Política de privacidad en Ecuador qué debe incluir la tuya (y por qué la que copiaste no sirve)
La SPDP ya sancionó empresas por políticas de privacidad incompletas. Aquí está el checklist exacto de lo que debe incluir la tuya.
En 2025, la Superintendencia de Protección de Datos sancionó a empresas ecuatorianas. El motivo no fue que robaran información ni que vendieran datos. Fue porque sus políticas de privacidad omitían información que la ley exige de forma explícita — casos documentados en las Resoluciones RES-SPDP-ICS-2025-0005 y RES-SPDP-ICS-2025-0006.
Tenían el documento. Solo que estaba incompleto.
Si tienes un sitio web con una política de privacidad que copiaste de otra empresa, de un template gratis, o que alguien te "adaptó" rápidamente — esta guía es para ti. No para asustarte, sino para que sepas exactamente qué debe decir ese documento.
? Si quieres entender el marco completo de la ley antes de seguir: Ley de Protección de Datos en Ecuador: cómo cumplir sin frenar tu negocio
Por qué la mayoría de políticas de privacidad en Ecuador no sirven
El problema más común no es que las empresas no tengan política. Es que tienen una que fue redactada para cumplir el trámite, no para cumplir la ley.
Hay tres patrones que se repiten:
El texto genérico. "Recopilamos información para mejorar su experiencia." ¿Qué información? ¿Para qué exactamente? ¿Con quién la comparten? La ley exige especificidad.
La copia de otra empresa. El texto de otra empresa puede estar adaptado a la legislación de España, México u otro país — y no cumplir la LOPDP ecuatoriana.
El documento estático. La política se sube una vez y no se toca nunca más. Pero las resoluciones se actualizaron. Si el texto no refleja la realidad actual de tu tratamiento, estás en riesgo.
Los 8 pilares obligatorios según la LOPDP (Art. 12)
Nota importante antes de empezar: El artículo 12 de la LOPDP establece en total 17 puntos que el titular tiene derecho a conocer. Los 8 que encontrarás a continuación son los pilares fundamentales que las SPDP ha priorizado en sus auditorías. Una política completa y a prueba de inspección debe cubrir los 17. Si tu negocio opera en sectores de alto riesgo (salud, finanzas, educación), te recomendamos revisión especializada.
1. Identidad del responsable del tratamiento Nombre legal, domicilio, datos de contacto. Si tienes un Delegado de Protección de Datos (DPD) —obligatorio para clínicas, colegios, bancos, aseguradoras y otros— su información también debe aparecer.
2. Qué datos recopilas y de dónde vienen No basta con decir "datos personales". Especifica: nombres, cédulas, correos, teléfonos, datos de salud si aplican, historial de navegación. Si los datos vienen de terceros y no directamente del titular, eso también debe constar.
3. Para qué los usas — por finalidad separada "Para mejorar nuestros servicios" no es una finalidad específica. "Para enviarte cotizaciones de los productos que consultaste" sí. Cada propósito debe estar descrito de forma clara y diferenciada.
4. La base legal de cada tratamiento La ley no permite usar datos "porque sí". Cada tratamiento necesita una base: consentimiento del titular, ejecución de un contrato, obligación legal, interés legítimo. Esta es la sección más frecuentemente omitida.
5. Con quién compartes los datos Si transfieres información a terceros —plataformas de pago, servicios de correo, socios comerciales— debes identificarlos o al menos indicar la categoría de receptores. Si hay transferencias internacionales, hay requisitos adicionales.
6. Cuánto tiempo conservas los datos No puedes guardar información indefinidamente. Debes indicar el plazo de conservación por tipo de dato o el criterio que usas para determinarlo.
7. Cómo el titular puede ejercer sus derechos ARCO+PAL El titular debe saber exactamente cómo contactarte — correo, formulario, teléfono. Los plazos los fija la ley: 15 días para acceso y rectificación, 3 días para suspensión del tratamiento.
8. Cómo revocar el consentimiento Debe ser tan fácil revocar como fue otorgar. Si alguien te dio su autorización por un formulario web, debe poder quitarla por un canal igual de accesible. Este mecanismo debe estar descrito en la política.
Qué pasa cuando la política no está completa
La SPDP no necesita que alguien haga una denuncia para iniciar un proceso. Puede actuar de oficio — por propia iniciativa — especialmente en sectores de alto riesgo.
Cuando detecta una política incompleta, el proceso típico incluye:
- Requerimiento de información a la empresa
- Inspección in situ si el requerimiento no se responde bien
- Procedimiento de medidas correctivas con plazo de cumplimiento
- Si no se corrigen: procedimiento sancionador
Las sanciones no son solo económicas. La SPDP también puede ordenar la suspensión del tratamiento de datos, la supresión de bases de datos enteras, y la publicación pública de la sanción — tu nombre como empresa sancionada, visible para todos.
Cómo actualizar tu política sin convertirlo en un proyecto eterno
El primer paso es hacer un inventario honesto de qué datos manejas realmente: formularios web, WhatsApp, CRM, fichas físicas, correos electrónicos.
El segundo paso es redactar el documento con los elementos obligatorios adaptados a tu realidad específica — no con un texto genérico.
El tercer paso —y el más ignorado— es construir el proceso que hace que la política sea real. Una política actualizada que nadie aplica sigue siendo un riesgo.
En OBJETIVO acompañamos a negocios exactamente en estos tres pasos: desde el inventario de datos hasta el sistema que hace que el cumplimiento sea demostrable ante cualquier inspección.
? Agenda tu revisión gratuita de 20 minutos
Fuentes: Art. 12 y Art. 13 LOPDP; Decreto Ejecutivo 904 — Reglamento LOPDP (noviembre 2023); Resoluciones RES-SPDP-ICS-2025-0005 y RES-SPDP-ICS-2025-0006; Resolución SPDP-SPD-2025-0028-R (DPD obligatorio por sectores).
Sigue profundizando
? Ley de Protección de Datos en Ecuador: cómo cumplir sin frenar tu negocio
? Consentimiento de datos en Ecuador: la diferencia entre tener un formulario y tener un sistema