Quevedo & Ponce - Noticias Legales
La Superintendencia de Protección de Datos Personales (SPDP) emite nuevos criterios clave sobre el uso de datos biométricos y la designación de DPOs
- Junio 04, 2025
- Quevedo & Ponce
La SPDP ha emitido recientes pronunciamientos sobre el uso de datos biométricos para el control de asistencia laboral y la obligación de designar un Delegado de Protección de Datos (DPO) en cooperativas de ahorro y crédito. Estos criterios refuerzan la necesidad de proteger datos sensibles, exigir evaluaciones de impacto, y garantizar el consentimiento libre, además de establecer que las cooperativas deben designar un DPO de manera inmediata para cumplir con la normativa vigente y evitar sanciones.
Sobre el uso de datos biométricos en el control de asistencia laboral la SPDP en el Oficio No. SPDP-IRD-2025-0065-O plateo la siguiente consulta:
¿Es lícito utilizar datos biométricos (huellas digitales, reconocimiento facial, etc.) para registrar la asistencia laboral, especialmente en instituciones públicas?
Criterio de la SPDP:
La SPDP ratifica su posición emitida anteriormente en el Oficio No. SPDP-IRD-2025-0031-O, estableciendo que:
- Los datos biométricos son datos sensibles, según el artículo 26 de la LOPDP, al involucrar características únicas e irremplazables del individuo.
- Su uso representa una medida altamente invasiva, por lo que solo puede aplicarse de forma excepcional, cuando no existan alternativas menos intrusivas que cumplan con el mismo fin.
Sobre los requisitos para un tratamiento lícito:
Para que el uso de datos biométricos sea lícito, deben cumplirse de forma cumulativa los siguientes requisitos:
- Evaluación previa de proporcionalidad:
Debe demostrarse por qué otras alternativas menos invasivas (tarjetas, registros digitales, etc.) no resultan adecuadas.
- Evaluación de impacto (EIPD) y gestión de riesgos documentada:
Es necesario analizar riesgos para los derechos de los titulares, medidas de mitigación y seguridad de la información. - Consentimiento válido y libre del titular:
El consentimiento no puede ser impuesto como condición para acceder o mantener el empleo. Se deben ofrecer alternativas reales para quienes no lo otorguen.
La SPDP descarta el uso del “interés general” como base jurídica para este tratamiento de datos.
Otros aspectos relevantes:
- Los trabajadores (o extrabajadores) pueden ejercer su derecho de acceso a documentos laborales que contengan sus datos personales (art. 13 LOPDP).
- El derecho de rectificación sobre la causa de terminación laboral solo procede con una sentencia ejecutoriada que declare la terminación injustificada o distinta a la registrada (art. 14 LOPDP).
Sobre la Obligatoriedad de designar un Delegado de Protección de Datos (DPO) en cooperativas mediante el Oficio No. SPDP-IRD-2025-0036-O se planteó la siguiente consulta:
¿Las cooperativas de ahorro y crédito están obligadas a designar un Delegado de Protección de Datos Personales (DPO) de inmediato, o solo si la SPDP lo requiere?
Criterio de la SPDP:
La SPDP afirma que la obligación es inmediata y general, sin necesidad de requerimiento previo de la autoridad. Esta exigencia se fundamenta en tres aspectos clave:
- Naturaleza jurídica del sujeto obligado:
Las cooperativas de ahorro y crédito forman parte del sistema financiero popular y solidario, según el artículo 311 de la Constitución.
- Tratamiento de categorías especiales de datos:
Estas entidades manejan datos crediticios, considerados datos de categoría especial.
- Tratamiento a gran escala:
El volumen, frecuencia y alcance del tratamiento de datos realizado por estas entidades configura un tratamiento a gran escala, lo que activa directamente la obligación de designar un DPO. Esta obligación también aplica a cooperativas no supervisadas por la Superintendencia de Bancos.
El incumplimiento de esta obligación podría conllevar sanciones administrativas, ya que se considera un componente esencial del principio de responsabilidad proactiva.
En Quevedo & Ponce, asesoramos empresas y empleadores para garantizar el cumplimiento de la normativa en materia laboral y protección de datos.
Más Artículos
New Regulation for the Calculation of Fines in the Field of Personal Data Protection
The Superintendence for the Protection of Personal Data (SPDP) has issued the Regulation for the Application of the Methodology for the Calculation of Fines in the Administrative Sanctioning Regime, along with the Models for Calculating the Amount of Administrative Fines. This regulation complements the Organic Law on the Protection of Personal Data (LOPDP) and its General Regulation (RLOPDP), strengthening the sanctioning framework and its practical application in Ecuador.
Nuevo reglamento para el cálculo de multas en materia de protección de datos personales
La Superintendencia de Protección de Datos Personales (SPDP) emitió el Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionatorio, junto con los Modelos para Calcular el Monto de las Multas Administrativas. Esta normativa complementa la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RLOPDP), fortaleciendo el marco sancionador y su aplicación práctica en Ecuador.
Corporate Transformation and Sports Corporations: Comply with the National Solidarity Law
The new Regulation to the National Solidarity Law mandates that Simplified Stock Corporations (S.A.S.) operating in strategic sectors—such as mining, finance, insurance, telecommunications, energy, or biodiversity—must take urgent actions: either convert into another permitted corporate form, amend their bylaws to exclude such activities or voluntarily dissolve within a six-month period. Furthermore, the Regulation introduces a clear legal framework for the figure of the Sports Corporation (Sociedad Anónima Deportiva – S.A.D.), established exclusively for conducting professional sports activities.
Transformación Societaria y Sociedades Anónimas Deportivas: Cumple con la Ley de Solidaridad Nacional
El nuevo Reglamento a la Ley de Solidaridad Nacional obliga a las Sociedades por Acciones Simplificadas (S.A.S.) que operan en sectores estratégicos como minería, finanzas, seguros, telecomunicaciones, energía o biodiversidad, a tomar decisiones urgentes: transformarse, reformar sus estatutos o disolverse voluntariamente en un plazo de seis meses. Además, introduce un marco normativo claro para la figura de la Sociedad Anónima Deportiva (S.A.D.), diseñada exclusivamente para actividades deportivas profesionales.
El reclamo administrativo en materia de seguros
Compartimos el artículo de nuestro socio Dr. Luis Ponce Palacios, publicado por INSULAW International, en este análisis, se examinan las implicaciones legales del reclamo administrativo que los asegurados pueden presentar ante la Superintendencia de Compañías, Valores y Seguros en Ecuador, sus posibles afectaciones a principios constitucionales y la discusión jurídica que ha llegado incluso a la Corte Constitucional.
