En el dinámico ecosistema digital de 2025, la confianza digital se ha consolidado como el nuevo activo estratégico para las empresas. Para los Proveedores de Servicios de Internet (ISPs) y empresas de valor agregado, la gestión de datos personales y metadatos no es solo una obligación técnica, sino un pilar de sostenibilidad reputacional y legal.
Con la emisión de las guías técnicas por parte de la Superintendencia de Protección de Datos (SPDP) el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) entra en una fase de exigencia operativa sin precedentes.
Como parte de nuestro compromiso con la excelencia y la seguridad jurídica de nuestros socios, AEPROVI organizó el taller: “Protección de datos y privacidad en las telecomunicaciones: cumplimiento normativo y gestión de riesgos”.
Este evento tuvo lugar el pasado jueves 25 de septiembre de 2025, en el Club La Campiña (Quito). Durante la jornada, representantes de la SPDP junto a delegados legales y técnicos de los socios de AEPROVI analizaron los desafíos específicos que enfrentan los ISPs al manejar grandes volúmenes de metadatos y la urgencia de implementar las directrices emitidas por la autoridad de control. Las presentaciones se pueden descargar desde:
https://aeprovi.org.ec/downloads-list/1-proteccion-de-datos-y-privacidad-en-las-telecomunicaciones/
El nuevo marco de cumplimiento: resoluciones clave 2025
La SPDP ha emitido resoluciones fundamentales que todo responsable de tratamiento de datos en el sector TIC debe conocer y aplicar antes del cierre del año fiscal:
- Evaluación de impacto (EIPD) obligatoria: Según la Resolución N° SPDP-SPD-2025-0003-R, las empresas que realicen tratamiento de datos a «Gran Escala» (definido por el volumen de titulares y tipos de datos) deben realizar obligatoriamente una Evaluación de impacto a la protección de datos personales (EIPD) previa al tratamiento. Para un ISP, el manejo de registros de conexión y tráfico entra directamente en esta categoría de alto riesgo.
- Designación del Delegado de Protección de Datos (DPD): Es imperativo recordar que, conforme a la normativa vigente, el plazo máximo para la designación y registro oficial del DPD vence el 31 de diciembre de 2025. El DPD debe contar con formación verificable en derecho, tecnología y gestión de riesgos.
- Auditorías y Gestión de Riesgos: La Resolución N° SPDP-SPD-2025-0005-R establece la metodología para las auditorías periódicas. No basta con tener políticas en papel; los ISPs deben demostrar la efectividad de sus medidas técnicas (cifrado, anonimización y control de accesos).
Tabla de requisitos esenciales para ISPs (2025)
Mensaje a nuestros socios
Desde AEPROVI, recordamos a nuestros miembros que el cumplimiento normativo es una inversión en la continuidad del negocio. Los lineamientos técnicos vigentes no son solo requisitos burocráticos, sino herramientas para mitigar riesgos ante procesos sancionatorios que pueden alcanzar multas de hasta el 1% de la facturación anual.
La confianza de sus abonados depende de la integridad con la que protegen su privacidad.
Fuentes y Referencias Oficiales:
- Superintendencia de Protección de Datos Personales (SPDP): Resoluciones y Guías Técnicas 2025
- Ministerio de Telecomunicaciones (MINTEL): Políticas de Transformación Digital y Privacidad
- Ley Orgánica de Protección de Datos Personales (Registro Oficial): Texto íntegro y reformas
- ARCOTEL: Regulación de Seguridad de Redes y Servicios de Telecomunicaciones
Autor: Redacción AEPROVI
Fecha: 2025-12-19