La Ley Orgánica de Protección de Datos Personales (LOPDP) ya entró en vigor (desde el 2023 realmente), y apenas estamos empezando a ver pequeñas explosiones de “pirotecnia fría”: decisiones y sanciones que llaman la atención de todos, pero que muchos aún no terminan de entender. La mayoría no sabe bien de qué se trata y probablemente sonríe por lo inusual de la situación.

A quienes seguro no les hizo gracia fue a las organizaciones de fútbol en Ecuador, sancionadas administrativamente por la Superintendencia de Protección de Datos (SPDP) con montos que ya no pasan desapercibidos. No serán las primeras sanciones, pero sí están entre las más visibles por los actores y las cifras involucradas.

Justo cuando la ley se vuelve realmente exigible… aparece la Inteligencia Artificial, acelerándolo todo. Para quienes trabajamos en tecnología, este combo es una mezcla perfecta de oportunidad y riesgo. Si no entiendes el marco legal, la IA te puede dejar expuesto; si lo entiendes bien, puede ponerte varios pasos por delante.

Vamos por partes, sin vueltas.

El nuevo terreno de juego: la Ley

La LOPDP aplica a cualquier tratamiento de datos personales, sin importar el sistema, la base de datos o el país donde esté el servidor. El Reglamento lo repite de forma cristalina: si tratas datos de personas en Ecuador, entras en la ley, estés o no en el país (Art. 2 del Reglamento).

Esto incluye CRMs, chatbots, sistemas de facturación, WhatsApp API, plataformas de IA y cualquier herramienta donde los usuarios entreguen datos.

Íncluso el Excel que usa un local para almacenar clientes de la venta del día, y que muchos pensarían que “no es un sistema”.

Lo que la ley pide… pero explicado en lenguaje de ingeniero

Aquí es donde la mayoría de artículos se ponen densos. Vamos al grano:

Consentimiento real, no implícito

Si vas a usar datos, el titular debe aceptar de forma clara e inequívoca.

“No me respondió” ≠ consentimiento.
“Marcó una casilla por defecto” ≠ consentimiento.

El Reglamento dice que debe haber una acción afirmativa demostrable (Art. 5).

Esto afecta directo a cualquier plataforma que recolecte información automáticamente —incluyendo herramientas de IA.

Finalidad y minimización

Solo recolecta lo que necesitas, solo para el fin declarado. No debes crear “usos posteriores” sin avisar.

La IA choca aquí porque muchas empresas quieren alimentar modelos “con todo lo que tienen”. Eso, “en teoría”, hoy ya no se puede.

Derechos del titular

Cualquier persona puede pedir acceso, rectificación, eliminación, oposición, portabilidad… y tú debes tener mecanismos para responder rápido (Arts. 12–16 del Reglamento; ).

Si usas IA, esos derechos siguen aplicando, aunque el algoritmo haya procesado todo en milésimas de segundo.

Registro de actividades de tratamiento

Si tienes más de 100 empleados o manejas datos sensibles, debes llevar un registro formal de qué haces con los datos (Art. 38–39 del Reglamento; ).

Traducción práctica: Si usas IA para segmentar clientes, procesar reclamos, hacer scoring o alimentar modelos, ESO es una actividad de tratamiento y debe estar documentada.

IA: el nuevo villano… y también el nuevo héroe

La IA no es ni buena ni mala: simplemente hace todo más rápido. Si tu empresa está ordenada, la IA te impulsa. Si no… multiplica el desastre.

La IA como riesgo

Aquí algunos ejemplos:

• Prompts con datos personales enviados a servicios que no controlas.
• Chatbots que responden usando información que no debería salir.
• Modelos entrenados con datos personales sin base legal.
• Perfiles automatizados que requieren consentimiento expreso (Art. 19 Reglamento).
• Decisiones automatizadas que afectan a personas sin supervisión humana.

El Reglamento es claro sobre vulneraciones: si pierdes control del dato, si un tercero accede sin autorización o si se altera la integridad, debes reportarlo (Art. 24).

La IA facilita cualquiera de esos escenarios si no se gobierna bien.

La IA como aliada

Ahora la parte buena. La IA puede ayudar a cumplir la ley mejor que cualquier equipo humano:

• Clasifica datos sensibles automáticamente.
• Podría detecetar accesos inusuales o riesgos.
• Automatiza el registro de actividades.
• Facilita respuestas rápidas para solicitudes de titulares.
• Ayuda a identificar si necesitas una Evaluación de Impacto (obligatoria para ciertos casos según Arts. 29–32).
• Permite anonimizar datos para investigación o entrenamiento de modelos.

La diferencia entre riesgo y beneficio está en la gobernanza.

Incidentes de seguridad: ya no es opcional reportarlos

El Reglamento exige notificar las vulneraciones que puedan afectar a los titulares (Art. 24). Y especifica lo que debes incluir:

• Tipo de vulneración
• Sistemas afectados
• Volumen de datos
• Acciones tomadas
• Evaluación del riesgo (Art. 26)
  

Esto significa que si un modelo de IA expone datos personales, cuenta como vulneración. No importa si “solo fue en un ambiente de pruebas”.

Evaluación de Impacto (DPIA): la auditoría que muchos quieren ignorar

Si tu empresa hace algo de esto:

• Procesar datos sensibles
• Tratamiento a gran escala
• Perfiles automatizados
• IA que toma decisiones sobre personas

…debes hacer una Evaluación de Impacto antes del despliegue (Arts. 29–32).

La DPIA es un análisis técnico real, que pide:

• Descripción del tratamiento
• Necesidad y proporcionalidad
• Evaluación de riesgos
• Medidas técnicas y organizativas
  

Traducido: “¿Sabes qué hace tu IA? ¿Puedes explicarlo? ¿Puedes controlarlo?”

Si la respuesta es “no”, tienes un problema.

El DPO: el nuevo aliado que TI no sabía que necesitaba

La teoría decía —y la ley aún lo sostiene— que el Delegado de Protección de Datos (DPO) es obligatorio principalmente para organizaciones que realizan tratamientos de alto riesgo. Así está escrito.

Pero la práctica ecuatoriana está tomando otro rumbo: la Superintendencia, en sus procesos de supervisión, auditoría y sanción, está requiriendo que prácticamente todas las organizaciones designen un DPO, cuando el tratamiento y riesgo lo requieran sin importar el tamaño de la empresa, aunque la obligatoriedad no esté redactada de forma explícita en la ley.

El DPO tiene una misión clara (Art. 48): supervisar el cumplimiento, asesorar, alertar riesgos y garantizar que la organización respete los derechos del titular. Y debe hacerlo con independencia. No puede ser castigado por cumplir su función (Art. 51).

• Puede ser interno o externo.
• Debe tener independencia real.
• Es el enlace técnico y normativo con la autoridad.
  

En resumen: quizá la ley no lo exige literalmente para todos, pero la autoridad sí lo espera de todos. Y quienes no lo entiendan a tiempo, probablemente lo descubrirán en medio de un proceso administrativo, no en un curso de capacitación.

Qué deberían hacer las empresas desde YA

1. Inventariar datos: qué recolectan, dónde viven, quién accede.
2. Clasificar (IA ayuda muchísimo aquí).
3. Actualizar políticas internas para incluir IA.
4. Evaluar riesgos y DPIAs en sistemas que procesen datos personales.
5. Revisar contratos con proveedores (Art. 41).
6. Implementar medidas según “estado de la técnica” (Art. 34).
7. Formalizar el registro de actividades.
8. Nombrar o contratar un DPO.
9. Capacitar al equipo: la mitad de los problemas vienen de malas prácticas humanas.

La ley no frena la IA… frena el desorden

La protección de datos no compite con la IA; compite con la improvisación.

Trabajar con IA sin entender la ley es jugar Jenga con dinamita (ya no simple pirotecnia). Pero si la usas con estrategia, la LOPDP deja de ser un obstáculo y se convierte en una ventaja competitiva silenciosa, poderosa y —hoy por hoy— totalmente subestimada.

Las empresas que entiendan este equilibrio —innovación con gobernanza— no solo evitarán sanciones: construirán tecnología confiable, escalable y lista para competir en serio.

Quisiera cerrar con algo que a lo mejor nos cuesta escuchar: es hora de ordenar la casa, alinear la tecnología con la ley y ponerse a trabajar. 

La pregunta ya no es si la IA va a transformar tu negocio, sino si estarás preparado cuando lo haga.

Nos vemos en la próxima entrega.