Volver al blog
Consentimiento de datos en Ecuador la diferencia entre tener un formulario y tener un sistema
15 de mayo de 2026

Consentimiento de datos en Ecuador la diferencia entre tener un formulario y tener un sistema

La casilla de acepto en tu formulario no te protege si no está respaldada por un sistema auditable. Aquí está lo que la ley realmente exige.

Imagina esto: un cliente tuyo hace una queja a la Superintendencia de Protección de Datos. Dice que nunca autorizó que usaras su información para enviarle publicidad.

Tú buscas el correo que te mandó, el formulario que llenó, la conversación de WhatsApp. Encuentras algo — pero no puedes decir exactamente cuándo aceptó, a qué versión del texto, qué autorizó específicamente.

¿Tienes cómo defenderte? Si no tienes un registro demostrable, la respuesta es no.

Eso es lo que separa un formulario de un sistema. Y esa diferencia, en Ecuador, ya tiene consecuencias económicas reales.

? Marco legal completo: Ley de Protección de Datos en Ecuador: cómo cumplir sin frenar tu negocio

Lo que la ley entiende por consentimiento válido

El artículo 8 de la LOPDP es muy claro: el consentimiento tiene que ser libre, específico, informado e inequívoco.

Libre significa que el usuario no fue obligado a darlo como condición para acceder a un servicio no relacionado. Importante: en el ámbito laboral, el uso de biométricos (huella, rostro) para marcar asistencia puede considerarse desproporcionado si existen métodos menos invasivos, y el consentimiento del empleado podría no ser considerado "libre" por la relación de poder.

Específico significa que autorizó un propósito concreto, no "todo uso posible de sus datos".

Informado significa que sabía exactamente para qué se usaría su información antes de aceptar.

Inequívoco significa que hizo una acción positiva. El numeral 4 del Art. 8 lo prohíbe explícitamente: el silencio no vale, la inacción no vale, la casilla premarcada no vale.

Además, el Art. 47 numeral 2 de la LOPDP establece la responsabilidad proactiva: las empresas deben no solo cumplir la ley, sino "garantizar y demostrar" que el tratamiento se hizo conforme a ella. Eso es lo que hace un sistema auditable.

El pipeline de consentimiento que la ley exige en la práctica

No es una pantalla. Es un flujo con estados.

Paso 1 — Captación con información completa El formulario muestra, antes del envío, exactamente para qué se usarán los datos. Si hay múltiples propósitos (cotización, newsletter, compartir con terceros), cada uno tiene su propio checkbox no premarcado.

El usuario marca los que acepta. Al enviar, el sistema registra: nombre, fecha y hora exacta, dirección IP, versión del texto que aceptó, qué finalidades autorizó.

Paso 2 — Confirmación activa El usuario recibe un correo confirmando qué autorizó. Ese correo incluye un link personalizado para revocar en cualquier momento.

Paso 3 — Portal de gestión Cuando el usuario hace clic en el link de revocación, llega a una pantalla donde puede ver qué autorizó y desactivarlo. Al hacerlo, el sistema registra la revocación con fecha y hora, y reacciona: sale de listas de marketing, no recibe más comunicaciones comerciales para esa finalidad.

Paso 4 — Registro auditable Todo queda en la base de datos. Si la Superintendencia pregunta, puedes mostrar: "Este usuario consintió el 12 de marzo a las 3:14pm, versión 2 de la política, autorizó cotizaciones pero no marketing. Revocó el 5 de mayo a las 10:22am."

Esa trazabilidad es la que te defiende.

Los plazos que no puedes ignorar

La ley establece plazos distintos según el derecho que ejerce el titular:

  • Acceso y Rectificación: Tienes hasta 15 días hábiles para atender la solicitud (Art. 13 LOPDP).
  • Suspensión del tratamiento / Revocatoria: Tienes máximo 3 días hábiles para ejecutarla una vez recibida la solicitud (Art. 18, Resolución SPDP-SPD-2025-0030-R).

Si un cliente te dice "no quiero que uses mis datos", el sistema tiene que reaccionar en 3 días. No en la semana que viene. No cuando alguien lo recuerde. En 3 días hábiles.

Por qué esto no es "solo añadir una casilla"

La reacción más común cuando explico esto a un cliente es: "pensaba que era solo añadir un checkbox al formulario."

Un sistema de consentimiento real involucra:

  • Al menos 4 flujos o pantallas distintas
  • Lógica de backend que registra y actualiza estados
  • Correos automáticos con tokens únicos de revocación
  • Integración con tus listas de correo o CRM para que la revocación tenga efecto real
  • Versioning de la política (si el texto cambia, hay que volver a pedir consentimiento)
  • Panel para que el responsable del negocio consulte el estado de cumplimiento

Eso tiene que funcionar — no solo existir en papel.

La ventaja de hacerlo bien desde el inicio

Hay un argumento que pocas veces se menciona: esto protege al negocio, pero también genera confianza en el cliente.

Cuando alguien llena tu formulario y recibe un correo que le confirma qué autorizó y le dice cómo revocarlo, percibe seriedad. No todas las empresas hacen eso. Las que lo hacen se diferencian.

En sectores donde la confianza es crítica — salud, seguros, finanzas, educación — esa percepción tiene valor comercial directo. El cumplimiento deja de ser una obligación legal y se convierte en un activo de marca.

En OBJETIVO implementamos este sistema exacto, adaptado al tamaño y sector de cada negocio. Por etapas, sin que tengas que convertirte en experto técnico.

? Agenda tu revisión gratuita de 20 minutos

Fuentes: Art. 8 y Art. 47 LOPDP; Reglamento LOPDP (Decreto 904, noviembre 2023); Resolución SPDP-SPD-2025-0030-R (agosto 2025), Art. 18 — plazos de suspensión y revocatoria.

Sigue profundizando

? Ley de Protección de Datos en Ecuador: cómo cumplir sin frenar tu negocio

? Política de privacidad en Ecuador: qué debe incluir la tuya

Sígueme en mis redes

FacebookTwitter (X)LinkedIn