La Superintendencia de Protección de Datos Personales (SPDP) de Ecuador emitió la Norma General sobre el Tratamiento de Datos Personales a Gran Escala mediante la Resolución No. SPDP-SPD-2026-0005-R, con el objetivo de establecer directrices y criterios claros para identificar y gestionar los tratamientos de datos personales que se consideran de gran escala bajo la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento general.
La norma introduce el Modelo Técnico de Gran Escala (MTGE) como instrumento técnico-jurídico para determinar cuándo un tratamiento de datos personales debe clasificarse como “a gran escala”, tomando en cuenta variables como el número de titulares, volumen de datos, categorías de información, frecuencia del tratamiento, permanencia y alcance geográfico del procesamiento. Tratamientos como salud, videovigilancia, geolocalización, datos biométricos, transferencias sistemáticas o evaluaciones automatizadas son considerados de gran escala sin tomar en cuenta el resto de los criterios.
Los responsables y encargados de tratamientos considerados de gran escala deberán cumplir con obligaciones reforzadas, entre ellas mantener actualizado el Registro de Actividades de Tratamiento (RAT), designar un Delegado de Protección de Datos (DPO), realizar evaluaciones de impacto previa al tratamiento, aplicar medidas de privacidad desde el diseño y por defecto antes y durante el tratamiento, y someterse a auditorías internas o externas periódicas. Además, la norma establece plazos para la adaptación y refuerza salvaguardas técnicas y organizativas para proteger los derechos de los titulares de datos en contextos de macrodatos y tratamientos masivos.
