Análisis técnico-jurídico y escenarios estratégicos tras la Resolución SPDP-SPD-2026-0009-R
La Superintendencia de Protección de Datos Personales (SPDP) ha emitido la Resolución SPDP-SPD-2026-0009-R, estableciendo una norma general aplicable al uso de sistemas de Inteligencia Artificial que traten datos personales.
No es una ley nueva.
No crea un régimen autónomo de IA.
Pero sí marca un punto de inflexión operativo: la IA ya no puede implementarse como una herramienta tecnológica aislada del sistema de cumplimiento en protección de datos.
Este análisis revisa el alcance real de la norma, su impacto práctico y posibles escenarios estratégicos para organizaciones ecuatorianas
1. ¿Qué cambia realmente?
La resolución no regula la IA como tecnología, sino como entorno de tratamiento de datos personales.
Esto implica que cualquier sistema que:
Entrene modelos con datos personales
Genere perfiles
Automatice decisiones con efectos jurídicos
Afecte derechos o libertades de personas
Debe someterse al marco completo de la LOPDP y su Reglamento, con exigencias reforzadas
El elemento crítico es este:
la IA deja de ser solo innovación y pasa a ser un riesgo jurídico administrable.
2. El verdadero núcleo del riesgo: decisiones automatizadas
El punto más delicado es la prohibición de que las personas sean objeto de decisiones basadas exclusivamente en valoraciones automatizadas cuando estas produzcan efectos jurídicos o afecten significativamente sus derechos.
Escenarios sensibles:
Scoring crediticio automatizado
Negativa de apertura de cuentas
Segmentación de clientes por riesgo
Evaluación de desempeño laboral mediante algoritmos
Sistemas antifraude que bloquean operaciones
aquí el riesgo no es tecnológico.
Es constitucional.
Porque entran en juego:
Derecho a la información
Derecho de oposición
Debido proceso administrativo
No discriminación algorítmic
La organización que no tenga trazabilidad, revisión humana y mecanismo de impugnación está jurídicamente expuesta.
3. Impacto en el sector financiero y cooperativo
En cooperativas de ahorro y crédito y entidades del SFPS el impacto es estructural.
Tres áreas críticas:
3.1 Scoring y análisis de crédito
Si el modelo:
Usa variables personales
Clasifica riesgo
Determina aprobación o rechazo
Debe:
Estar incluido en el Registro de Actividades de Tratamiento (RAT)
Contar con evaluación de impacto
Tener documentación técnica de lógica y finalidad
Permitir revisión humana
una negativa de crédito basada en modelo automatizado sin trazabilidad puede derivar en:
Acción administrativa ante SPDP
Reclamo por discriminación
Acción constitucional si hay afectación de derechos
3.2 Sistemas antifraude
los motores que bloquean transacciones en tiempo real pueden afectar:
Derecho de acceso a servicios financieros
Presunción de inocencia
Derecho de información
Si no existe procedimiento claro de revisión, la entidad podría enfrentar medidas correctivas o cautelares.
3.3 Chatbots y asistentes virtuales..
Muchos creen que el riesgo es bajo.
Pero si el chatbot:
Recoge datos personales
Perfiliza usuarios
Toma decisiones automatizadas
Debe cumplir principios de:
Minimización
Transparencia
Seguridad multicapa
Gestión de riesgos previa
4. La obligación más ignorada: Evaluación de Impacto antes del desarrollo
La norma exige gestión de riesgos y evaluación de impacto previa al desarrollo.
Esto cambia completamente el enfoque tradicional.
Ya no es: “Implementamos y luego regularizamos”.
Ahora es: “Evaluamos jurídicamente antes de diseñar”.
Las organizaciones que desarrollen IA sin DPIA (Data Protection Impact Assessment) estarán incumpliendo desde el diseño.
Aquí nace el concepto clave:
Gobernanza Algorítmica
No basta con TI.
Se necesita una estructura interdisciplinaria:
Área jurídica
Cumplimiento
Tecnología
Riesgos
Dirección estratégica
5. Escenarios futuros posibles
Escenario 1: Auditorías sectoriales
La SPDP podría iniciar auditorías focalizadas en:
Sector financiero
Plataformas digitales
Entidades que usen scoring o perfilamiento
En este escenario, las organizaciones que no tengan RAT actualizado y DPIA documentado podrían enfrentar medidas correctivas inmediatas.
Escenario 2: Medidas cautelares sobre sistemas
La resolución habilita la posibilidad de imponer medidas correctivas o cautelares.
Imaginemos:
Una cooperativa implementa un modelo automatizado que discrimina indirectamente por zona geográfica.
La SPDP podría ordenar:
Suspensión del sistema
Corrección inmediata
Auditoría externa
Escenario 3: Acciones constitucionales por decisiones algorítmicas
En un caso extremo, un ciudadano podría interponer:
Acción de protección
Habeas data
Reclamo por tratamiento ilícito
Si la entidad no puede explicar la lógica del modelo, el riesgo procesal es alto.
6. Innovación responsable: oportunidad estratégica
Lejos de ser una limitación, esta normativa puede convertirse en ventaja competitiva.
Las organizaciones que desarrollen:
Marcos internos de IA responsable
Protocolos de trazabilidad
Documentación técnica robusta
Auditorías periódica
Podrán:
Reducir riesgo reputacional
Fortalecer confianza institucional
Diferenciarse en el mercado
Prepararse para futuras regulaciones sectoriales
7. Modelo práctico de implementación
Una hoja de ruta estratégica mínima debería incluir:
1. Inventario de sistemas IA activos
2. Clasificación por nivel de impacto
3. Actualización del RAT
4. Evaluación de Impacto (DPIA)
5. Ajuste de avisos de privacidad
6. Protocolos de revisión humana
7. Auditoría técnica periódica
8. Capacitación al equipo directivo
No hay comentarios:
Publicar un comentario