDP desde el artículo 11 al 24. La tabla que se presenta a continuación resume los derechos que configuran el derecho a la protección de datos personales.23
Tabla 3: Derechos que configuran derecho a la protección de datos personales
Derecho Definición en la norma Artículo
El titular de datos personales tiene derecho a ser infor-
Derecho a la informa-
mado conforme los principios de lealtad y transparente Art. 12
ción
por cualquier medio . . .
El titular tiene derecho a conocer y a obtener, gratuita-
mente, del responsable de tratamiento acceso a todos sus
Derecho de acceso Art. 13
datos personales y a la información . . . sin necesidad de
presentar justificación alguna. . .
El titular tiene el derecho a obtener del responsable del
tratamiento la rectificación y actualización de sus datos
Derecho de rectificación
personales inexactos o incompletos. . . El responsable de Art. 14
y actualización
tratamiento deberá atender el requerimiento en un plazo
de quince (15) días y en este mismo plazo
El titular tiene derecho a que el responsable del trata-
miento suprima sus datos personales (en casos enumera-
Derecho de eliminación dos en la norma) . . . Esta obligación la deberá cumplir Art. 15
en el plazo de quince (15) días de recibida la solicitud por
parte del titular y será gratuito.
El titular tiene el derecho a oponerse o negarse al trata-
miento de sus datos personales (en casos enumerados en
Derecho de oposición Art. 16
la norma) . . . Esta solicitud deberá ser atendida dentro
del plazo de quince (15) días.
El titular tiene el derecho a recibir del responsable del
tratamiento, sus datos personales en un formato compa-
tible, actualizado, estructurado, común, interoperable y
Derecho a la portabili-
de lectura mecánica, preservando sus características; o a Art. 17
dad
transmitirlos a otros responsables. La Autoridad de Pro-
tección de Datos Personales deberá dictar la normativa
para el ejercicio del derecho a la portabilidad . . .
Derecho a la suspensión El titular tendrá derecho a obtener del responsable del tra-
Art. 19
del tratamiento tamiento la suspensión del tratamiento de los datos . . .
23 Universidad Espíritu Santo - UEES, “Política de Tratamiento de Datos Personales”, 2025, pp. 1-5, https://uees.edu.ec/wp-con-
tent/uploads/2024/01/politica-de-tratamiento-de-datos-personales.pdf.
82 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
Derecho Definición en la norma Artículo
El titular tiene derecho a no ser sometido a una decisión
Derecho a no ser obje- basada única o parcialmente en valoraciones que sean to de una decisión basa-producto de procesos automatizados, incluida la elabo-da única o parcialmente ración de perfiles, que produzcan efectos jurídicos en el Art. 20 en valoraciones automa-o que atenten contra sus derechos y libertades . . . No se tizadas podrá exigir la renuncia a este derecho en forma adelan-
tada a través de contratos de adhesión masivos. . .
Además de los presupuestos establecidos en el derecho
Derecho de niñas, niños a no ser objeto de una decisión basada única o parcial-y adolescentes a no ser mente en valoraciones automatizadas, no se podrán tra-objeto de una decisión tar datos sensibles o datos de niñas, niños y adolescentes
Art. 21
basada única o parcial- a menos que se cuente con la autorización expresa del ti-mente en valoraciones tular o de su representante legal; o, cuando, dicho trata-automatizadas miento esté destinado a salvaguardar un interés público
esencial . . .
Las personas tienen derecho a la consulta pública y gra-
Derecho de consulta tuita ante el Registro Nacional de Protección de Datos Art. 22
Personales, de conformidad con la presente Ley.
Las personas tienen derecho al acceso y disponibilidad
del conocimiento, aprendizaje, preparación, estudio, for-
mación; capacitación, enseñanza e instrucción relaciona-
Derecho a la educación
dos con el uso y maneje adecuado, sano, constructivo, Art. 23
digital
seguro y responsable de las tecnologías de la información
y comunicación, en estricto apego a la dignidad e integri-
dad humana. . .
Nota: La tabla 3 muestra la definición de los derechos contenidos en el Art. 12 - 23 de la Ley Orgánica de Protección de Datos Personales. 24
Al igual que el caso de los principios, podemos verificar que existe en la norma ecua-toriana una extensión a los derechos que tradicionalmente contempla la doctrina y le-yes de protección de datos personales de otros paises. Debido a que nuestra norma sigue el modelo europeo de protección de datos personales, es importante considerar que tradicionalmente la doctrina europea trabaja sobre los derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).25 Sin embargo, a nivel internacional, tanto en jurisprudencia, como en doctrina se han desarrollado los derechos a autodeterminación informativa, a la información y a la indemnización.26
Tanto la autodeterminación informativa, como el derecho a la información se reco-
gen en la LOPD ecuatoriana. Sin embargo, el derecho a la indemnización del titular no
24 Los derechos de la tabla precedente constituyen un resumen, por lo que se sugiere a la o el lector acudir a la norma para veri-
ficar en detalle el alcance de cada derecho.
25 España Agencia Española de Protección de Datos, “El derecho fundamental a la protección de datos: guía para el ciudadano”,
2013, 19-29, https://adolescenciasema.org/usuario/documentos/Proteccion%20de%20datos%20GUIA_CIUDADANO.pdf.
26 Novoa, “El derecho a la protección de datos de carácter personal ecuatoriano”, 72-75.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 83
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
se especifica claramente, pues el artículo 29 de la LOPDP habla de derechos de titulares de datos crediticios, pero ni dentro del régimen sancionatorio, ni en el contenido del Reglamento, se especifican indemnizaciones monetarias reparatorias para los titulares de los datos.27 Esto puede acarrear falta de confianza de los titulares de los datos en el sistema de protección de datos personales ecuatorianos, pues no comprenderían la finalidad de este régimen y el destino de las sanciones. Resta verificar que se aplique el artículo 10 literal l, y el artículo 11,28 de forma favorable al titular, y se contemplen reparaciones económicas para el titular a quien se le ha violentado su derecho a la pro-tección de datos personales.
Finalmente, el artículo 7 de la LDPDP nos plantea ciertas condiciones para que el
tratamiento de datos personales se considere legitimo.29 Entre las principales condicio-nes se considera tener el consentimiento del titular para el tratamiento de datos, que se busque el cumplimiento de una misión realizada en interés público, por cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, para proteger intereses vitales, del interesado o de otra persona natural, por tratamiento de datos personales que consten en bases de datos de acceso público; y, para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés del titular.30 El contenido del artículo 7 deberá ser interpretado de forma integral con la norma, pues no debería utilizarse para evadir el cumplimiento de principios y obligaciones.31
Es elemental comprender la diferencia entre encargado de tratamiento de datos
personales y responsable de tratamiento de datos personales. Por un lado, el encargado de tratamiento de datos personales siempre actúa en nombre o por cuenta de un respon-sable de tratamiento.32 Por otro, es el responsable de tratamiento de datos quien decide la finalidad y la forma de tratamiento de datos personales. Esta diferencia es sustancial, pues será el responsable de tratamiento de datos personales quien decida si tiene o no encargados de tratamiento.
2. Rol de instituciones públicas del Ecuador en el tratamiento
de datos personales
El presente apartado analiza en qué medida las instituciones públicas del Ecuador de-ben cumplir los estándares de tratamiento de datos personales de la normativa vigen-te. En este sentido, es necesario primordialmente analizar si una institución pública es responsable o encargada de tratamiento de datos personales, acorde a la normativa vi-gente. Una vez determinado el rol de responsable o encargada de tratamiento de datos personales, se puede determinar las obligaciones que debe cumplir cada institución pú-blica ecuatoriana en el contexto de aplicación de la Ley Orgánica de Tratamiento de Datos Personales y normativa conexa.
Una institución (sea pública o privada) es responsable o encargada de tratamiento
de datos personales si trata datos personales o define la finalidad de este tratamiento
27 Ecuador, Ley Orgánica de Protección de Datos Personales, art. 29. 28 Ibíd., arts. 10.1 y 11.
29 Ibíd., art. 7.
30 Ibíd., art. 7.
31 Ibíd., art. 7.
32 Ecuador, Reglamento a La Ley Orgánica de Protección de Datos Personales, art. 41.
84 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
(Arts. 4, 34 y 47 LOPDP).33 De forma que, para cumplir ciertos parámetros definidos en la norma, las instituciones públicas deberán observar a los debidos estándares de protección de datos personales establecidos. A continuación, un análisis de los casos en que las instituciones públicas pueden ser consideradas responsables o encargados de tratamiento de datos personales.
La LOPDP crea un sistema de protección de datos personales, mismo que define
sus integrantes en el artículo 5 de la ley.34 En tal contexto es importante tener en consi-deración que cualquier titular, responsable de tratamiento, encargado de tratamiento, destinatario o delegado de protección de datos personales es integrante del sistema de protección de datos personales. El presente análisis se enfoca primordialmente en de-mostrar los casos en que las instituciones públicas podrían ser responsables y/o encarga-dos de tratamiento de datos personales, para comprender el alcance de sus obligaciones en el contexto del Derecho a la Protección de Datos Personales.
Es importante entonces comprender los casos cuando una persona jurídica es un
responsable de tratamiento de datos personales. Se define a responsable como «aquella persona física o jurídica, de naturaleza pública o privada que, sola o en conjunto de otros, decida sobre el tratamiento».35 Siguiendo esta línea de análisis la Regulación 2016/679 define al responsable de tratamiento de datos en el numeral 7 del artículo 4 como «la persona física o jurídica, autoridad pública, servicio u otro organismo que, solo o junto con otros, determine los fines y medios del tratamiento; si el Derecho de la Unión o de los Estados miembros determina los fines y medios del tratamiento, el responsable del tratamiento o los criterios específicos para su nombramiento podrá es-tablecerlos el Derecho de la Unión o de los Estados miembros».36
También es importante establecer los casos en que una persona jurídica tiene el rol
de encargado de tratamiento de datos personales. Aquellos prestadores de servicios de tratamiento de datos se definen como «persona física o jurídica, distinta de la persona responsable, que lleva a cabo un tratamiento de datos de carácter personal por cuenta de dicha persona responsable».37 Por su parte, la Regulación 2016/679 en el numeral 8 de su artículo 4 define al encargado de tratamiento de datos como «la persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento».38 Es así que el encargado de tratamiento presta servicios externos de negocio y tecnología al responsable de tratamiento para apoyarlo en el cumplimiento de sus labores.39 Deben concurrir dos condiciones para que una persona actúe como encargado del tratamiento: la primera, ser una entidad jurídica independiente del responsable del tratamiento y, la segunda, realizar el tratamiento de datos personales por cuenta de éste.40 Esta figura en el derecho a la protección de datos
33 Ecuador, Ley Orgánica de Protección de Datos Personales, arts. 4, 34 y 47. 34 Ibíd., art. 5.
35 Novoa, “El derecho a la protección de datos de personales en la prestación de servicios de Cloud Computing”, 72-73; Con-
ferencia Internacional de Autoridades de Protección de Datos y Privacidad, “Estándares Internacionales Sobre Protección de Datos Personales y Privacidad”, 2009, 7, https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Docu-ments/Cooperation/Conference_int/09-11-05_Madrid_Int_standards_ES.pdf.
36 Ecuador, Ley Orgánica de Protección de Datos Personales, art. 4.7; European Parliament and of the Council, “Regulation (EU)
2016/679,” 2016, https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng; Novoa, “El derecho a la protección de datos de perso-nales en la prestación de servicios de Cloud Computing”, 72.
37 Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, “Estándares Internacionales”, 7; Eugenia No-
voa, “El derecho a la protección de datos de personales en la prestación de servicios de Cloud Computing”, 72-75.
38 European Parliament and of the Council, “Regulation (EU) 2016/679”.
39 Cloud Security Alliance, Cloud Compliance Report. (2011), https://docs.google.com/viewer?a=v&pid=sites&srcid=Y2xvd-
WRzZWN1cml0eWFsbGlhbmNlLmVzfGNzYS1lc3xneDo2NWNhZWFiNTkwODI1N2I.
40 Grupo del artículo 29 sobre protección de datos, “Dictamen 1/2010 Sobre Los Conceptos de Responsable Del Tratamiento
y Encargado Del Tratamiento,” 2010.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 85
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
personales siempre se la ha subordinado a un responsable de tratamiento; sin embargo, con el paso del tiempo va adquiriendo suma relevancia.41
Para el tratamiento de datos por parte de instituciones gubernamentales, será
preciso que se comprenda el alcance de las obligaciones del responsable y encargado de tratamiento de datos personales. En Ecuador, la Ley Orgánica de Protección de Datos Personales en su artículo 47 establece las obligaciones de estos dos actores. Sin embargo, hay ciertas obligaciones exclusivas de uno u otro. La tabla que se presenta a continuación resume estas obligaciones.42
Tabla 4: Obligaciones LOPDP
Responsable Encargado de
Obligaciones del articulo 47 LOPDP
de tratamiento tratamiento
1. Tratar datos personales en estricto apego a los princi-
X X
pios y derechos desarrollados en la presente Ley
2. Aplicar e implementar requisitos y herramientas ad-
ministrativas, técnicas, físicas, organizativas y jurídicas
apropiadas, a fin de garantizar y demostrar que el trata- X X miento de datos personales se ha realizado conforme a lo
previsto en la presente Ley
3. Aplicar e implementar procesos de verificación, eva-
luación, valoración periódica de la eficiencia, eficacia y
efectividad de los requisitos y herramientas administrati- X X vas, técnicas, físicas, organizativas y jurídicas implemen-
tadas
4. Implementar políticas de protección de datos persona-
les afines al tratamiento de datos personales en cada caso X X en particular
5. Utilizar metodologías de análisis y gestión de riesgos
adaptadas a las particularidades del tratamiento y de las X X partes involucradas
6. Realizar evaluaciones de adecuación al nivel de seguri-
X X
dad previas al tratamiento de datos personales
7. Tomar medidas tecnológicas, físicas, administrativas,
organizativas y jurídicas necesarias para prevenir, impe-
X X
dir, reducir, mitigar y controlar los riesgos y las vulnera-
ciones identificadas.
8. Notificar a la Autoridad de Protección de Datos Per-
sonales y al titular de los datos acerca de violaciones a las
X X
seguridades implementadas para el tratamiento de datos
personales
41 Novoa, “El derecho a la protección de datos de personales en la prestación de servicios de Cloud Computing”, 73. 42 Ecuador, Ley Orgánica de Protección de Datos Personales, art. 47.
86 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
Responsable Encargado de
Obligaciones del articulo 47 LOPDP
de tratamiento tratamiento
9. Implementar la protección de datos personales desde
X X
el diseño y por defecto
10. Suscribir contratos de confidencialidad y manejo ade-
cuado de datos personales con el encargado y el personal
X X
a cargo del tratamiento de datos personales o que tenga
conocimiento de los datos personales
11. Asegurar que el encargado del tratamiento de datos
personales ofrezca mecanismos suficientes para garantizar
el derecho a la protección de datos personales conforme
a lo establecido en la presente ley
12. Registrar y mantener actualizado el Registro Nacio-
nal de Protección de Datos Personales
13. Designar al Delegado de Protección de Datos X X
14. Permitir y contribuir a la realización de auditorias o
inspecciones, por parte de un auditor acreditado por la X X Autoridad de Protección de Datos Personales
Nota: La tabla 4 muestra las obligaciones del responsable y el encargado de los datos personales en el Art. 47 de la Ley Orgánica de Protección de Datos Personales.
Así podemos observar que, en aplicación del artículo 47 de la LOPDP, el encarga-
do de tratamiento de datos personales tendrá las mismas obligaciones que el responsa-ble de tratamiento de datos personales.43 Sin embargo, realizando un análisis de ciertas obligaciones, podemos comentar respecto a la obligación 11, de suscribir contratos de confidencialidad, en el caso del encargado de tratamiento de datos, en concordancia con el principio de confidencialidad del artículo 10 de la norma, este deberá también suscribir tales contratos con su personal a cargo del tratamiento de datos. Por otro lado, el artículo 51 de la LOPDP establece que es exclusivamente obligación del responsable de tratamiento de datos personales «Registrar y mantener actualizado el Registro Na-cional de Protección de Datos Personales».44 Finalmente, la designación del delegado de Protección de Datos Personales, acorde al artículo 48 de la LOPDP, es una obligación tanto del responsable, como del encargado de tratamiento de datos, siempre que se cumplan los requisitos que generen la obligación de nombrarlo siguiendo los preceptos de la norma.
Las obligaciones discutidas deben ser analizadas a la luz del Reglamento a la Ley
de Protección de Datos Personales (en adelante RPDP). En este sentido es necesario considerar el contenido de su artículo 40, en el que se establece la necesidad de que el encargado de tratamiento ofrezca «[…] garantías suficientes para aplicar medidas técni-cas, jurídicas, administrativas y organizativas apropiadas para que el tratamiento cumpla
43 Ibíd., art. 47
44 Ibíd., art. 51.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 87
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
con las disposiciones de la Ley […]».45 Resta por comprender el alcance de tales garan-tías, mismas que deberán ser definidas por la Superintendencia de Protección de Datos.46
El alcance de la responsabilidad del encargado de tratamiento de datos personales
es también discutido en el Reglamento a la Ley. El artículo 42 del RLPDP reitera que el «responsable del tratamiento de datos personales será el directo obligado de garantizar el correcto ejercicio de los derechos reconocidos en la Ley a los titulares».47
Ahora, debemos comprender si tal responsabilidad pudiese ser solidaria para el
encargado de tratamiento. Para complementar este punto, el artículo 43 del RLPDP nos indica que el «[…]encargado del tratamiento que por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento […]»48 analizado hasta este punto, se entendería que si existe responsabilidad solidaria, sin embargo, el artículo continúa explicando « […] para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas […]»49 se en-tiende entonces que el encargado de tratamiento amplia su responsabilidad en los casos en que actúe en representación del responsable de tratamiento. La norma es confusa en este sentido, pues no se logra vislumbrar si existiese la necesidad de un mandato para que el encargado asuma el nivel de responsabilidad del responsable de tratamiento, o si, por pacta sunt servanda sea el contrato entre estos lo que defina el alcance de res-ponsabilidad de las partes respecto a la responsabilizar de garantizar los derechos de los titulares de los datos.
En caso de instituciones públicas en el Ecuador, los encargados actuarán bajo las di-
rectrices del responsable de tratamientos, las mismas que estarán definidas en un acuerdo de prestación de servicios firmado entre estos.50 El artículo 41 del RPDP establece los aspectos que rigen tal contratación, entre los que se encuentra la necesidad de definir la finalidad del tratamiento de datos, la categoría de datos personales, o identificación de los titulares de los datos personales.51 Podemos notar que tales puntos de contratación pueden ser bastante explícitos o amplios, especialmente respecto al caso específico que genere el tratamiento de datos personales. Particularmente, en el caso de contratación de servicios de cloud computing, podría llegar a ser muy complejo identificar con parti-cularidad a los titulares de los datos personales.52
El Reglamento a la LOPDP también establece otras obligaciones importantes de
mencionar para el encargado de tratamiento. El artículo 45 habla de la posibilidad de contratar un tercero para complementar la prestación de un servicio al responsable de tratamiento, en tal caso se precisa de la autorización del responsable de tratamiento, y tal tercero asumiría un rol de encargado de tratamiento.53 También es preciso comentar respecto a la obligación del encargado de tratamiento de «[…] devolver o eliminar todos los datos personales, según las instrucciones impartidas por el responsable del tratamien-
45 Ecuador, Reglamento a La Ley Orgánica de Protección de Datos Personales, art. 40. 46 Ecuador, Ley Orgánica de Protección de Datos Personales, art. 76 47 Ecuador, Reglamento a La Ley Orgánica de Protección de Datos Personales, art. 42. 48 Ibíd., art. 43; Ecuador Superintendencia de Protección de Datos Personales, “Oficio N° SPDP-IRD-2025-0096-O”, 2025,
https://spdp.gob.ec/consultasatendidas/
49 Ecuador, Reglamento a La Ley Orgánica de Protección de Datos Personales, art. 43; Superintendencia de Protección de Datos
Personales, “Oficio N° SPDP-IRD-2025-0096-O”.
50 Novoa, “El derecho a la protección de datos de personales en la prestación de servicios de Cloud Computing”, 10-15. 51 Ecuador, Reglamento a La Ley Orgánica de Protección de Datos Personales, art. 41. 52 Novoa, “El derecho a la protección de datos de personales en la prestación de servicios de Cloud Computing”. 85 53 Ecuador, Reglamento a La Ley Orgánica de Protección de Datos Personales, art. 45.
88 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
to, una vez finalizada la relación que justifica el tratamiento de datos personales […]»54 lo cual es interesante, pues la autoridad competente deberá definir los mecanismos para verificar tal eliminación de datos. En general, existen aún muchas dudas respecto al alcance de las obligaciones del encargado de protección de datos personales.
Analicemos el caso hipotético, el que una institución pública como el Ministerio de
Telecomunicaciones contrata a una empresa de servicios de telecomunicaciones para el manejo de sus tanques de información55 a través de servidores. En este caso. el Ministerio sería el responsable directo del tratamiento de datos personales para con los titulares de estos, sin embargo, Telconet, con las funciones de proveedor de servicios de infraes-tructura de cloud computing, también tendría un rol de responsable, por aplicación del artículo 43 del RLPDP, pues un proveedor de este tipo de servicios siempre determinará la finalidad del tratamiento de datos. Resta entonces analizar estas relaciones de forma pormenorizada, comprendiendo el alcance del cloud computing.
Finalmente, podemos concluir de forma preliminar que las instituciones públicas
que conforman el Estado de Ecuador en general son responsables, aunque también pueden ser encargadas de tratamiento de datos. La institución pública realiza trata-miento de datos personales al brindar servicios directos al usuario ecuatoriano. Un ejemplo hipotético podría ser el de SRI (Servicio de Rentas Internas), que al recau-dar impuesto a la renta de una persona natural recopila datos del contribuyente; y, por lo tanto, toma un rol de responsable de tratamiento de datos personales. Ahora, en el mismo caso hipotético, si SRI, interopera56 con SERCOP (Servicio nacional de contratación pública), compartiendo información de sus contribuyentes para no permitir la participación en subastas públicas a aquellos que no declaran a tiempo los impuestos, entonces SERCOP podría ser un encargado de tratamiento respecto a los datos entregados por SRI de sus contribuyentes.
Estos ejemplos nos permiten comprender que para determinar la responsabilidad de
instituciones públicas como responsable o encargado de tratamiento de datos será preci-so atender a cada caso particular de ciclo de vida de los datos. Esto permitirá compren-der en detalle cuál es el tipo de tratamiento de datos que realiza cada entidad estatal, y verificar el nivel de responsabilidad respecto a la protección de datos personales. Cabe también señalar que la Superintendencia de Protección de Datos Personales en distintas de sus consultas absueltas ha recurrido a analizar el ciclo de vida de los datos personales para determinar el alcance de la responsabilidad de instituciones públicas y privadas.57
3. Retos para el Estado ecuatoriano por tratamiento de
datos personales en instituciones públicas
Frente a lo explicado en los apartados anteriores, resta entonces comprender distintos escenarios de retos que el Estado ecuatoriano enfrenta para aplicar su normativa vigen-te de protección de datos personales. A continuación, se realiza un análisis de los retos
54 Ibíd., art. 45.
55 Tanques de información son aquellas bases de datos donde se almacenan datos materia de tratamiento por parte de instituciones 56 Se comprende como interoperatividad a la capacidad que tienen dos sistemas de información para intercambiar información
entre ellos. Se encuentra regulada en la Ley del Sistema Nacional de Registros Públicos.
57 Ecuador Superintendencia de Protección de Datos Personales, “Oficio N° SPDP-IRD-2025-0096-O”; Ecuador Superinten-
dencia de Protección de Datos Personales, “Oficio N° SPDP-IRD-2025-00198-O”, 2025, https://spdp.gob.ec/con-sultasatendidas/; Ecuador Superintendencia de Protección de Datos Personales, “Oficio N° SPDP-IRD-2025-0098-O”, 2025, https://spdp.gob.ec/consultasatendidas/.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 89
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
nacionales que se generan respecto a la aplicación de la norma a las instituciones esta-tales, por ser responsables o encargados de tratamiento de datos personales, finalmen-te reflexiona respecto a la necesidad de integrar una perspectiva internacional para la protección de datos personales.
3.1. Retos en contexto de protección de datos personales y
transformación digital a nivel país
El Ecuador prioriza la transición a un gobierno electrónico. El Plan de Creación de Oportunidades 2021 a 2025, en su Objetivo 15 en su política 15.2 Meta 15.2.1 establece al 2024 incrementar de 0,7 a 0,76 el índice de gobierno electrónico.58 En 2024, acor-de al UN E-Government Survey 2024 Ecuador puntúa 0.7800, lo que lo coloca en el puesto 67 del ranking global.59 La exitosa transición a un gobierno electrónico depen-de de los niveles de transformación digital, que se dividen en electrónica, interopera-ble, automatizada y proactiva. Para avanzar en estos niveles es necesario estructurar la transformación digital teniendo en cuenta los siguientes ejes: Gobernanza e institucio-nalidad, Marco normativo, Talento digital y gestión del cambio, Infraestructura y he-rramientas tecnológicas; y, nuevos procesos y servicios digitales.60
Al momento Ecuador, por ser parte de la Comunidad Andina de Naciones (en
adelante CAN) es parte de la Agenda Digital Andina, misma que en su hoja de ruta de abril del 2022 establece las siguientes ejes y líneas de acción: Gobierno Digital y Trans-formación Digital en la línea 1.2 se habla de impulsar servicios transfronterizos andinos, mientras que en la línea 2.3 de Infraestructura y conectividad, se busca desarrollar la viabilidad de contar con un cuerpo de regulación compilada andina en temas de TIC. Asimismo, la línea 3.2 relativa a Talento Digital plantea promover Universidades e Instituciones de Formación superior apoyadas por la CAN que promuevan programas pertinentes en materia de Cuarta Revolución Industrial, Transformación Digital y Tec-nologías Emergentes.61 Finalmente, en la línea 4.2 de Economía Digital se establece la línea de acción de impulsar el desarrollo de un Mercado de Datos.62
El Ministerio de Telecomunicaciones desde el 2019 ya se encontraba trabajando
por el fomento de tecnologías emergentes.63 La Agenda de Transformación Digital del Ecuador 2022-2025 en el Eje 1 de infraestructura digital abarca la conectividad y servicios de telecomunicaciones como pilar y el Eje 6 habla del Gobierno Digital donde se habla de simplificación de trámites, participación ciudadana, gobierno de TI e identidad digital, esto se complementa con los ejes 6 de interoperabilidad y tra-tamiento de datos y 7 de seguridad digital y confianza. Se buscaba entre sus líneas de acción promover el uso de servicios de analítica de grandes volúmenes de datos, impulsar la transformación de los GAD hacia ciudades inteligentes o smart villages,
58 Ecuador Secretaria Nacional de Planificación, “Plan de Creación de Oportunidades”.2021, 97 https://www.planificacion.gob.
ec/wp-content/uploads/2021/09/Plan-de-Creacio%CC%81n-de-Oportunidades-2021-2025-Aprobado.pdf.
59 Department of Economic and Social Affairs of the United Nations Secretariat, “United Nations E-Government Survey”, 2024,
172 https://publicadministration.un.org/egovkb/en-us/Reports/UN-E-Government-Survey-2024.
60 Banco Interamericano de Desarrollo, “Guía de Transformación Digital Del Gobierno.,” Puntoaparte, 2022, 19-25, https://dri-
ve.google.com/file/d/1B1W-d7HD9EvCWJ1dJy_OLfaUtBVj1ikF/view.
61 Comunidad Andina de Naciones, “Agenda Digital Andina”, 2022, 2-11, https://observatorioecuadordigital.mintel.gob.ec/
wp-content/uploads/2022/12/AGENDA-DIGITAL-ANDINA-HOJA-DE-RUTA.pdf.
62 Ibíd., 2-11,
63 Ministerio de Telecomunicaciones y de la Sociedad de la Información, “Libro Blanco de Las Líneas de Investigación, Desa-
rrollo e Innovación y Transferencia Del Conocimiento TICS,” 2019.
90 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
e incluso traer nuevas tecnologías disruptivas64 como blockchain como mecanismo de validación descentralizada de información.65
Así mismo, la Política Pública para la Transformación Digital del Ecuador 2025-
2030 incluye dentro de los ejes para sus objetivos y estrategias a: i) infraestructura digi-tal, ii) cultura e inclusión digital, iii) Economía digital, (iv) tecnologías emergentes para el desarrollo sostenible, (v) gobierno digital, (vi) interoperabilidad y tratamiento de datos; y, (vii) seguridad digital y confianza. Estos ejes se alinean con sus metas e indicadores. Esta reciente política pública busca priorizar la transformación digital para abordar los desafíos y aprovechar las oportunidades de la era digital.66
Por otro lado, Ecuador busca fomentar el desarrollo de la Inteligencia Artificial
(IA) en su gobierno. En noviembre del 2025 se publicó el Reporte de Evaluación de Preparación en Inteligencia Artificial para Ecuador, en el que se reitera la importancia de trabajar en una estrategia nacional coordinada para el desarrollo de IA en el país. Este documento también refleja un compromiso temprano del Ecuador con los princi-pios de UNESCO para una IA ética.67
Los esfuerzos de Ecuador por una transformación digital develan que el país bus-
ca desarrollo de la mano con digitalización, sin embargo, esto conlleva obligaciones. El incremento de digitalización y el fomento del gobierno electrónico es positivo para Ecuador, sin embargo, esto conlleva el aumento de tratamiento de datos,68 y por tanto la necesidad de cumplir con la normativa de protección de datos desde todas las insti-tuciones que conforman el Estado. Asi, todas las instituciones que tratan datos deben cumplir la LOPDP, es decir: administración central, gobiernos autónomos descentrali-zados y finalmente; y, las distintas esferas de administración pública, que involucran a las funciones legislativa, judicial, electoral y transparencia y control social.
3.1.1. Retos a nivel de administración central
La administración pública central se conforma de las instituciones que forman parte de la función ejecutiva. Acorde al artículo 141 de la Constitución, esta se integra por la Presidencia y Vicepresidencia de la República, los Ministerios de Estado y los demás organismos e instituciones necesarias, las atribuciones de rectoría, planificación, ejecu-ción y evaluación de las políticas públicas nacionales,69 lo cual es concordante con el artículo 45 del Código Orgánico Administrativo del Ecuador.70 Las entidades que con-forman la administración pública central y que realizan tratamiento de datos persona-les deben cumplir con las obligaciones de la LOPDP y su normativa conexa.
La implementación de procedimientos que permitan el tratamiento de datos per-
sonales acorde a la norma ecuatoriana es compleja, especialmente cuando se intenta integrar estas prácticas en instituciones del sector público. El Ministerio de Telecomu-nicaciones y de la Sociedad de la información expidió mediante Acuerdo Ministerial
64 Eugenia Novoa y Cristina Escobar, “Modernización del sistema registral ecuatoriano”, 79-80 . 65 Ecuador, Ministerio de Telecomunicaciones y de la Sociedad de Información, Agenda de Transformación Digital Del Ecuador
2022-2025, Ministerio de Telecomunicaciones y de la Sociedad de Información, 2022), 71-81.
66 Ecuador Ministerio de Telecomunicaciones y Sociedad de la Comunicación, “Política pública para la transformación digital
del Ecuador 2025-2030”.
67 UNESCO, Readiness Assessment Methodology on the Ethics of Artificial Intelligence: National Report – Ecuador, París: UNESCO, 2024. https://unesdoc.unesco.org/ark:/48223/pf0000396465. 68 Novoa, “El derecho a la protección de datos de personales en la prestación de servicios de Cloud Computing”. 85-88. 69 Ecuador, Constitución de La República Del Ecuador, Registro Oficial 449, 20 de octubre de 2008, art. 141. 70 Ecuador Código Orgánico Administrativo, Registro Oficial Registro Oficial Suplemento 31, fecha completa2017), art. 45.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 91
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
No. 012-2019 la «Guía para el tratamiento de datos personales en la Administración Pública Central»71 publicada en Registro Oficial 18 del 15 de agosto de 2019.72 Dentro de esa guía se establecen parámetros para que las instituciones que forman parte del gobierno central desarrollen el tratamiento de datos personales acorde a las exigencias del GDPR europeo.
Recordemos que, a nivel de administración central, las instituciones públicas tratan
datos de carácter personal e interoperan entre ellas. En la guía para el tratamiento de datos personales en la Administración Pública Central se establece que los represen-tantes de estas instituciones son responsables de tratamiento, y sus funcionarios de las unidades que realizan tratamiento de datos, son encargados de su tratamiento. Es im-portante tomar en cuenta que debido a que este Acuerdo Ministerial es precedente a la LDPDP, las actividades de responsables y encargados deben ceñirse a las obligaciones y principios contenidos en la LOPDP y su normativa conexa, acorde se detalla en los apartados previos de este trabajo investigativo, pues por aplicación directa del artículo 425 de nuestra Constitución de la República, la Ley Orgánica prevalece frente a Acuer-dos Ministeriales.73 De cualquier forma, resta verificar las guías actualizadas que emita la Superintendencia de Protección de Datos Personales al respecto.
3.1.2. Retos a nivel de gobiernos Autónomos Descentralizados
En lo que refiere a los Gobiernos Autónomos Descentralizados (GADs), implementar la Ley Orgánica de Protección de Datos Personales y normativa conexa en sus institu-ciones va a ser una ardua tarea. La Constitución de la República del Ecuador en su ar-tículo 238 enfatiza la autonomía política, administrativa y financiera de los GADs, lo que es concordante con las facultades legislativas a las que se refiere el artículo 240.74 Sin embargo, para la aplicación de la LOPDP y su normativa conexa, las instituciones que tratan datos personales en los GADs se encontrarán con varios retos en el camino.
Es preciso considerar que, en lo que refiere a Registros de la Propiedad y Mercan-
tiles, existe por aplicación de la Ley del Sistema Nacional de Registros Públicos. De tal forma que la Dirección Nacional de Registros Públicos debe apoyar en la imple-mentación de la normativa de protección de datos, conforme al artículo 31 numeral 14 de la Ley del Sistema Nacional de Registro de Datos Públicos.75 Aunque es necesario siempre tener en consideración que la injerencia de la Dirección Nacional de Registros Públicos se limita a materia registral, por lo que las demás instituciones que conforman los Gobiernos Autónomos Descentralizados deberán adecuar también sus sistemas de tratamiento de datos a lo que establece la LOPDP.
Se enfatiza la necesidad de acciones coordinadas que se generen mediante el diálo-
go entre la Superintendencia de Protección de Datos Personales y los distintos GADs. En este sentido, será necesario aprovechar la relevancia de instituciones como el Consor-
71 Ecuador Ministerio de Telecomunicaciones y de la Sociedad de Información, Acuerdo Ministerial No. 015-2019, art 1; Astrid
Karolina Salazar Jumbo et al., “Protección de Datos Personales En La Universidad Técnica de Machala” (tesis de maestría, Universidad Internacional del Ecuador, 2025), 62-74
72 Christian Vaca y Jorge Jaramillo, “Consideraciones Para La Implemetación Del Esquema Gubernamental de Seguridad de
La Información Basado En La Ley de Protección de Datos Personales Caso de Estudio: Instituto Nacional de Patrimonio Cultural”, (2022): 76, http://repositorio.uisrael.edu.ec/bitstream/47000/3361/1/UISRAEL-EC-MASTER-SEG-INF%20-378.242-2022-004.pdf.
73 Ecuador, Constitución de La República Del Ecuador, art. 425. 74 Ecuador, Código Orgánico de Organización Territorial, Autonomía y Descentralización, Registro Oficial Suplemento 303, 19
Octubre de 2010, art. 240; Ecuador, Constitución de La República Del Ecuador, art. 238.
75 Ecuador, Ley Del Sistema Nacional de Registro de Datos Públicos, Registro Oficial, Suplemento 162, 31 de marzo de 2010, art.
31; Novoa y Escobar, “Modernización del sistema registral ecuatoriano: Las oportunidades que trae la Tecnología Blockchain.”
92 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
cio de Gobiernos Provinciales del Ecuador (en adelante CONGOPE) o la Asociación de Municipalidades Ecuatorianas (en adelante AME). Esto permitirá profundizar el diálogo entre partes, evitando exigir la implementación de la normativa relativa a protección de datos personales de forma arbitraria, y posibilitando la capacitación a distintos fun-cionarios para una cultura de buenas prácticas de protección de datos a nivel nacional.
3.1.3. Retos a nivel de otras funciones de la administración púbica
No solo la Administración Pública Central y los Gobiernos Autónomos Descentrali-zados tienen la obligación de ceñir su tratamiento de datos personales a la LOPDP. Como se explicó en líneas anteriores, es importante recordar que todas las institucio-nes públicas que desarrollen tratamiento de datos personales pueden ser Responsables o Encargados de tratamiento de datos, esto incluye a instituciones que forman parte de la Función Ejecutiva, Legislativa, Judicial, Electoral y Transparencia y Control So-cial.76 En resumen, todas las instituciones que conforman el Estado ecuatoriano tratan datos personales y manejan información, por lo que deben ceñirse a la LOPDP y su normativa conexa.
Algunas insituciones en el Estado han comenzado a regular internamente sus ac-
tividades para el tratamiento de datos personales. En el caso de la Función Judicial, el Consejo de la Judicatura en su Resolución No. 043-2024 regula el tratamiento de los datos personales que constan dentro de los procesos judiciales tramitados en los órga-nos jurisdiccionales de la Función Judicial y que se encuentran cargados en el Sitema Automático de Trámite Judicial Ecuatoriano (SATJE).77 Si bien existe una regulación al respecto, la misma debe ser sometida a criterios continuos de evaluación, lo que incluye capacitación continua a los funcionarios judiciales respecto al alcance del derecho a la protección de datos personales. Así mismo, dentro de la Función de Transparencia y Control social, la Contraloría General del Estado78 y la Defensoría del Pueblo79 han regulado internamente el tratamiento de datos personales en virtud de la LOPDP.
Por otro lado, en la Función Electoral también debe normar la protección datos
personales. Las actividades electorales involucran el tratamiento de grandes volúme-nes de datos personales, por lo que resulta sustancial realizar evaluaciones de impacto exahustivas, esto debido al alto riesgo que representa este tipo de tratamiento de datos personales respecto a derechos y libertades de los ciudadanos.80 Es también importante resaltar casos como el de las firmas falsas de 2012, cuando no estaba vigente la LOPDP, y escándalo del voto telemático en el exterior suscitado en el 2023, cuando ya estaba vigente la LOPDP, pero aún no existía autoridad posecionada.81 Estos casos evidencian la necesidad emergente de que la Función Electoral regule internamente las actividades que conllevan tratamiento de datos personales.
Se considera de suma importancia observar experiencias internacionales, para com-prender las dificultades que han presentado otros paises implementando normas de
76 El Art. 225 de la Constitución de la Republica del Ecuador establece las instituciones que comprenden el sector público. 77 Consejo de la Judicatura de Ecuador. Reglamento para el Tratamiento de Datos Personales dentro de Procesos Judiciales. Reso-
lución del Pleno Nro. 043-2024. Publicado en el Tercer Suplemento del Registro Oficial Nro. 517, 13 de marzo de 2024, art 1.
78 Contraloría General del Estado (CGE) de Ecuador. Política de Privacidad y Tratamiento de Datos Personales de la CGE. Acuer-
do Nro. 18. Publicado en el Sexto Suplemento del Registro Oficial Nro. 43, 21 de mayo de 2025, art. 1.
79 Defensoría del Pueblo de Ecuador. Política de Protección y Tratamiento de Datos Personales de la Defensoría del Pueblo. Reso-
lución Nro. 50. Publicado en el Segundo Suplemento del Registro Oficial Nro. 142, 13 de octubre de 2025, art. 1.
80 Darío Echeverría. “Protección de datos personales en el contexto electoral: análisis de la legislación ecuatoriana.” Revista Espe-
cializada Justicia Electoral y Democracia 7, núm. 8 (2024): 135-140, https://revista.tce.gob.ec/index.php/rjed/article/view/79.
81 Ibíd., 146-150.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 93
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
protección de datos personales. Una experiencia valiosa para Ecuador es la de estrate-gia para implementar el GDPR en Rumania, en la que se resalta la necesidad de: (i) equipar las instituciones con tecnologías modernas capaces de procesar y proteger los datos materia de tratamiento, (ii) esfuerzos de los poderes del Estado se enfoquen no solamente en crear instituciones burocráticas ineficientes, sino en capacitar a sus ser-vidores públicos para brindar servicios de calidad en un contexto de economía digital, (iii) reforzar la imagen de la administración publica es sustancial para la implementa-ción de leyes de protección de datos.82
Entonces, el Estado de Ecuador, a nivel nacional interno, tiene grandes retos para
implementar la LOPDP. Por un lado, necesita mejorar sus capacidades tecnológicas mediaticas y de alfabetización, lo cual incluye formar profesionales técnicos y desarrollar proyectos que amplíen la digitalización a nivel nacional; por otro lado, es preciso edu-car a todos los niveles de servicio público respecto al tratamiento de datos personales y economía digital. Pero no solo es preciso entonces desarrollar educación digital para poder aplicar técnicamente la normativa de protección de datos personales, también es sustancial actualizar los métodos tradicionales de enseñanza, para que estos permitan comprender la dinámica de los sistemas informáticos, pues se precisa capacitación para adquirir destrezas prácticas.83 Es sustancial educar a todo nivel a los servidores públi-cos en la nueva realidad y contexto de la sociedad digital. Será valioso la colaboración multiactor, para que se propongan y desarrollen proyectos que refuercen la cultura tec-nológica de servidores públicos, mejorando así la imagen de la administración pública a todo nivel, y priorizando la transparencia en toma de decisiones.
3.2. Perspectiva internacional de la protección de datos
personales
El Ecuador tiene grandes retos frente al contexto internacional de protección de datos personales en una creciente economía digital global.84 Existen avances inmensos a ni-vel mundial que develan no solo la necesidad de regular protección de datos persona-les, sino de ampliar la planificación de políticas públicas de Ecuador, para integrarse a mercados digitales en la Cuarta Revolución Industrial.85 La protección de datos no puede coartar el desarrollo digital, debe promoverlo.
El acceso a la tecnología se está democratizando cada vez más, para 2025 se espe-
ra que aproximadamente todas las personas en el planeta tengan acceso a dispositivos móviles conectados a Internet. La pandemia de COVID-19 impactó drásticamente el tráfico de internet, es así que, para 2020 el tráfico de banda en internet incrementó en un 35 por ciento, se estima que aproximadamente el 80 por ciento de todo el tráfico en internet se debe al uso de redes sociales y juegos en línea. Se predice un crecimiento de tráfico de datos mensuales de 230 exabytes en 2020 a 780 exabytes para el 2026.86 La
82 Andra-Nicoleta Bortea, “Ethics of Public Administration in the Digital Economy.,” 1st International Conference, (2020): 11,
10.18662/lumproc/gekos2020/26.
83 Bortea, “Ethics of Public Administration in the Digital Economy”, 260.
84 World Trade Organization, “Digital Trade for Development”, 2023, 18-23 https://www.wto.org/english/res_e/booksp_e/
dtd2023_e.pdf.
85 World Economic Forum, “Data-driven economies: foundations for our common future”, 2021, 18-23, https://www.weforum.
org/publications/data-driven-economies-foundations-for-our-common-future/.; World Trade Organization y Trade Finance Global, “Accelerating trade digitalization to support MSME financing”, 2021, 15-18, https://www.wto-ilibrary.org/content/ books/9789287053350,
86 United Nations Conference on Trade and Development, “Technology and Innovation Report”, 2021, 139, https://unctad.
org/system/files/official-document/tir2020_en.pdf.
94 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
digitalización está transformando la globalización ya que el volumen de flujos de datos transfronterizos ha aumentado 45 veces más desde 2005, los estudios muestran que casi el doce por ciento del comercio mundial de bienes se realiza a través del comercio electrónico internacional.87
En base a los datos brindados, es evidente que el Estado Ecuatoriano expida leyes
como LOPDP y adecue sus politicas publicas buscando ampliar su incidencia en la digi-talización. Los objetivos de la famosa «cuarta revolución industrial» inspiran en esfuerzos comunes de promover el uso de nuevas tecnologías conforme lo plasmado en la Agenda 2030 de la Naciones Unidas, de la que Ecuador es signatario.88 La consecución de los Objetivos de Desarrollo Sostenible de la Agenda 2030 conlleva a la promoción y refuer-zo en el uso de estas tecnologías, por lo que es prioridad de los gobiernos implementar políticas estatales para promover una transformación digital.89 Ecuador ha responsido a esta realidad global mediante agendas de transformación digital y normativas como la LOPDP, sin embargo la evolución de los mercados digitales en el país es aún temprana.90
A continuación, se exponen algunas problemáticas particulares que en la actualidad
han captado la atención de actores políticos nacionales e internacionales relacionadas con la proteccion de datos personales a nivel internacional.
3.2.1. Comercio internacional y distintos modelos de protección de datos
personales
Debido a la popularidad de los servicios de Internet y el desarrollo de los derechos de privacidad y de protección de datos lo largo de la historia, algunos países han imple-mentado diferentes sistemas legales y normas que protegen la información y datos de sus ciudadanos.91 Estas varían de acuerdo con el régimen de protección de datos de cada país, que incorpora derechos y principios relacionados con el tratamiento y procesa-miento de datos.92 Desde una perspectiva económica, las diferencias en la regulación de la protección de datos entre economías como Estados Unidos y Europa son altamente controversiales en el entorno tecnológico, ya que han obstaculizado significativamente las diferentes negociaciones relacionadas con los acuerdos comerciales internacionales (Ronda de Doha) y el TBI (TPP).93
Por otro lado, la Unión Europea tiene un sistema complejo de protección de datos
personales, en el que se entrelazan ciertos principios para el procesamiento de datos con el derecho de autodeterminación informativa.94 Otros países están desarrollando un sistema híbrido de protección de datos que combina los principios establecidos por el sistema europeo y fomenta la autorregulación de las empresas.95 En otros casos, sigue
87 McKinsey Global Institute, “What’s Now and next in Analytics, AI, and Automation, Briefing Note”, 2017, 4, https://www.
mckinsey.com.
88 Naciones Unidas, Asamblea General, Transformar nuestro mundo: la Agenda 2030 para el Desarrollo Sostenible. Resolución
A/RES/70/1, adoptada el 25 de septiembre de 2015. https://www.un.org/en/development/desa/population/migration/ge-neralassembly/docs/globalcompact/A_RES_70_1_E.pdf.
89 Department of Economic and Social Affairs of the United Nations Secretariat, “United Nations E-Government Survey.” 90 Eugenia Novoa y Cristina Escobar, “Modernización del sistema registral ecuatoriano”, 80-81. 91 Berry y Reisman, “Policy challenges of cross-border cloud computing: Journal of international commerce and economics.,”
2012, 10-15, https://www.usitc.gov/journals/policy_challenges_of_cross-border_cloud_computing.pdf.
92 United Nations Conference of Trade and Development, “Data protection regulations and international data flows: implications
for trade and development” 2016, 31-37. https://unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.
93 Meltzer Joshua, “The Internet, Cross-Border Data Flows and International Trade”, 22 (2013): 96-99, 10.1002/app5.60. 94 Novoa, “El derecho a la protección de datos de carácter personal ecuatoriano”, 72-75. 95 Ibíd.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 95
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
existiendo la necesidad de regular la protección de datos en las grandes economías de Asia, incluidas China, Indonesia y Singapur.96
Los principales modelos internacionales para regular el flujo transfronterizo de
datos están divididos de acuerdo al nivel de restricción en transferencias trasnacionales. Existe el modelo de enfoque ligero desarrollado por Estados Unidos, que propone la libre transferencia de datos con requerimientos mínimos regulatorios planteados en base a principios y evitando exceso de burocracia. También está el modelo regulatorio pres-criptive de la Unión Europea, que involucra requisitos rigurosos de cumplir ligados a la transferencia de datos internacional, este modelo lo sigue nuestra LOPDP. Finalmente, hay un modelo restrictivo y cauteloso enfocado primordialmente en medidas regulatorias necesarias para garantizar ganancias domésticas de la digitalización, este modelo está siendo principalmente desarrollado por países como China, Indía o Rusia, que buscan adecuar sus políticas nacionales a limitar la transferencia internacional de datos de sus ciudadanos e instituciones gubernamentales.97
Si bien el Ecuador, al implementar la normativa de protección de datos en el 2021,
intentó afianzar su posición de nación colonizada, con una norma de línea europeo cen-trista, esto podría perjudicar al país en el actual contexto del comercio internacional. Frente a la situación comercial del Ecuador, si bien contamos con un TLC ratificado con la Unión Europea, en el que se exige niveles de protección de datos adecuados,98 el TLC recientemente ratificado con la República de China Popular también incluye obli-gaciones internacionales en materia de transferencia de datos, particularmente se habla de la «innovación de datos» para fomentar la economía digital,99 lo cual podría oponerse a lo ya pactado con la Unión Europea.
En nuestra LOPDP se habla de la transferencia internacional de datos personales
en su capítulo IX. Si bien el artículo 56 propone que toda transferencia internacional de datos personales se podrá realizar con países declarados como nivel adecuado de protección, los artículos subsiguientes dejan notar las problemáticas institucionales que se presenta al momento de determinar tales niveles adecuados de protección. El Regla-mento a la LOPDP tampoco brinda luces a esta situación, pues recalca lo ya establecido en la Ley.100 Se pretende que con normas corporativas vinculantes y certificaciones in-ternacionales se alcancen niveles adecuados de protección, cuando claramente lo que se generan son mecanismos de burocracia en beneficio de pocas compañías certificadoras internacionales, que finalmente no brindarán garantía alguna. Como se ha explicado en líneas anteriores, la transferencia transfronteriza de datos comprende servicios en la nube, que por su naturaleza no son rastreables.
Se habla de transferencias internacionales de datos que generen garantías ade-
cuadas, tutela efectiva del derecho a la protección de datos e incluso de reparación integral. Sin embargo, estas son ideas que no se conectan con la realidad del comercio internacional y las relaciones diplomáticas que maneja Ecuador en el mundo, incluso no es concordante con los compromisos adquiridos en tratados internacionales, como lo mencionado previamente. Resta al Estado ecuatoriano, al menos en lo que refiere a los datos que manejan y transfieren sus instituciones públicas, definir y negociar estas
96 Berry y Reisman, “Policy challenges of cross-border cloud computing.”, 13.
97 United Nations Conference of Trade and Development, “Digital Economy Report”, 2019, 125-131. 98 Ecuador, Tratado de Libre Comercio Entre Ecuador y Unión Europea, Registro Oficial Registro Oficial Suplemento 808, 23
de diciembre 2016, art. 164.
99 Ecuador, Tratado de Libre Comercio entre Ecuador y China. Registro Oficial Suplemento 500, 19 de febrero de 2024, art. 10.13. 100 Ecuador, Reglamento a La Ley Orgánica de Protección de Datos Personales.
96 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
medidas de protección de datos transaccionales. Sin embargo, considerando el irreal alcance del texto de nuestra ley, tal vez se recurra a la salida fácil, aplicando el artículo 60 de la LOPDP, y considerando a muchos casos (principalmente aquellos que con-lleven compromisos con países desarrollados) como transferencias permitidas por ser excepcionales, en perjuicio de la ciudadanía ecuatoriana.101
3.2.2 Seguridad cibernética frente a palpables avances de la digitalización
Es importante hacer una breve referencia de las problemáticas que se presentan en te-mas de vigilancia cibernética y ciberseguridad. A partir del escandaloso caso de Ed-ward Snowden, Ecuador ha sido parte de la discusión global en temas de vigilancia cibernética.102 Esto también es relevante al momento de aplicar nuestra nueva normati-va de protección de datos personales para los datos que son materia de tratamiento de instituciones públicas ecuatorianas.
A partir de la filtración de WikiLeaks, se ha comprendido a nivel mundial las pro-
blemáticas de las actividades de gobiernos para la vigilancia de sus ciudadanos.103 Ahora, es importante tener en cuenta que tal vigilancia no solo la practica el sector público, sino también el sector privado, especialmente en lo que refiere a las preferencias de compras de individuos, para mejorar las posibilidades de acceder a ciertos mercados.104 Tanto la vigilancia de gobiernos, como del sector privado pueden tener implicancias directas en los derechos humanos de las personas.
Feldstein reflexiona respecto a la expansión global de la vigilancia a través de Inte-
ligencia Artificial (IA).105 Muchos Estados en la actualidad se encuentran desarrollando sistemas avanzados de vigilancia de ciudadanos, valiéndose de las herramientas de la IA.106 La tecnología de vigilancia mediante IA se está expandiendo a gran rapidez, se calcula al menos 75 de 176 países se encuentran activamente usando IA para propósitos de vigilancia cibernética.107 China es el país con mayor vigilancia cibernética mundial, aunque Estados Unidos también participa activamente en el mercado de estas tecnolo-gías. Se calcula que China y Estados Unidos proveen al menos a 32 países tecnologías de vigilancia cibernética.108
Así mismo, es necesario considerar que, frente a las crecientes problemáticas inter-
nacionales alrededor de la ciberseguridad el Ecuador debe implementar su normativa de protección de datos personales. En nuestra norma el Capítulo VI establece medidas para la seguridad de datos personales. Tales medidas, para casos de tratamiento de datos personales por instituciones públicas acorde al artículo 38, se debe implementar un mecanismo gubernamental de seguridad de la información por parte de todas las instituciones del sector público, contenidas en el artículo 225 de la Constitución, para garantizar la protección de datos personales por parte de todo el sector público del Es-
101 United Nations Conference on Trade and Development, “Technology and Innovation Report”, 2023, 58-59. 102 Daniel Crespo-Pazmiño, “Ciberseguridad y Derechos Humanos: respuestas estatales e individuales a las revelaciones de es-
pionaje de Snowden (Coyuntura),” Comentario Internacional: revista del CAEI, no. 19 (2019): 81-86, https://repositorio.uasb. edu.ec/handle/10644/7703.
103 Ibíd., 89-95.
104 World Economic Forum, “Data-driven economies: foundations for our common future”, 28-29. 105 Steven Feldstein, The Global Expansion of AI Surveillance (Carnegie Endowment for International Peace, 2019), 5-7. 106 United Nations Conference on Trade and Development, “Technology and Innovation Report”, 2025,111-138. 107 Steven Feldstein, The Global Expansion of AI Surveillance (Carnegie Endowment for International Peace, 2019), 5-8. 108 Ibíd., 5-8.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 97
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
tado.109 El artículo 39 de la LOPDP también propone la protección de datos personales desde el diseño y por defecto.110 En todos estos casos, las tecnologías para cumplir con tales estándares de seguridad deberán posiblemente importarse de China o Estados Unidos, pues en el Ecuador aún no existe tal desarrollo tecnológico.
3.3.3. Necesidad de integrar una perspectiva internacional para la protección de
datos personales en Ecuador
Las tendencias de economía digital mundial demuestran que hay países que evolucio-nan, mientras otros no avanzan. Según cifras de la Conferencia de Naciones Unidas sobre Comercio y Desarrollo, la economía digital está altamente concentrada en dos países: Estados Unidos y China, paises que concentran el 90% del mercado digital mun-dial. Del 100% del mercado global digital, el 68% pertenece a Estados Unidos, el 27% está en Asia, representando China el 22% de ese mercado, el 1,3% está en Àfrica, el 3,6% en Europa y el 0.2% en América Latina.111
Estas cifras son alarmantes, pues nos llevan a comprender que aunque el mercado
global de hardware, software y servicios profesionales relacionados con la implementa-ción de big data alcanzará los 43.7 mil millones de euros en 2019 en territorio europeo,112 ese dinero no va a Europa, sino que va a las economías que sostienen el 90% de mercado digital global. Es decir, aunque Europa tiene avanzadas regulaciones en protección de datos, su mercado digital no refleja crecimiento. Esto lo podemos extrapolar a Ecuador, y comprenderemos que nuestra LOPDP aunque pretende transplantar un modelo eu-ropeo, tiene el reto de crecer un mercado de 0,2% digital en toda la región. Los retos de implementar un transplante legal europeo son enormes, pero como se ha evidenciado, los retos de integrar un mercado global digital son aún más grandes.
Esto se puede explicar comprendiendo el pensamiento de Chander, quien reflexiona
sobre el éxito de las empresas de Silicon Valley. De acuerdo a esta postura, las cortes en California, mediante su jurisprudencia han desarrollado un ecosistema que facilita el ecosistema de startups tecnológicas y promueve la innovación, no solo mediante la creación de respuestas rápidas a las condiciones del mercado, sino también mediante la promoción de un régimen liberal que, por lo tanto, resulta propicio para este tipo de mé-todo de ensayo y error para la innovación, permitiendo a las empresas basar sus ofertas no en restricciones legales, sino en la reacción del mercado. En otras palabras, los jueces estadounidenses modificaron el derecho consuetudinario para subsidiar el desarrollo industrial y promover las empresas en internet.113 Así, a diferencia de otros regímenes legales estrictos como los de la UE o China, las empresas estadounidenses aprovecharon su base liberal para convertirse en líderes globales en el ciberespacio.
Las cifras mundiales develan la necesidad de ampliar esfuerzos no solo en norma-
tiva de protección de datos, sino en ampliación de políticas que coadyuven a mercados digitales. Se estima que el mercado de tecnologías de frontera llegará a generar 9.5 trillones de dólares para 2030. Al 2023, el Ecuador alcanza el puesto 90 con un índice
109 Ecuador, Constitución de La República Del Ecuador, art. 225. 110 Ecuador, Ley Orgánica de Protección de Datos Personales, art. 39. 111 United Nations Conference of Trade and Development, “Digital Economy Report”, 2019, 20-22, https://unctad.org/web-
flyer/digital-economy-report-2019.
112 European Commission, Enter the Data Economy (2017), https://op.europa.eu/en/publication-detail/-/publication/411368f9
-ed01-11e6-ad7c-01aa75ed71a1.
113 Chander, Anupam. How Law Made Silicon Valley. Emory Law Journal 63, no. 3 (2014): 639-694. Disponible en: https://
scholarlycommons.law.emory.edu/elj/vol63/iss3/3.
98 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
de Tecnologías Frontera de 0.43, para el 2025 esta cifra mejora con un puesto 91y un índice 0.44,114 sin embargo, esta cifra únicamente refleja el uso de tecnologías de frontera en el país, no su desarrollo. Un ejemplo de esto es el desarrollo de Inteligencia Artificial, entre 2022 y 2024 se presentaron tres solicitudes de registro de patentes y modelos de utilidad relacionados con IA, de las cuales ninguna fue concedida.115 Claramente es pre-ciso generar políticas estatales para hacer frente al contexto internacional, ampliando las oportunidades para que ecuatorianos emprendedores digitales desarrollen tecnología que se integre en mercados digitales, no solo regulandolos tempranamente, incluso antes de que existan.
Se evidencia entonces que Ecuador no se encuentra aislado en el mundo, varios
paises enfrentan situaciones similares frente a mercados digitales globales, por tal razón la cooperación internacional es clave. Las instituciones públicas que tratan datos per-sonales se ven obligadas a cumplir con obligaciones frente a la autoridad de protección de datos personales nacional, pero también deben adecuar sus políticas para cimentar desarrollo en la digitalización. Las problemáticas referidas a la recolección, uso y trata-miento de datos, no se refieren únicamente a temas de protección de datos personales, sino que trascienden a otras áreas de la sociedad, economía y derecho.
Conclusiones
El Ecuador tiene la ardua tarea de implementar su Ley Orgánica de Protección de Da-tos Personales. El contenido de la norma es vasto y se comprende de principios, dere-chos y distintas reglamentaciones para considerar légitimo o no el tratamiento de datos personales. En esta misma línea, es necesario comprender el alcance de la norma para diferenciar obligaciones entre instituciones públicas que son responsables o encargadas de tratamiento de datos personales. Esta diferencia es sustancial, pues será el respon-sable de tratamiento de datos personales quien decida si tiene o no encargados de tra-tamiento, y acorde a esto se puede asignar responsabilidades claras en cada institución pública en aplicación de la norma.
Las instituciones públicas, tanto de gobierno central, como de GADs, que confor-
man el Estado de Ecuador, en general, son responsables, aunque también podrían ser encargadas de tratamiento de datos. La institución pública, al brindar servicios directos al usuario ecuatoriano asimila un rol de responsable de tratamiento de datos persona-les. En casos de interoperabilidad, ciertas instituciones púbicas podrían ser encargadas de tratamiento, la normativa es confusa respecto al alcance de la responsabilidad del encargado de tratamiento, para lo cual serán valiosos los pronunciamientos de la Super-intendencia de Protección de Datos Personales.
Es sustancial considerar la necesidad de emitir políticas de protección de datos
personales en las instituciones que conforman el Estado Ecuatoriano. Si bien algunas instituciones ya cuentan con políticas de tratamiento de datos personales, es preciso que todas las instituciones emitan estas regulaciones, incluyendo la Función Electoral y Función de Transparencia y Control Social.
114 United Nations Conference of Trade and Development, “Technology and Innovation Report”, 2023, 136-151, https://unct-
ad.org/system/files/official-document/tir2023_en.pdf.: United Nations Conference of Trade and Development, “Technology and Innovation Report”, 2025, 98, https://unctad.org/system/files/official-document/tir2025_en.pdf.
115 UNESCO, RAM Ecuador. 51.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 99
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
Existen desafíos para el Estado ecuatoriano para aplicar la normativa de protección
de datos personales. Es importante tener en consideración guías ya emitidas con anterio-ridad para instituciones de la administración central, evaluar su efectividad y adecuarlas conforme al contenido de la Ley. A nivel de GADs, será necesario promover el diálogo multiactor que permita paulatinamente generar una cultura de protección de datos al-rededor de la normativa existente. En general, las instituciones públicas requieren de capacitación a sus funcionarios en nuevas tecnologías y la relevancia de la protección de datos personales.
Finalmente, Ecuador precisa implementar su normativa de protección de datos per-
sonales con una perspectiva internacional. A nivel internacional, es preciso considerar las problemáticas en el comercio internacional y los retos que implica para acceder a mercados digitales el implementar una norma que sigue una línea rigurosa de protec-ción de datos personales. Así tambien Ecuador debe evaluar los efectos de obligaciones internacionales contraídas en la implementación de su LOPDP.
Bibliografía
Legislación nacional
Ecuador. Código Orgánico Administrativo. Registro Oficial Suplemento 31, 7 de julio de 2017. _____. Código Orgánico de Organización Territorial, Autonomía y Descentralización. Registro
Oficial Suplemento 303, 19 de octubre de 2010.
_____. Constitución de la República. Registro Oficial 449, 20 de octubre de 2008. _____. Ley del Sistema Nacional de Registro de Datos Públicos. Registro Oficial Suplemento
162, 31 de marzo de 2010.
. Ley Orgánica de Protección de Datos Personales. Registro Oficial Suplemento 459, 26 de mayo
de 2021.
Tratados internacionales
Ecuador. Tratado de Libre Comercio entre Ecuador y China. Registro Oficial Suplemento 500,
19 de febrero de 2024.
_____. Tratado de Libre Comercio entre Ecuador y Unión Europea. Registro Oficial Suplemento
808, 23 de diciembre de 2016.
Normas ejecutivas
Presidencia de la República. Decreto Ejecutivo 904. Registro Oficial Suplemento No. 435, 13
de noviembre de 2023.
Resoluciones y Acuerdos ministeriales
Consejo de la Judicatura de Ecuador. Reglamento para el Tratamiento de Datos Personales
dentro de Procesos Judiciales. Resolución del Pleno Nro. 043-2024. Publicado en el Tercer Suplemento del Registro Oficial Nro. 517, 13 de marzo de 2024.
Contraloría General del Estado (CGE) de Ecuador. Política de Privacidad y Tratamiento de
Datos Personales de la CGE. Acuerdo Nro. 18. Publicado en el Sexto Suplemento del Registro Oficial Nro. 43, 21 de mayo de 2025.
Defensoría del Pueblo de Ecuador. Política de Protección y Tratamiento de Datos Personales para
la Defensoría del Pueblo. Resolución Nro. 50. Publicado en el Segundo Suplemento del Registro Oficial Nro. 142, 13 de octubre de 2025.
100 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
Ecuador Ministerio de Telecomunicaciones y de la Sociedad de la Información. Acuerdo
Ministerial No. 015-2019. Quito: Ministerio de Telecomunicaciones y de la Sociedad de la Información 2019.
Jurisprudencia
Weltimmo s.r.o. contra Nemzeti Adatvédelmi és Információszabadság Hatóság. Sentencia del
Tribunal de Justicia (Sala Tercera) de 1 de octubre de 2015. Caso C-230/14.
Fuentes secundarias
Libros
Del Peso, E. Ley de Protección de Datos la nueva LORTAD. Madrid: Ediciones Diaz de Santos
S.A., 2000.
Sánchez, Á. La protección del derecho a la libertad informática en la Unión Europea. Sevilla:
Universidad de Sevilla, 1998.
Artículos de revista
Bortea, Andra-Nicoleta. «Ethics of Public Administration in the Digital Economy». First
International Conference – Global Ethics – Key of Sustainability (GEKos). Bucharest, Romania, 2020, 1-9.
Chander, Anupam. «How Law Made Silicon Valley.» Emory Law Journal 63, no. 3 (2014): 639-
694. Accedido noviembre 29, 2025. https://scholarlycommons.law.emory.edu/elj/vol63/iss3/3.
Crespo-Pazmiño, Daniel. «Ciberseguridad y Derechos Humanos: respuestas estatales e
individuales a las revelaciones de espionaje de Snowden (Coyuntura).» Comentario Internacional: revista del CAEI, no. 19 (2019). https://repositorio.uasb.edu.ec/ handle/10644/7703.
Meltzer, Joshua. «The Internet, Cross-Border Data Flows and International Trade». Issues in
Tech. Innovation, no. 22 (2013), páginas del artículo complete, URL o doi.
Novoa, Eugenia. «El derecho a la protección de datos de personales en la prestación de servicios
de Cloud Computing. Una perspectiva ecuatoriana». Revista de Derecho 22 (2020): 64-89. https://doi.org/10.22235/rd.vi22.2239.
_____. «El derecho a la protección de datos de carácter personal ecuatoriano analizado a partir
de la relación b2c (Business to Consumer) en la prestación de servicio.», UDLA, (2015): número de páginas de todo el artículo. URL o doi.
Novoa, Eugenia y Cristina Escobar. «Modernización del sistema registral ecuatoriano: Las
oportunidades que trae la Tecnología Blockchain». Revista Cálamo (2020) https://pdfs. semanticscholar.org/2f0e/3f748de93b95533dc60184e71eb1103b95a6.pdf .
Redrobán Barreto William. «Protección de Datos Personales en Ecuador a consecuencia de la
emergencia sanitaria Covid-19.» Revista Universidad y Sociedad 15, no. 2 (2023): 194-206.
Roldán Carrilo, Felipe. «Los ejes centrales de la protección de datos: consentimiento y finalidad.
Críticas y propuestas hacia una regulación de la protección de datos personales en Ecuador». USFQ Law Review, 8, no 1. (2021): 175 - 202, doi: 10.18272/ulr.v8i1.2184
Salazar Jumbo, Astrid Karolina, Diego Fernando Huiracocha Rueda, Darwin Jeovanny Quinche
Labanda, Josué Israel Alvear Zapata, and María Isabel Peña Mogrovejo. «Protección de Datos Personales En La Universidad Técnica de Machala». 2025. https://repositorio. uide.edu.ec/bitstream/37000/7978/1/UIDE-Q-TMDD-2025-08.pdf.
Vaca Benalcazar, Christian Patricio, and Jorge Luis Jaramillo Burbano. «Consideraciones Para La
Implemetación Del Esquema Gubernamental de Seguridad de La Informaciôn Basado En La Ley de Protección de Datos Personales Caso de Estudio: Instituto Nacional de Patrimonio Cultural». 2022, 76. http://repositorio.uisrael.edu.ec/bitstream/47000/3361/1/ UISRAEL-EC-MASTER-SEG-INF%20-378.242-2022-004.pdf
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 101
Instituciones públicas ecuatorianas ante la LOPDP: de la norma a la práctica, retos y perspectiva internacional.
Informes y documentos institucionales
Agencia Española de Protección de Datos. «El derecho fundamental a la protección de datos:
guía para el ciudadano». 2013. www.agpd.es.
Banco Interamericano de Desarrollo. Guía de transformación digital del gobierno. 2022.
https://drive.google.com/file/d/1B1W-d7HD9EvCWJ1dJy_OLfaUtBVj1ikF/view.
Cloud Security Alliance. «Cloud Compliance Report». 2011. https://docs.google.com/r?a=v&
pid=sites&srcid=Y2xvdWRzZWN1cml0eWFsbGlhbmNlLmVzfGNzYS1lc3xneDo2 NWNhZWFiNTkwODI1N2I.
Comité Europeo de Protección de Datos (CEPD). Directrices 3/2018 relativas al ámbito
territorial del RGPD (artículo 3). Versión 2.1. Adoptadas el 12 de noviembre de 2019. https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32018-territorial-scope-gdpr-article-3_es.
Comunidad Andina de Naciones. Agenda Digital Andina. 2022. https://
observatorioecuadordigital.mintel.gob.ec/wp-content/uploads/2022/12/AGENDA-DIGITAL-ANDINA-HOJA-DE-RUTA.pdf.
Confederación de Empresarios de Andalucía. Modelos de e-Business. 2014. http://www.cea.
es/upload/ebusiness/modelos.pdf.
Conferencia Internacional de Autoridades de Protección de Datos y Privacidad. «Estándares
Internacionales sobre Protección de Datos Personales y Privacidad». 2009. https:// secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/ Cooperation/Conference_int/09-11-05_Madrid_Int_standards_ES.pdf.
Department of Economic and Social Affairs of the United Nations Secretariat. United Nations
E-Government Survey. 2024. https://publicadministration.un.org/egovkb/en-us/ Reports/UN-E-Government-Survey-2024.
Ecuador. Instituto Nacional de Estadística y Censos. Principales Indicadores de Actividades
de Ciencia, Tecnología e Innovación. 2014
Ecuador. Ministerio de Telecomunicaciones y de la Sociedad de la Información. Libro Blanco de
la Líneas de Investigación, Desarrollo e Innovación y Transferencia del Conocimiento en TIC. Quito, 2019.
Ecuador. Ministerio de Telecomunicaciones y de la Sociedad de la Información. Agenda de
transformación digital del Ecuador. Quito, 2022.
Ecuador. Ministerio de Telecomunicaciones y Sociedad de la Comunicación. «Política
pública para la transformación digital del Ecuador 2025-2030». 2025. https://www. gobiernoelectronico.gob.ec/wp-content/uploads/2025/03/INSTRUMENTO-Politica-Publica-para-la-Transformacion-Digital-Ecuador-2025-2030-MINTEL-signed_f.pdf.
Ecuador. Secretaria Nacional de Planificación. «Plan de Creación de Oportunidades».
2021.https://www.planificacion.gob.ec/wp-content/uploads/2021/09/Plan-de-Creacio%CC%81n-de-Oportunidades-2021-2025-Aprobado.pdf.
Ecuador. Superintendencia de Protección de Datos Personales. «Oficio N° SPDP-IRD-2025-
0096-O». 2025. https://spdp.gob.ec/consultasatendidas/.
Ecuador. Superintendencia de Protección de Datos Personales. «Oficio N° SPDP-IRD-2025-
0098-O». 2025. https://spdp.gob.ec/consultasatendidas/.
Ecuador. Superintendencia de Protección de Datos Personales. «Oficio N° SPDP-IRD-2025-
0198-O». 2025. https://spdp.gob.ec/consultasatendidas/.
European Commission. Enter the data economy. 2017. https://op.europa.eu/en/publication-
detail/-/publication/411368f9-ed01-11e6-ad7c-01aa75ed71a1.
Feldstein, Steven. The Global Expansion of AI Surveillance. Working Paper. Carnegie
Endowment for International Peace. Washington, DC, 2019.
Grupo del artículo 29 sobre protección de datos. Dictamen 1/2010 sobre los conceptos de
responsable del tratamiento y encargado del tratamiento. 2010. http://ec.europa.eu/ justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf.
102 REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014
Novoa E.
McKinsey Global Institute. «What’s now and next in analytics, AI, and automation, briefing
note». 2017. https://www.mckinsey.com.
Naciones Unidas. Asamblea General. «Directrices para la regulación de los ficheros
computarizados de datos personales». Resolución 45/95. 14 de diciembre de 1990.
Naciones Unidas. Asamblea General. Transformar nuestro mundo: la Agenda 2030 para el
Desarrollo Sostenible. Resolución A/RES/70/1. Adoptada el 25 de septiembre de 2015. https://www.un.org/en/development/desa/population/migration/generalassembly/ docs/globalcompact/A_RES_70_1_E.pdf.
Renee Berry y Matthew Reisman. «Policy challenges of cross-border cloud computing. Journal
of international commerce and economics». 2012. https://www.usitc.gov/journals/ policy_challenges_of_cross-border_cloud_computing.pdf.
UNESCO. Readiness Assessment Methodology on the Ethics of Artificial Intelligence:
National Report - Ecuador. París: UNESCO, 2024. https://unesdoc.unesco.org/ ark:/48223/pf0000396465.
United Nations Conference of Trade and Development. «Data protection regulations and
international data flows: Implications for trade and development». 2016. https:// unctad.org/en/PublicationsLibrary/dtlstict2016d1_en.pdf.
United Nations Conference of Trade and Development. «Information and Economy Report».
2017. https://unctad.org/en/PublicationsLibrary/ier2017_en.pdf.
United Nations Conference of Trade and Development. «Technology and innovation report».
2018. https://unctad.org/en/pages/PublicationWebflyer.aspx?publicationid=2110.
United Nations Conference of Trade and Development. «Digital Economy Report». 2019.
https://unctad.org/webflyer/digital-economy-report-2019.
United Nations Conference of Trade and Development. «Digital Economy Report». 2021.
https://unctad.org/system/files/official-document/der2021_en.pdf.
United Nations Conference of Trade and Development. «Technology and Innovation Report:
Catching technological waves: Innovation with equity». 2021. https://unctad.org/ system/files/official-document/tir2020_en.pdf.
United Nations Conference of Trade and Development. «Technology and innovation report».
2023. https://unctad.org/system/files/official-document/tir2023_en.pdf.
United Nations Conference of Trade and Development. «Digital Economy Report». 2024.
https://unctad.org/system/files/official-document/der2024_en.pdf.
United Nations Conference of Trade and Development. «Technology and innovation report».
2025. https://unctad.org/system/files/official-document/tir2025_en.pdf.
Universidad Espíritu Santo - UEES. «Política de Tratamiento de Datos Personales». 2025.
https://uees.edu.ec/wp-content/uploads/2024/01/politica-de-tratamiento-de-datos-personales.pdf.
World Economic Forum. «Data-driven Economies: Foundations for Our Common Future:
WEF White Paper». 2021. https://www.weforum.org/publications/data-driven-economies-foundations-for-our-common-future/.
World Trade Organization. «Digital Trade for Development». 2023. https://www.wto.org/
english/res_e/booksp_e/dtd2023_e.pdf.
World Trade Organization & Trade Finance Global. «Accelerating trade digitalization to
support MSME financing: WTO Research Paper». 2021. https://www.wto-ilibrary. org/content/books/9789287053350.
Normativa internacional
Parlamento Europeo y del Consejo. Regulación 2016/679 relativa a la protección de las personas
naturales en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos. Diario Oficial de las Comunidades Europeas L 119/1, 27 de abril de 2016.
REVISTA CAP JURÍDICA CENTRAL 9(17), julio - diciembre 2025 | pISSN 2550-6595 | eISSN 2600-6014 103