En un contexto de creciente digitalización e interdependencia tecnológica, Ecuador avanza en el debate legislativo del proyecto de Ley Orgánica para el Fortalecimiento de la Ciberseguridad, actualmente en trámite en la Asamblea Nacional. Este nuevo texto busca proteger la infraestructura crítica, gestionar riesgos digitales y mejorar la capacidad de respuesta ante incidentes de ciberseguridad, evitando superposiciones institucionales y alineando el marco legal con estándares internacionales.

¿Cómo lograr una ley técnicamente viable, sin frenar la innovación y evitando duplicar cargas regulatorias para sectores como el financiero o el tecnológico?

En esta segunda edición del Blog Financiero, reunimos el criterio de cuatro especialistas que analizan con profundidad los alcances, oportunidades y desafíos de esta normativa en discusión:

🔹 Diego Álvarez (Niubox) plantea claves para una ley técnica y funcional que fortalezca el ecosistema sin frenar la innovación.

🔹 José Sebastián Ponce (USFQ) analiza cómo armonizar esta nueva regulación con las obligaciones existentes en protección de datos y gestión de riesgos digitales.

🔹 Lorena Naranjo (Spingarn) advierte sobre los efectos que podría tener la falta de proporcionalidad regulatoria sobre los derechos digitales.

🔹 Byron Robayo (Spingarn) destaca la importancia de la articulación institucional para garantizar coherencia y evitar vacíos normativos.

Esta edición busca ofrecer una herramienta útil para anticiparse a los desafíos de cumplimiento, entender el alcance de las obligaciones propuestas y reflexionar sobre el futuro de la ciberseguridad en el Ecuador.

¡Te invitamos a leer, compartir y sumarte a la conversación!

---

Artículo escrito por:

Diego Álvarez, Country Manager Ecuador de Niubox.

1. ¿Cuáles considera que son los principales aciertos y oportunidades de mejora técnicos del proyecto de Ley en discusión?

Es importante aclarar que el proyecto de Ley de Protección Digital ha cambiado de denominación y actualmente se tramita como “Ley Orgánica para el Fortalecimiento de la Ciberseguridad, Reformatoria a la Ley Orgánica de Transformación Digital y Audiovisual.”

“Este nuevo texto representa un avance significativo frente a versiones anteriores de la misma temática a regular. Acierta al consolidar la rectoría en el MINTEL y al incorporar estándares internacionales (arts. 20-G a 20-J). No obstante, persisten algunas oportunidades de mejora“.

Por ejemplo, el artículo 20-G impone una doble carga de notificación de incidentes, cuando ya existen obligaciones similares en la Ley de Protección de Datos Personales ante ARCOTEL y la Superintendencia de Protección de Datos. Además, sin un CERT nacional plenamente operativo, estas exigencias resultan difíciles de cumplir. La definición de “infraestructura crítica digital” (art. 20-H) también requiere mayor precisión técnica para no trasladar responsabilidades desproporcionadas al sector privado.

2. ¿Cómo debería Ecuador abordar la seguridad digital sin comprometer la innovación y los derechos digitales?

Ecuador debe implementar una regulación escalonada y basada en riesgo, como sugieren los artículos 20-J y 20-H del proyecto de ley, que prevén obligaciones diferenciadas según criticidad. No obstante, esto requiere más desarrollo técnico y normativo.

“A falta de un CERT nacional plenamente funcional y mecanismos claros de coordinación entre el MINTEL, ARCOTEL y la Superintendencia de Protección de Datos, la implementación inmediata podría generar más incertidumbre que protección“.

Además, duplicar canales de notificación puede desincentivar el cumplimiento. Por último, apostar por marcos como ISO 27001 o NIST, tal como se menciona en el artículo 20-J, es positivo, pero debe evitar convertirse en una obligación onerosa para pymes o startups sin segmentación real.

3. ¿Qué impactos podría tener esta normativa, en su forma actual, sobre el sector financiero en términos de cumplimiento y gestión del riesgo digital?

El sector financiero ya cumple exigencias rigurosas en materia de ciberseguridad impuestas por la Superintendencia de Bancos. El artículo 20-J introduce nuevas obligaciones como participar en auditorías, simulacros o notificaciones que podrían ser redundantes y generar solapamientos institucionales. La fiscalización técnica del artículo 20-I y la exigencia de planes de continuidad operativa del 20-H deben articularse con los marcos ya existentes (ej. Circular JB-2022-0178). De no hacerlo, podría elevarse el costo regulatorio y dispersarse la gestión del riesgo digital.

“Es fundamental armonizar esta normativa con el marco vigente y priorizar una implementación gradual y coordinada“.

👉 Sigue a Diego en LinkedIn.

---

Artículo escrito por:

José Sebastián Ponce, Director de LegalLab en la Universidad San Francisco de Quito (USFQ) y Socio en Legaltech y Privacidad en Equity Corporate Law.

1. ¿Cuáles son los riesgos y oportunidades regulatorias para la innovación tecnológica cuando se diseñan normas sobre ciberseguridad y protección digital?

Esta ley podría impulsar la innovación si ofrece certeza jurídica, fomenta el privacy by design y habilita espacios controlados de experimentación (sandboxes) donde probar modelos con reglas claras y tiempos acotados. Pero la misma norma se vuelve freno si cae en obligaciones ex ante indiscriminadas registros, autorizaciones, localización de datos, auditorías algorítmicas permanentes que elevan costos y retrasan el time to market, sobre todo para startups. El riesgo mayor está en definiciones vagas y superposiciones con la LOPDP: cuando nadie sabe exactamente qué cumplir, todos paran de innovar.

“En resumen: enfoque por riesgos y pilotos, no hiperregulación tecnológica“.

2. ¿Qué retos observa en la aplicación práctica de las normativas de ciberseguridad por parte de empresas que gestionan modelos de negocio basados en datos, especialmente en cuanto a cumplimiento y adaptación regulatoria?

Para empresas cuyo negocio es el dato, el gran reto será traducir conceptos jurídicos nuevos a flujos operativos: mapear categorías, rehacer contratos con terceros y documentar decisiones técnicas en modelos que cambian cada semana. Sin metodologías oficiales para evaluaciones de impacto o explicabilidad, el cumplimiento deviene ensayo y error caro. Además, múltiples autoridades con competencias difusas pueden emitir mandatos contradictorios. Las PYMES sufrirán más si no hay guías y herramientas listas para usar.

La clave será una gobernanza interna ágil que permita actualizar políticas, registrar cambios y demostrar proporcionalidad sin ahogarse en trámites inútiles.

3. ¿Qué aspectos considera clave para lograr una legislación que promueva la protección de datos sin limitar la innovación tecnológica y el desarrollo del ecosistema LegalTech en el país?

Una legislación pro-innovación debe regular usos y riesgos, no “tecnologías emergentes” en abstracto. Proporcionalidad real: obligaciones escaladas según tamaño y exposición al riesgo, no plantillas rígidas. Sandboxes regulatorios con métricas públicas permitirían aprender y ajustar sin paralizar. También importa la claridad institucional: una ventanilla única y guías técnicas, plantillas contractuales y estándares abiertos reducen el costo de cumplimiento. Incentivos a certificaciones voluntarias y códigos sectoriales ayudan más que sancionar por default.

Finalmente, cláusulas de revisión periódica (sunset clauses) evitan petrificar la norma y permiten corregir el rumbo antes de que la hiperregulación asfixie el ecosistema LegalTech.

👉 Sigue a José en LinkedIn.

---

Artículo escrito por:

Lorena Naranjo, Abogada Líder en Derecho Digital y Protección de Datos Personales en Spingarn

1. ¿Cómo lograr que una normativa sobre ciberseguridad se complemente —y no se contraponga— con las leyes de protección de datos personales ya vigentes?

Es esencial establecer una separación precisa entre la seguridad digital, que abarca la protección de infraestructuras críticas, la gestión de incidentes y los ciberataques y la Protección de los datos personales. Aunque la Ley de Protección Digital (LPD) indica en su artículo 2 que se aplicará “sin perjuicio del cumplimiento” de la Ley Orgánica de Protección de Datos Personales (LOPDP), es importante evitar conflictos con bases legitimadoras como el consentimiento, y con principios como: finalidad del tratamiento y la minimización de datos.

“Por ejemplo, disposiciones relacionadas con el monitoreo, las auditorías o el registro de dispositivos electrónicos podrían afectar derechos si no se aplican bajo criterios adecuados de proporcionalidad y confidencialidad“.

Además, se aconseja no duplicar definiciones ni atribuciones ya contempladas en la LOPDP, como el tratamiento automatizado o el derecho a la portabilidad de los datos. En todo momento, debe entenderse que la Ley tiene un carácter complementario, no sustitutivo, respecto a la normativa especializada en protección de datos personales.

2. ¿Cuáles serían los principales desafíos institucionales que podrían surgir al aplicar normativas de ciberseguridad, y qué condiciones deben darse para asegurar su eficacia?

Uno de los retos más importantes será lograr una coordinación interinstitucional eficaz entre los diversos actores que conforman el Sistema Nacional de Seguridad Digital (art. 23), como la Policía Nacional, las Fuerzas Armadas, las superintendencias, las entidades rectoras y el sector privado. La superposición de funciones, las limitaciones en capacidades técnicas y la cultura en ciberseguridad del sector público podrían obstaculizar su puesta en marcha.

Para que el sistema funcione de manera efectiva, es necesario contar con:

✓ Un financiamiento adecuado y continuo;
✓ Interoperabilidad entre los distintos sistemas;
✓ Formación técnica constante en materia de ciberseguridad; y
✓ Mecanismos de control ciudadano y auditoría externa que garanticen el respeto a los derechos digitales y prevengan posibles abusos.

👉 Sigue a Lorena en LinkedIn.

---

Artículo escrito por:

Byron Robayo, Socio Abogado en Spingarn

1. ¿Qué elementos debería considerar una regulación en ciberseguridad para no frenar la evolución de startups y modelos de negocio emergentes?

Las startups no prosperan únicamente por obtener financiamiento, sino por su capacidad para cerrar acuerdos estratégicos: licencias tecnológicas, convenios de colaboración, contratos con clientes y alianzas comerciales. El éxito depende fundamentalmente de reducir los costos de transacción que surgen de la asimetría de información entre las partes.

Para que estos acuerdos se materialicen, los potenciales socios, clientes e inversores necesitan respuestas claras: ¿quién está detrás de la empresa? ¿qué tienen que perder si incumplen sus compromisos? Si esta información crítica permanece excesivamente protegida o inaccesible por temor al mal uso, paradójicamente se limita la capacidad de hacer negocios y generar confianza.

La Ley de Protección Digital establece obligaciones significativas en ciberseguridad, incluyendo:

• Adopción de estándares internacionales (ISO 27001, NIST Cybersecurity Framework)
• Notificación obligatoria de incidentes en un plazo máximo de 72 horas
• Implementación de sistemas de monitoreo continuo y respuesta a amenazas
• Auditorías periódicas de seguridad y cumplimiento

Sin embargo, estos requisitos podrían resultar inasumibles para startups en fase temprana. Según datos del Banco Interamericano de Desarrollo (BID), las empresas emergentes destinan menos del 5% de su presupuesto total a seguridad digital, priorizando el desarrollo de producto, la operación misma y la adquisición de nuevos usuarios.

La ley debe aplicar criterios diferenciados según el nivel de riesgo y la etapa de desarrollo de cada empresa. Es fundamental reconceptualizar la ciberseguridad no como una condición previa y rígida para operar, ajena a nuestra realidad de mercado, sino como una capacidad que se desarrolla progresivamente para no sofocar la innovación.

2. ¿Cómo debería esta normativa articularse con otras leyes como propiedad intelectual, comercio electrónico o protección al consumidor para lograr coherencia regulatoria?

En propiedad intelectual, la ciberseguridad debe entenderse como una herramienta clave para proteger activos intangibles estratégicos como patentes de invención o secretos empresariales cuya filtración, como ocurrió en el caso Waymo vs. Uber, puede derivar en conflictos legales y pérdidas millonarias. Por ello, se requiere una articulación efectiva con entidades como el SENADI y la Fiscalía General del Estado para llevar a cabo la sanción efectiva de este tipo de infracciones.

En el ámbito del comercio electrónico, la protección de los datos del consumidor es esencial para generar confianza y que esta confianza sirva para escalar negocios inclusive a otros mercados. Asimismo, la ley debe evitar las zonas grises donde las autoridades no quieran entrar a sancionar y las prácticas queden impunes por contradicción normativa.

“Una regulación verdaderamente efectiva no es aquella que impone más barreras, sino la que genera confianza jurídica y operativa para innovar con responsabilidad“.

El desafío consiste en construir un ecosistema donde la protección digital sea un diferenciador competitivo, no un obstáculo al crecimiento.

👉 Sigue a Byron en LinkedIn.

---