Reforma al Reglamento del Plan Anual de Auditorías de la SPDP
Categorias: Noticias corporativas, Portada, Tips - junio 2, 2026
Mediante la Resolución No. SPDP-SPD-2026-0021-R, se reforma la resolución No. SPDP-SPD-2025-0005-R relativa a la normativa del Plan Anual de Auditorías (PAA) de la Superintendencia de Protección de Datos Personales (SPDP), con el objetivo de establecer lineamientos objetivos y técnicos para supervisar a las entidades que realizan actividades de tratamiento de datos.
La implementación de estos procesos de control estará a cargo de la Intendencia General de Control y Sanción (ICS), entidad encargada de la validación, el control operativo y la dirección de las auditorías correspondientes.
Para la selección objetiva de los sujetos auditados, se requerirá la evaluación concurrente de los siguientes criterios establecidos por la ICS:
- Alcance, impacto, riesgo, volumen y sensibilidad en el tratamiento de los datos personales.
- Vulnerabilidad de los titulares, así como la cantidad y criticidad de las denuncias o vulneraciones de seguridad reportadas.
- Actualizaciones en regulaciones sectoriales, uso de innovación tecnológica, aplicación de controles y disponibilidad de recursos.
Una vez iniciada la auditoría, se convocará a una reunión de inicio donde el sujeto auditado comparecerá con el personal apto y su delegado de protección de datos (cuyo nombramiento obligatorio debe estar inscrito con 15 días de anticipación).
Por otro lado, tras la entrevista y el análisis documental, la ICS elaborará un informe preliminar en un término de hasta 30 días. El sujeto auditado dispondrá de un término máximo de 30 días, contados a partir de la notificación, para presentar su contestación electrónica con firma digital válida (FirmaEC), de lo contrario, se considerará como no presentada.
Al concluir, se suscribirá un acta el mismo día o al término de un día, la cual se tendrá por totalmente aceptada si no fuese firmada por los intervinientes que actuaren a nombre del sujeto auditado, sin que por ello se suspenda o afecte el procedimiento.
El incumplimiento de las condiciones o la determinación de no conformidades generará la disposición de medidas correctivas. El expediente será remitido a un funcionario ajeno a la auditoría para garantizar la imparcialidad del análisis y, en caso de verificarse un incumplimiento total o parcial de las medidas, se iniciará el proceso sancionador conforme al Código Orgánico Administrativo y normativa aplicable.
Finalmente, la resolución entrará en vigor a partir de su publicación en el Registro Oficial.