Proyecto privado

LOPDP

La Ley Orgánica de Protección de Datos Personales entró en vigencia en Ecuador en mayo de 2023 y estableció obligaciones concretas para cualquier organización que trate datos de personas naturales. A través de AVL Abogados y en colaboración con NK Technologies, acompañamos a empresas de distintos sectores en la validación de su cumplimiento y en la construcción de una hoja de ruta de adecuación.

Canal

AVL Abogados

Servicio

Consultoría / Compliance

Industria

Legal / Privacidad de Datos

Equipo

NK Technologies

LOPDP Compliance Due Diligence Datos Personales Legal Ecuador

En la prensa · Compliance Latam · 6 ene 2026

Ecuador — Primeras sanciones de la Superintendencia de Protección de Datos Personales

Leer artículo

Reto

Empresas de sectores tan distintos como la construcción, los seguros, el retail farmacéutico y los servicios corporativos enfrentaban el mismo problema: desconocer si sus prácticas de tratamiento de datos personales cumplían con la LOPDP, cuyas sanciones pueden llegar a la suspensión de actividades.

La Superintendencia de Protección de Datos Personales (SPDP) tiene facultades de auditoría y sanción desde 2023. Sin embargo, la mayoría de organizaciones no habían realizado un inventario de sus flujos de datos, ni identificado las bases de legitimación para cada tratamiento, ni actualizado sus avisos de privacidad conforme al reglamento general publicado en noviembre de ese año. El riesgo era real: multas significativas, paralización de procesos clave y daño reputacional.

El encargo fue analizar la situación de cada empresa, identificar las brechas de cumplimiento y producir un informe de due diligence con recomendaciones concretas y priorizadas para alcanzar la conformidad con la ley. Todo el proceso lo desarrollamos en equipo junto a NK Technologies, desde el levantamiento inicial de información hasta las auditorías en campo y la consolidación del informe final.

Empresas
acompañadas

Sectores
cubiertos

Artículos de la LOPDP
aplicados en las auditorías

Informes de due
diligence entregados

Empresas auditadas

Organizaciones de sectores distintos — construcción, seguros, retail y servicios corporativos — evaluadas a través de AVL Abogados.

Consorcio de obras civiles con más de dos décadas de operación en Ecuador. Análisis centrado en datos de empleados, contratistas y proveedores en procesos de licitación pública.

Semaica

Construcción civil · Ecuador

Aseguradora ecuatoriana especializada en fianzas, garantías y seguro de crédito. Revisión de bases de tratamiento para datos de asegurados, beneficiarios y contrapartes contractuales.

Seguros Confianza

Seguros · Ecuador

Grupo empresarial con operaciones diversificadas. Análisis de flujos de datos corporativos, tratamiento de información de clientes y obligaciones de notificación ante la SPDP.

Aliforte

Grupo empresarial · Ecuador

Holding farmacéutico y de conveniencia dueño de Fybeca, SanaSana y OkiDoki. Con más de 900 locales y 4.300 empleados, procesa datos de salud de millones de clientes — categoría especialmente protegida bajo la LOPDP — además de programas de lealtad y datos laborales.

Corporación GPF

Retail farmacéutico · Ecuador

Solución

Para cada empresa seguimos un proceso estructurado en cuatro fases. Primero, levantamos el inventario de datos: identificamos qué datos se trataban, con qué finalidad, bajo qué base de legitimación (consentimiento, obligación legal, interés legítimo, contrato) y quién tenía acceso a ellos. Esta fase reveló, en todos los casos, tratamientos sin base clara o sin documentación suficiente.

Segundo, revisamos la documentación: avisos de privacidad, cláusulas en contratos con terceros, políticas internas de seguridad de la información y procedimientos ante solicitudes de derechos ARCO (acceso, rectificación, cancelación, oposición). En varios casos, estos documentos no existían o no cumplían los estándares del reglamento general de la LOPDP.

Tercero, identificamos los tratamientos de alto riesgo, con especial atención al caso de Corporación GPF: el procesamiento de datos de salud vinculados a la compra de medicamentos y al programa de lealtad constituye una categoría de datos sensibles con obligaciones reforzadas bajo la ley ecuatoriana. Identificamos los puntos críticos y definimos medidas técnicas y organizativas proporcionales al riesgo.

En cada caso, consolidé los hallazgos en un informe de due diligence con recomendaciones priorizadas por nivel de riesgo y una hoja de ruta de cumplimiento con acciones concretas, plazos recomendados y responsables sugeridos. Este informe sirvió de base para que los equipos legales y técnicos de cada organización iniciaran su proceso de adecuación con claridad y sin ambigüedades.