LOPDP Ecuador: lo que toda institución financiera debe estar haciendo
La Ley Orgánica de Protección de Datos Personales del Ecuador llegó para quedarse. Resumen práctico de obligaciones, plazos y multas — sin jerga legal.
El cambio de fondo
Antes de la LOPDP, tratar datos personales era una zona gris. Hoy es una obligación regulada con sanciones que van del 0.1% al 1% de los ingresos anuales de la empresa. Para una institución financiera mediana, eso son millones.
La buena noticia: la mayoría de las obligaciones se cumplen con disciplina operativa, no con tecnología cara.
Las 8 obligaciones críticas
1. Designar un DPO
Toda institución financiera necesita un Delegado de Protección de Datos (DPO/oficial). Puede ser interno o externo. Sus funciones son indelegables.
2. Mantener un Registro de Actividades de Tratamiento
Documento vivo que lista cada finalidad para la que tratas datos, las categorías de datos involucrados, los plazos de retención, los destinatarios, las transferencias internacionales. Es lo PRIMERO que pide un inspector.
3. Consentimiento informado
Cada vez que recolectes datos, el titular debe saber QUÉ recolectas, PARA QUÉ, POR CUÁNTO TIEMPO y a QUIÉN se lo das. Casillas pre-marcadas no valen.
4. Política de privacidad accesible
Tiene que estar en tu web, en la app y en cualquier punto de contacto. No copies y pegues de otra empresa; debe reflejar tu operación real.
5. Procedimiento de derechos ARCO + portabilidad + oposición
El titular puede pedir Acceso, Rectificación, Cancelación, Oposición, Portabilidad. Tienes plazos de respuesta (10-15 días dependiendo del caso). Necesitas un proceso definido, no improvisado.
6. Evaluación de Impacto (DPIA)
Para tratamientos de alto riesgo (datos biométricos, scoring crediticio masivo, geolocalización), debes hacer una evaluación previa y documentada.
7. Notificación de brechas
Si hay una brecha de seguridad, tienes 72 horas para notificar a la Superintendencia. Sin proceso definido y tabletop ejercitado, este plazo es imposible.
8. Contratos con encargados (procesadores)
Cada proveedor que trata datos por ti (cloud, CRM, soporte) necesita un contrato específico de tratamiento. Sin esto, eres responsable solidario.
Las multas que estamos viendo
En el primer año de aplicación, las multas más comunes fueron por:
- No tener DPO designado o no haberlo notificado.
- Recolectar datos sin consentimiento informado válido.
- No responder solicitudes ARCO en plazo.
- Brechas sin notificación oportuna.
Qué hacer si vas atrasado
Tres semanas de trabajo concentrado pueden llevarte de "alto riesgo" a "razonablemente compliant":
- Semana 1: Designa DPO, mapea tratamientos críticos, redacta política de privacidad.
- Semana 2: Implementa formularios de consentimiento, procedimiento ARCO, plantillas de contrato con encargados.
- Semana 3: Ejercicio tabletop de brecha, define plan de remediación de tratamientos de alto riesgo.
En Ciberseguridad & Protección de Datos 2026 tenemos sesiones específicas sobre LOPDP. Si tu institución está en proceso de adecuación, vale la pena el viaje a Quito en Noviembre.
Lectura externa recomendada
Superintendencia de Protección de Datos ↗¿Te interesa este tema?
Nuestros congresos 2026 cubren estos temas a profundidad. CISOs, oficiales de fraude y líderes financieros se reúnen para compartir métricas y casos reales.