Con fecha 30 de abril de 2025, la Superintendencia de Protección de Datos Personales, expide la Resolución No. SPDP-SPD-2025-0006-R-, la cual establece la obligatoriedad de incorporar cláusulas de protección de datos personales en los contratos que se celebren dentro del territorio ecuatoriano.

El mencionado reglamento tiene por finalidad agregar diferentes modelos de cláusulas de protección de datos personales, las cuales regulen y amparen las relaciones jurídicas contractuales respecto al cumplimiento de los principios establecidos en la Ley Orgánica de Protección de Datos Personales, esta obligación pertenece al enfoque del sistema de gestión de cumplimiento y análisis de riesgos, otorgando soporte documental y tutela en la seguridad jurídica de las partes del contrato.

En las cláusulas de protección de datos personales, se establecen en 4 modelos:

• Cláusula entre responsable y titular
• Cláusula entre responsable y encargado del tratamiento
• Cláusula entre responsable y destinatario
• Cláusula de responsables conjuntos

Las mencionadas cláusulas no deberán contener ninguno de los siguientes defectos:

Ambigüedad o vaguedad: Las cláusulas de protección de datos personales en los contratos debe ser clara y específica sobre el tratamiento de los datos, su propósito y los derechos de los titulares. No debe generar dudas ni interpretaciones ambiguas.

Finalidades no legítimas: la cláusula no debe permitir que el uso que se le dará a los datos y su tratamiento sea contrario a la ley.

Falta de bases de legitimación: en ningún caso se podrá establecer o estipular una cláusula que indique el tratamiento de datos personales que no cuenten con una base de legitimación.

Falta de transparencia: las cláusulas que se desarrollen no deben omitir información correspondiente a la identidad del responsable del tratamiento o del encargado del tratamiento.

Omisión de la responsabilidad en la implementación de medidas de seguridad: las cláusulas que se estipulen en el contrato no deben omitir la responsabilidad que tienen las partes del mismos, de contar con las medidas de seguridad que se deben implementar para proteger los datos personales correspondiente al accedo no autorizado o indebido.

Exceso en la recopilación de datos: la cláusula que se desarrollen no debe permitir que se recaben datos en forma indiscriminada o que se traten más datos que los estrictamente necesarios para cumplir con la finalidad del tratamiento.

Respeto a los derechos de los titulares: La cláusula no debe limitar o impedir injustamente el ejercicio de los derechos de los titulares de los datos.

Transferencia de datos sin control: No debe permitir la transferencia o comunicación de datos a terceros sin las garantías adecuadas ni sin informar de manera clara, previa y suficiente al titular.

Exenciones excesivas de responsabilidad: La cláusula no debe liberar a las partes responsables de sus obligaciones legales según la normativa de protección de datos.

Plazo de conservación de los datos: La cláusula debe especificar el período de retención de los datos personales, limitado al tiempo necesario para cumplir con la finalidad del tratamiento.

Restricciones de derechos y tratamientos ilícitos: No debe contener disposiciones que restrinjan, limiten o permitan tratamientos ilegales de los datos, ni omitir información esencial sobre cómo se manejan.

Los modelos de cláusulas contractuales respecto a la protección de datos personales se encuentran en el documento adjunto.

MODELOS DE CLÁUSULAS

Fuente bibliográfica: 

RESOLUCION6