En un mundo cada vez más digital, los datos personales se han convertido en un activo crítico para estrategias de marketing y gestión empresarial. Sin embargo, la ley de protección de datos sigue siendo un factor de riesgo importante cuando terceros acceden, manejan o procesan información personal en campañas, concursos, formularios y servicios digitales.

Responsabilidad sigue siendo de la organización

Las empresas son responsables de cumplir la normativa de protección de datos, aunque deleguen actividades de marketing a agencias externas, community managers, influencers o plataformas de publicidad digital. La responsabilidad legal no se transfiere, incluso cuando hay encargados del tratamiento o colaboradores externos.

Brechas y riesgos globales cuantificados

Los riesgos de terceros en el tratamiento de datos no son menores. A nivel global, el 35,5 % de todas las brechas de seguridad en 2024 estuvieron vinculadas a terceros, lo que representa un aumento del 6,5 % respecto al año anterior, demostrando que más de un tercio de los incidentes pueden originarse fuera del control directo de la empresa propietaria de datos  . Adicionalmente, estudios señalan que el 43 % de las filtraciones de datos implican a proveedores externos.

Estos porcentajes reflejan que, aunque no siempre se hagan públicos todos los incidentes, la exposición a brechas a través de terceros es una tendencia creciente que impacta directamente la reputación, la confianza del cliente y la continuidad del negocio.

Sanciones en Ecuador y ejemplos recientes

Aunque en Ecuador la Ley Orgánica de Protección de Datos Personales (LOPDP) estuvo pendiente de aplicación durante años, desde 2025 la Superintendencia de Protección de Datos Personales (SPDP) ha comenzado a imponer sanciones por incumplimiento de obligaciones de protección de datos personales. Casos como el de la Federación Ecuatoriana de Fútbol (FEF) y LIGAPRO recibieron multas administrativas por falta de gestión de riesgos y medidas adecuadas, lo que evidencia que el marco legal ya se está aplicando con efectos reales  .

Según la normativa local, las sanciones para infracciones leves pueden oscilar entre 0,1 % y 0,7 % del volumen de negocio de la entidad, calculado sobre el ejercicio económico anterior  . Esto implica que las multas pueden representar montos significativos para empresas medianas y grandes, transformando la no adecuación en un riesgo tangible para la gestión financiera.

Estrategias de control interno y auditoría

Para mitigar estos riesgos, las organizaciones deben:

  1. Mapear y documentar todos los flujos de datos personales tratados por terceros.

  2. Formalizar contratos con cláusulas claras de seguridad, confidencialidad y responsabilidad.

  3. Implementar auditorías periódicas y evaluaciones de impacto para asegurar cumplimiento continuo.

  4. Integrar la protección de datos desde el diseño, en lugar de asumir que una política posterior cubre los riesgos.

Fuente: Ley Orgánica de Protección de Datos