Normativa oficial sobre interés legítimo en tratamiento de datos personales

¿Qué implica este nuevo marco y cómo afecta a las organizaciones públicas y privadas en Ecuador?

La Superintendencia de Protección de Datos Personales (SPD) publicó la normativa que regula la aplicación del interés legítimo como base legal para el tratamiento de datos personales en Ecuador. Esta resolución era una de las más esperadas del 2025, ya que define con claridad los criterios, límites y requisitos que deben cumplir las empresas o entidades para justificar el uso de esta base legal, prevista en la Ley Orgánica de Protección de Datos Personales (LOPDP).

¿Qué es el interés legítimo?

Es una de las bases jurídicas que permite tratar datos personales sin necesidad de consentimiento, siempre que se pueda demostrar que:

• Existe un interés real, lícito y específico por parte del responsable o un tercero.

• Este interés no vulnera los derechos del titular de los datos.

• Se han aplicado medidas adecuadas de protección y evaluación de impacto.

La normativa indica que el interés legítimo no es aplicable para el tratamiento de datos sensibles, ni puede usarse para justificar perfiles automatizados o decisiones que afecten significativamente al titular.

¿Qué deben hacer las organizaciones?

Las empresas que quieran ampararse en esta base legal deben cumplir con ciertos pasos obligatorios:

1. Documentar el análisis de interés legítimo, que incluya:

   • Descripción del propósito del tratamiento.

   • Identificación del interés perseguido.

   • Evaluación de la necesidad y proporcionalidad.

   • Medidas de mitigación y garantía de derechos.

   • Resultado del análisis de ponderación.

2. Conservar el documento técnico como respaldo frente a auditorías o requerimientos de la autoridad.

3. Actualizar su política de privacidad, informando al titular que el tratamiento se realiza bajo esta base.

Anexo obligatorio

El anexo técnico que acompaña a la normativa funciona como una plantilla estandarizada para estructurar el análisis de interés legítimo. Todas las organizaciones deberán seguir este formato si desean aplicar esta base legal, lo que representa un avance en la estandarización y trazabilidad del cumplimiento normativo.

¿Qué sectores aplican con mayor frecuencia esta base?

Empresas de seguros, entidades financieras, firmas de cobranzas, plataformas digitales, organismos de control, y prestadores de servicios empresariales o legales que tratan datos con fines de seguridad, prevención de fraude, cumplimiento legal o mejora operativa.

¿Por qué es importante?

La normativa aporta seguridad jurídica a las organizaciones que no pueden (o no deben) depender del consentimiento en todos los tratamientos de datos. También fortalece el equilibrio entre innovación y protección de derechos.

Implementar correctamente el análisis de interés legítimo no solo evita sanciones, sino que posiciona a las empresas como entidades responsables y alineadas con las mejores prácticas de cumplimiento.

¿Tu empresa ya está preparada para justificar el interés legítimo?

Desde nuestra firma ayudamos a implementar este análisis con criterios legales, técnicos y de gobernanza. Te acompañamos en cada paso para asegurar un cumplimiento estratégico y alineado con tu actividad.