El 30 de abril de 2025 se expidió en Ecuador, mediante Registro Oficial Año l No. 42 del 20 de mayo de 2025, un reglamento que establece la obligatoriedad de incorporar cláusulas de protección de datos personales en los contratos celebrados dentro del país. Esta disposición tiene como finalidad garantizar el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y asegurar el respeto a los derechos de los titulares de datos.

Contexto legal del hecho

El reglamento se expide en cumplimiento de lo dispuesto en la Ley Orgánica de Protección de Datos Personales (LOPDP), vigente en Ecuador desde el año 2021. Esta ley establece principios y obligaciones para el tratamiento de datos personales, incluyendo la responsabilidad proactiva de quienes los gestionan. El nuevo reglamento se inscribe en el marco de esta normativa, reforzando el sistema de gestión de cumplimiento mediante cláusulas contractuales específicas.

Contenido o disposición principal

El artículo 1 del reglamento determina que todos los contratos celebrados dentro del territorio ecuatoriano deben contener cláusulas de protección de datos personales. Estas cláusulas deben respetar los principios legales vigentes y garantizar los derechos de los titulares.

Se precisa que estas cláusulas no son obligatoriamente estándar, sino textos sugeridos que estandarizan un contenido mínimo. El reglamento prohíbe defectos como ambigüedad, finalidades no legítimas, ausencia de bases legales para el tratamiento, falta de transparencia, entre otros.

En su artículo 4, el reglamento enumera 12 defectos que invalidan una cláusula de protección de datos, entre ellos: permitir tratamientos ilícitos, omitir medidas de seguridad, recopilar datos en exceso o limitar derechos de los titulares. Además, se establece que el Anexo I tiene un carácter referencial, y podrá ser actualizado por la Superintendencia de Protección de Datos Personales (SPDP), previo informe técnico y jurídico.

Alcance y aplicación del reglamento

El reglamento es de cumplimiento obligatorio para todos los actores del sistema de protección de datos personales definidos en el artículo 5 de la LOPDP, lo que incluye responsables y encargados del tratamiento, así como terceros que celebren contratos donde se procesen datos personales.

La resolución entra en vigencia desde su suscripción, el 30 de abril de 2025, sin perjuicio de su publicación en el Registro Oficial. El Anexo I, aunque no vinculante, ofrece guías prácticas para la elaboración de cláusulas conforme a la normativa.

Fuente: Registro Oficial Año l No. 42 del 20 de mayo de 2025