El 12 de febrero de 2026, la Superintendencia de Protección de Datos Personales (SPDP) expidió la Resolución N.º SPDP-SPD-2026-0009-R, mediante la cual se aprueba la “Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial”. Esta normativa tiene por objeto garantizar la aplicación de los principios, derechos y obligaciones previstos en la Ley Orgánica de Protección de Datos Personales (LOPDP), su reglamento, y demás normativa secundaria, cuando los responsables y encargados desarrollen, entrenen, implementen, desplieguen y/o provean sistemas de inteligencia artificial que traten datos personales de titulares ecuatorianos, independientemente de la ubicación del sistema o proveedor.

Alcance y criterios principales

La Norma General será obligatoria para responsables y encargados que intervengan en el ciclo de vida de sistemas de inteligencia artificial que traten datos personales, incluyendo desarrolladores, implementadores, desplegadores y distribuidores, dentro del ámbito material y territorial de la LOPDP.

Esta regulación dispone que todo tratamiento de datos personales realizado mediante sistemas de inteligencia artificial deberá regirse por los principios de la normativa ecuatoriana y garantizar el ejercicio de derechos a titulares, en especial los derechos de información clara, específica y transparente, el derecho a no ser objeto de decisiones basadas en valoraciones automatizadas, y el derecho de oposición.

Asimismo, entre las obligaciones específicas para los sujetos obligados se menciona:

• Gestión de riesgos y evaluaciones de impacto en el desarrollo y funcionamiento del sistema.
• Medidas de seguridad acordes al volumen y categoría de datos tratados.
• Registro de Actividades de Tratamiento (RAT).
• Auditorías de funcionamiento del sistema.

Implicaciones jurídicas relevantes

En caso de incumplimiento de la normativa para este tipo de sistemas, los responsables y encargados podrán ser sancionados conforme al régimen aplicable. Además, la SPDP queda facultada para auditar los sistemas de inteligencia artificial, así como para imponer medidas correctivas o cautelares.

Finalmente, la Resolución establece que la Norma General entrará en vigencia a partir de su publicación en el Registro Oficial.  Hacemos notar que hasta la presente fecha no ha sido publicado, sin embargo se estima que ocurrirá en el corto plazo.

Desde CCB Abogados, recomendamos a nuestros clientes revisar sus procesos de diseño, implementación y uso de sistemas de inteligencia artificial que involucren datos personales, asegurando la incorporación temprana de los requerimientos de la normativa, a fin de mitigar riesgos regulatorios y evitar contingencias ante la SPDP.

NOTA: El informativo de CCB Abogados no podrá ser considerado como opinión legal, ya que tiene efectos únicamente informativos.