Oficio Nro.

DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

Asunto: Solicitud de autorización de entrega de información del SRI a la SEPS en forma directa

Intendente de Información Técnica, Investigación y Capacitación (SEPS)

Valeria Gabriela Robalino Aguirre
SUPERINTENDENCIA DE ECONOMÍA POPULAR Y SOLIDARIA

Señora Economista
Marisol Paulina Andrade Hernández
Directora General
SERVICIO DE RENTAS INTERNAS
En su Despacho

De mi Consideración,

Con cordial saludo y en respuesta al Oficio Nro. SEPS-SGD-IGS-2021-06416-OF, mediante el cual en su parte
pertinente solicita: “…Solicitud de autorización de entrega de información del SRI a la SEPS en forma directa”,
me permito señalar lo siguiente:

1. ANTECEDENTES

Con Oficio Nro. SEPS-SGD-IGS-2021-06416-OF, se indica: “En respuesta a su Oficio

DINARDAP-DINARDAP-2021-0024-OF de fecha 08 de enero de 2021, el cual solicita a la Superintendencia
de Economía Popular y Solidaria, presente los justificativos necesarios que permitan a la DINARDAP
gestionar la entrega de información solicitada de acuerdo a lo establecido en la normativa correspondiente, me
permito remitir el Informe Técnico adjunto que incluye el detalle y sustento de todos los requerimientos…”.

Adjunta ”INFORME TÉCNICO - SOLICITUD DE AUTORIZACIÓN DE ENTREGA DE INFORMACIÓN

DEL SRI A LA SEPS”.

2. COMPETENCIAS DE LA DIRECCIÓN NACIONAL DE REGISTRO DE DATOS PÚBLICOS

El artículo 3 numeral 1 de la Constitución de la República del Ecuador, determina que la garantía de derechos
constituye uno de los deberes primordiales del Estado, y por lo tanto, se contempla dentro del artículo 11
numeral 9 que esta prerrogativa constituye en principio su más alta obligación.

En este sentido, reconoce a las personas el derecho a acceder la información generada en instituciones públicas,
o privadas que manejen fondos públicos o que realicen funciones públicas, en el numeral 2 del artículo 18 de la
Norma Suprema; de la misma forma reconoce el acceso universal a las tecnologías de la información y
comunicación. Por otro lado, promueve la garantía del derecho a la protección de datos personales en el artículo
66 numeral 19 de la norma antes referida.

De igual forma, reconoce que las personas tienen derecho a acceder a bienes y servicios públicos y privados de
calidad, con eficiencia, eficacia y buen trato, así como a recibir información adecuada y veraz sobre su
contenido y características, en el numeral 25 del artículo 66 de la Carta Magna.

En virtud de ello, el artículo 227 de la norma ibídem dispone que “la administración pública constituye un
servicio a la colectividad que se rige por los principios de eficacia, eficiencia, calidad, jerarquía,
desconcentración, descentralización, coordinación, participación, planificación, transparencia y evaluación”.

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
1/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

En consecuencia, conforme al artículo 226 de la Constitución de la República se determina que “las

instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que
actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean
atribuidas en la Constitución y la ley. Tendrán el deber de coordinar acciones para el cumplimiento de sus fines
y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución”.

Con base en lo expuesto, la Primera Disposición Transitoria, numeral octavo, del mismo cuerpo normativo,
establece que en el plazo de trescientos sesenta días, se aprobará la ley que organice los registros de datos, en
particular los registros: civil, de la propiedad y mercantil y que en todos los casos se establecerá sistemas de
control cruzado y bases de datos nacionales.

De esta forma, el 31 de marzo de 2010, entró en vigencia la Ley Orgánica del Sistema Nacional de Registro de
Datos Públicos, que crea y regula el sistema de registro de datos públicos y su acceso, en entidades públicas o
privadas que administren dichas bases o registros, con el objetivo de garantizar la seguridad jurídica, organizar,
regular, sistematizar e interconectar la información, así como: la eficacia y eficiencia de su manejo, su
publicidad, transparencia, acceso e implementación de nuevas tecnologías, de acuerdo a lo señalado en el
artículo 1 de la norma citada; sistema que se encuentra presidido por la Dirección Nacional de Registro de Datos
Públicos, en concordancia con lo establecido en el artículo 31 numeral 1 de la Ley previamente mencionada.

Para lograr los fines antes expuestos y generar estructura institucional se emite el Estatuto de la Dirección
Nacional de Registro de Datos Públicos que en su artículo 11 faculta a la Dirección de Protección de la
Información para emitir criterios jurídicos sobre protección de la información.

En concordancia, la Resolución 006-NG-DINARDAP-2019, establece que la Dirección de Protección de la

Información emitirá un criterio de procedencia sobre la solicitud de entrega directa de datos o información.

Por las razones antes determinadas, para cumplir con las atribuciones y competencias otorgadas por la
Constitución, la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos, su reglamento de
aplicación y el Estatuto de la Dirección Nacional de Registro de Datos Públicos, la Dirección de Protección
de la Información se encuentra facultada para emitir criterios técnicos en materia de protección de la
información, a fin de determinar si el consumo de información solicitada por la Superintendencia de
Economía Popular y Solidaria, es pertinente, basado en el principio de legitimidad, como base de los
elementos que componen los esquemas normativos de protección de la información.

3. PROTECCIÓN DE DATOS PERSONALES

El artículo 4 de la Ley Orgánica del Sistema Nacional de Registro de Datos Públicos determina que entidades
fuentes y consumidores de datos son responsables de la integridad, protección y control de los registros y bases
de datos que administran o tienen .

Por consiguiente, a continuación se exponen los principios, derechos y obligaciones que deben observarse,
conforme a la Constitución de la República del Ecuador, la Ley Orgánica del Sistema Nacional de Registro de
Datos Públicos, el artículo 11 de su reglamento de aplicación y el Esquema Gubernamental de Seguridad.

Principios

1. Juridicidad, lealtad y transparencia: Los datos personales deberán tratarse en estricto apego a la Constitución
de la República, instrumentos internacionales y la jurisprudencia aplicable. En ningún caso los datos personales
podrán ser tratados a través de medios o para fines ilícitos o desleales.

Las relaciones derivadas del tratamiento de datos personales deben ser transparentes con el ciudadano, la
Dirección Nacional de Registro de Datos Públicos, las instituciones con las que intercambia datos y todos los
miembros del Sistema Nacional de Registro de Datos Públicos.

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
2/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

2. Legitimidad: El tratamiento de datos personales será legítimo y lícito si existe una de las siguientes
condiciones:

a. Obligación contenida en el ordenamiento jurídico aplicable al responsable del tratamiento.

b. Para el ejercicio de las competencias, facultades o atribuciones establecidas en la Constitución, la Ley,
instrumentos internacionales ratificados por el Ecuador y demás normativa aplicable a las entidades del sector
públicos.
c. Para proteger intereses vitales, del titular o de otra persona natural, como por ejemplo su vida, salud o
integridad.

3. Finalidad: Las finalidades del tratamiento deberán ser determinadas, explícitas y legítimas, no podrán tratarse
datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales
de legitimidad que habiliten un nuevo tratamiento.

4. Pertinencia y minimización de datos personales: Los datos personales deben ser pertinentes y limitados a lo
mínimo necesario para su finalidad.

5. Proporcionalidad del tratamiento: El tratamiento debe ser adecuado, necesario, oportuno, relevante y no
excesivo en relación a las finalidades para las cuales han sido recogidos o a su naturaleza.

6. Confidencialidad: El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y
secreto, es decir, no deben tratarse o comunicarse para un fin distinto para el cual fueron recogidos, sin que
concurra una de las causales que habiliten el tratamiento conforme al principio de legitimidad, el nivel de
confidencialidad dependerá de la naturaleza del dato personal.

Este principio no implica solamente el mantenimiento de la seguridad de los datos personales, sino también la
facultad del titular de controlar la forma en la que se tratan sus datos, incluyendo la transferencia o
comunicación.

7. Calidad: Los datos personales que sean objeto de tratamiento deben ser exactos; íntegros; precisos;
completos; comprobables; claros; y de ser el caso, debidamente actualizados; de tal forma que no altere su
veracidad.

8. Conservación: Los datos personales deberán conservarse durante el tiempo que sea necesario para el
cumplimiento de su finalidad.

9. Seguridad: El responsable deberá implementar todas las medidas de seguridad adecuada y necesaria, sean
éstas técnicas, organizativas o de cualquier otra índole, para proteger los datos personales frente a cualquier
riesgo, amenaza, vulnerabilidad, accesos no autorizados, pérdidas, alteraciones, destrucción o comunicación
accidental o ilícita, atendiendo a la naturaleza de los datos de carácter personal, al ámbito y contexto.

10. Responsabilidad pro-activa y demostrada: El responsable del tratamiento de datos personales deberá
acreditar el haber implementado mecanismos para la protección de datos personales; es decir, el cumplimiento
de los principios, derechos y obligaciones establecidos en la Constitución, para lo cual, además de lo establecido
en la normativa aplicable, podrá valerse de estándares, mejores prácticas, esquemas de auto y corregulación,
códigos de protección, sistemas de certificación, sellos de protección de datos personales o cualquier otro
mecanismo que se determine adecuado a los fines, la naturaleza del dato personales o el riesgo del tratamiento.

El responsable del tratamiento de datos personales está obligado a rendir cuentas sobre el tratamiento al titular y
a la Dirección Nacional de Registro de Datos Públicos.

El responsable del tratamiento de datos personales deberá evaluar y revisar los mecanismos que adopte para
cumplir con el principio de responsabilidad de forma continua y permanente, con el objeto de mejorar su nivel

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
3/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

de eficacia en cuanto a la aplicación de esquemas de protección de datos personales.

Derechos

1. Derecho a la lealtad, transparencia e información: El titular de datos personales tiene derecho a ser informado
de forma leal y transparente por cualquier medio sobre:

1. Los fines del tratamiento;

2. Base legal para el tratamiento;
3. Tipos de tratamiento;
4. Tiempo de conservación;
5. La existencia de una base de datos donde consten sus datos personales;
6. El origen de los datos personales;
7. Otras finalidades y tratamientos ulteriores;
8. Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluye: dirección de
domicilio legal, número de teléfono y correo electrónico;
9. Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda
realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de
estas;
10. La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y
actualización, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en
valoraciones automatizadas (para el caso de la entidad consumidora, facilitar su ejercicio ante la fuente)
(los datos generados por el consumidor deberán acogerse en lo previsto en el literal);
11. Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales (fuente o
consumidor, según sea el caso), y la Dirección Nacional de Registro de Datos Públicos; y,
12. La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.

El titular deberá ser informado de forma directa; expresa; transparente; inteligible; concisa; precisa sin barreras
técnicas; e, inequívoca.

Esta información deberá ser proporcionada al titular de forma accesible por cualquier medio, incluidas políticas
de protección de datos personales; gratuitos, suficientes; disponibles de forma permanente y redactarse en un
lenguaje claro; sencillo; y, de fácil comprensión incluso cuando se trate de contratación electrónica.

En el caso de productos o servicios dirigidos, utilizados o que pudieran ser utilizados por niñas, niños y
adolescentes, la información a la que hace referencia el presente artículo será proporcionada a su representante
legal conforme a lo dispuesto en el inciso precedente.

2. Derecho de Acceso: El titular tiene derecho a conocer y a obtener del responsable de tratamiento acceso a
todos sus datos personales y a la información detallada en el artículo precedente sin necesidad de presentar
justificación alguna.

El responsable del tratamiento de datos personales deberá establecer métodos razonables que permitan el
ejercicio de este derecho. En caso de que fuera necesario restringir o negar dicho acceso, deberán especificarse
las razones concretas de dicha restricción o negativa de acuerdo a lo establecido en la normativa vigente.

3. Derecho de Rectificación y Actualización: El titular tiene el derecho de solicitar (a la fuente o al consumidor,

según quien administre el dato) se corrijan o actualicen sus datos inexactos, incompletos, desactualizados,
erróneos, falsos, incorrectos o imprecisos.

4. Derecho a la limitación del tratamiento: El titular tendrá derecho a que se use el mínimo de sus datos
personales en el tratamiento efectuado por responsables o encargados del tratamiento de datos personales; a que
sus datos personales no se encuentren disponibles en internet u otros medios de comunicación masiva, salvo que

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
4/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

el acceso sea técnicamente controlable para brindar un conocimiento restringido a los titulares o a los
autorizados por razones de interés público; a que el tratamiento de datos personales se limite al período que
medie entre una solicitud de revisión de juridicidad, lealtad, transparencia, legitimidad, acceso, rectificación y
actualización, limitación del tratamiento o, de no ser objeto de una decisión basada únicamente en valoraciones
automatizadas, hasta su resolución por el responsable o encargado del tratamiento de datos personales.

5. Derecho a no ser objeto de una decisión basada únicamente en valoraciones automatizadas: El titular tiene
derecho a no ser sometido a una decisión basada únicamente en valoraciones que sean producto de procesos
automatizados, incluida la elaboración de perfiles, que produzcan efectos jurídicos en él o que atenten contra sus
derechos y libertades fundamentales, para lo cual podrá:
a. Solicitar una explicación motivada sobre la decisión tomada por el responsable o encargado del tratamiento
de datos personales;
b. Presentar observaciones;
c. Solicitar los criterios de valoración sobre el programa automatizado; y/o,
d. Impugnar la decisión ante el responsable o encargado de tratamiento.

Las obligaciones de realizar análisis de riesgo e impacto, implementar políticas de protección de datos
personales, entre otras, derivan de la aplicación de los principios y derechos previamente expuestos. Y la
normativa previamente citada.

Por otro lado, debe considerarse que los mismos forman parte del contenido esencial del derecho a la protección
de datos personales reconocido en la Constitución de la República del Ecuador, y por lo tanto, al ser deber
primordial del Estado, conforme el artículo 3 numeral 1 de la Norma Suprema, es necesario aplicar todos los
criterios que componen el mismo para garantizar la dignidad de la persona; su contenido ha sido desarrollado a
partir del análisis de jurisprudencia, instrumentos internacionales y estándares aplicables a la materia como la
ISO 29100, entre otros, al amparo del artículo 11 numeral 3 y 426 de la Carta Magna.

4. ANÁLISIS

La Superintendencia de Economía Popular y Solidaria solicita la entrega directa de los datos relativos al
formulario de declaración de impuesto a la renta, impuesto al valor agregado y anexo transaccional simplificado
de las organizaciones registradas en los catastros de organizaciones y entidades de la economía popular y
solidaria debido a que corresponden a un insumo indispensable para la supervisión y control que ejerce sobre el
sector, de la fuente Servicio de Rentas Internas.

La Constitución de la República del Ecuador, en su artículo 226, dispone:

"Art. 226.-Las instituciones del estado, sus organismos, dependencias, las servidoras o servidores
públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las
competencias y facultades que les sean atribuidas en la Constitución y la ley. Tendrán eldeber de
coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos
reconocidos en la Constitución".

El Código Orgánico Administrativo, en el artículo 28, establece:

“Art. 28.-Principio de colaboración. Las administraciones trabajarán de manera, coordinada,

complementaria y prestándose auxilio mutuo. Acordarán mecanismos de coordinación para la gestión de sus
competencias y el uso eficiente de los recursos. La asistencia requerida solo podrá negarse cuando
laadministración pública de la que se solicita no esté expresamente facultada para prestarla, no disponga de
medios suficientes para ello o cuando, de hacerlo, causaría un perjuicio grave a los intereses cuya tutela tiene
encomendada o al cumplimiento de sus propias funciones".

La Ley de Régimen Tributario Interno indica en su artículo 101, inciso sexto, señala que:

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
5/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

"Las declaraciones e informaciones de los contribuyentes, responsables o terceros, relacionadas con las
obligaciones tributarias, así como los planes y programas de control que efectúe la Administración
Tributaria son de carácter reservado y serán utilizados para los fines propios de la administración
tributaria".

La Disposición General Décimo Séptima del Código Orgánico Monetario y Financiero prevé:

"Intercambio de información: Las instituciones del Estado, sus organismos, dependencias, y las
personas que actúen en virtud de una potestad estatal, podrán intercambiar sin restricción alguna la
información que posean, y que sea necesaria para el cumplimiento de sus objetivos. La información
personal es reservada y no perderá tal condición por el intercambio con otras instituciones del Estado, a
quienes se les trasladará dicha reserva".

La Ley Orgánica de Economía Popular y Solidaria (LOEPS) señala:

“Art. 12.-Información.-Para ejercer el control y con fines estadísticos las personas y organizaciones
registradas presentarán a la Superintendencia, información periódica relacionada con la situación
económica y de gestión, de acuerdo con lo que disponga el Reglamento de la presente Ley y cualquier otra
información inherente al uso de los beneficios otorgados por el Estado”.

“Art. 58.-Inactividad.-La Superintendencia, a petición de parte o de oficio, podrá declarar inactiva a una
cooperativa que no hubiere operado durante dos años consecutivos. Se presume esta inactividad cuando la
organización no hubiere remitido los balances o informes de gestión correspondientes. (...) Si la inactividad
persiste por más de tres meses desde la publicación, la Superintendencia podrá declararla disuelta y disponer
su liquidación y cancelación del Registro Público”.

“Art. 146.-Superintendencia de Economía Popular y Solidaria.-El control de la Economía Popular y

Solidaria y del Sector Financiero Popular y Solidario estará a cargo de la Superintendencia de Economía
Popular y Solidaria, que se crea como organismo técnico, con jurisdicción nacional, personalidad
jurídica de derecho público, patrimonio propio y autonomía administrativa y financiera y con
jurisdicción coactiva”.

Mediante resolución Nro. SEPS-IGT-IGPJ-IFPS-IR-INEPS-IEN-2015-0017, la Superintendencia de

Economía Popular y Solidaria expide la "Norma para el envío y recepción de información y
notificaciones" que establece que esta Superintendencia dispondrá de medios electrónicos para el envío y
recepción de la información requerida; y, mediante oficio circular Nro. SEPS-ITICA-2016-05270, esta
Superintendencia dispuso a las organizaciones del sector no financiero remitir la información general de
balances (estados financieros) a través de los servicios electrónicos del Servicio de Rentas Internas.

Por lo tanto, la información administrada por el Servicio de Rentas Internas para los fines de supervisión y
control que esta Superintendencia realiza sobre el sector de la economía popular y solidaria, pues permite tomar
decisiones para fomentar el desarrollo del mismo, procesando esta información estadísticamente por una
parte, y a nivel de detalle corresponde a un insumo esencial para desarrollar auditorías a las organizaciones.

Adicionalmente, conforme a lo establecido en la Resolución No. 006-NG-DINARDAP-2019 “NORMA QUE

REGULA EL CONSUMO MASIVO Y ENTREGAS DIRECTAS EXCEPCIONALES DE DATOS E
INFORMACIÓN DE LAS ENTIDADES QUE CONFORMAN EL SINARDAP”, que en su artículo 12
establece: "Una entrega directa podrá ser autorizada siempre que concurra dos o más de los siguientes
criterios:

1. Alta frecuencia de actualización;

2. Eficiencia tecnológica demostrable;
3. Optimización de recursos;

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
6/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

4. Analítica de datos como finalidad; o,

5. Generación de información estadística."

5. PRONUNCIAMIENTO.

Por lo expuesto en los párrafos anteriores y considerando la necesidad institucional y en cumplimiento de la

normativa citada en el presente, se podrá realizar la transferencia de información relevante, mediante conexión
punto a punto para llevar a cabo los procesos señalados por dichas entidades. En ese sentido, se deberán
considerar los siguientes parámetros:

5.1. Campos a Compartir:

Los campos a compartir en la presente autorización conforme lo menciona en el “INFORME TÉCNICO -

SOLICITUD DE AUTORIZACIÓN DE ENTREGA DE INFORMACIÓN DEL SRI A LA SEPS” y detallados
en el documento “anexo_1_-_información_requerida_del_sri ”, adjunto al presente.

5.2. Medidas de Seguridad Informática:

En función de la forma de transferencia de información se deben tomar las siguientes medidas de seguridad por
parte de todos los actores involucrados en el intercambio de información:

1. Garantizar la seguridad de los canales de transferencia de información en la utilización de VPNs que

dependan de la Institución.

2. Suscripción de acuerdos de confidencialidad entre las instituciones participantes así como por parte de todos
aquellos que tengan acceso a la información o bases de datos entregados, a las medidas de seguridad informática
y de la información implementadas.

3. Los datos a enviarse deberán estar protegidos bajo clave o cifrado.

4. Tanto el nombre de usuario y la clave usada para proteger la información, deberá ser enviada a la persona
responsable de recibir la información previo a la entrega del medio que contiene dicha información.

5. Se deberá contar con las respectivas actas de entrega y recepción de la información.

6. Garantizar la entrega formal a los usuarios específicos.

7. La prohibición de divulgar la información entregada por parte de las fuentes de información constante en el
acta de entrega y recepción.

8. La destrucción de dicha información una vez cumplida su finalidad.

Cabe señalar que todas las condiciones de seguridad informática y de la información para el traspaso de
información es responsabilidad de las instituciones involucradas en el presente proceso por lo que de forma
adicional a lo establecido en el presente oficio, se deberán tomar las medidas técnicas, tecnológicas y
organizativas que se estimen necesarias para garantizar la seguridad de la información entregada.

5.3. Medidas de Protección de la Información:

Para efectivizar el cumplimiento de lo previamente descrito en el consumo de información requerido

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
7/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

por la Superintendencia de Economía Popular y Solidaria, se deberán observar los siguientes mínimos:

1 Realizar en conjunto, con el Servicio de Rentas Internas, un análisis de riesgo conforme lo dispuesto en el
Esquema Gubernamental de Seguridad de la Información, enfocado en el presente intercambio de
información y su tratamiento.

2. Realizar una evaluación de impacto conforme a estándares internacionales de protección de derechos,

sobre todo enmarcado en el tratamiento de data sensible, como por ejemplo, la ISO29100, entre otras.

3. Suscribir acuerdos de confidencialidad interinstitucionales, y cada institución con cada persona que
acceda a estos datos.

4. Disponibilizar en sus páginas web de forma accesible y en un lenguaje claro, una política de
protección de datos personales que detalle:
a) Los fines del tratamiento;
b) Base legal para el tratamiento;
c) Tipos de tratamiento;
d) Tiempo de conservación;
e) La existencia de una base de datos donde consten sus datos personales;
f) El origen de los datos personales;
g) Otras finalidades y tratamientos ulteriores;
h) Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluye:
dirección de domicilio legal, número de teléfono y correo electrónico;
i) Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda
realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas;
j) La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación
y actualización, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en
valoraciones automatizadas (para el caso de la entidad consumidora, facilitar su ejercicio ante la fuente) (los
datos generados por el consumidor deberán acogerse en lo previsto en el literal);
k) Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales(fuente o
consumidor, según sea el caso), y la Dirección Nacional de Registro de Datos Públicos; y,
l) La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.

5. Contar con planes de contingencia frente a vulnerabilidades de seguridad que amenacen los datos, los
derechos de sus titulares y la continuidad del servicio.

6. Delimitar documentadamente, las finalidades, condiciones y usos a los que están destinado los datos,
el tiempo de conservación, de existir, el sometimiento a valoraciones automatizadas, y demás circunstancias
relativas a la seguridad de la información.

De la misma forma, es necesario puntualizar que al otorgar acceso al SINARDAP al solicitante, este
pasa a ser parte del Sistema Nacional de Registro de Datos Públicos y en consecuencia se somete al
esquema de control que se ha configurado para el efecto, por lo tanto, la entidad consumidora de
información deberá facilitar la información y acceso a los procesos que le permitan a la Dirección Nacional de
Registro de Datos Públicos verificar que se cumplan con los preceptos previstos en este criterio y en la
normativa legal dictada para el efecto.

Cabe recalcar que la responsabilidad sobre la información objeto del consumo es del, Servicio de Rentas
Internas y la Superintendencia de Economía Popular y Solidaria quienes deberán responder civil,
administrativa y penalmente, de ser el caso.

5.4. Medidas de Control.

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
8/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

Las entidades participantes en este intercambio de información deberán cumplir con los siguientes lineamientos
con el objeto de viabilizar los procedimientos de control a ser llevados adelante por parte de la Dirección
Nacional de Registro de Datos Públicos en cuanto al cumplimiento de los lineamientos establecidos en la
presente autorización.

La entidad fuente (Servicio de Rentas Internas-SRI), deberán remitir a la Dirección Nacional de Registro de
Datos Públicos, hasta 48 horas luego de cumplida la entrega, la siguiente información o verificables:

1. Identificación del delegado a cargo de la entrega de la información, señalando nombres, apellidos y correo
electrónico de contacto. En caso de haber más de un delegado, deberá remitir la información de todos ellos;
2. Detalle de campos y número de registros entregados;
3. Carta compromiso de cumplimiento de las medidas de seguridad informática y de la información
implementadas para la recepción y durante el tratamiento de la información;
4. Fecha de entrega de los registros o base de datos; y,
5. Copia de los acuerdos de confidencialidad suscritos por el personal participante en el proceso.

La Superintendencia de Economía Popular y Solidaria deberá remitir, hasta 72 horas luego de recibir la totalidad
de las bases de datos o registros por parte de las entidades fuentes el registro de todas las categorías de
actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. Identificación del delegado a cargo del proceso, señalando nombres, apellidos y correo electrónico de
contacto. En caso de haber más de un delegado, deberá remitir la información de todos ellos;
2. Detalle de campos y número de registros recibidos en destino, por entidad fuente;
3. Carta compromiso de cumplimiento de las medidas de seguridad informática y de la información
implementadas para la recepción y durante el tratamiento de la información;
4. Fecha de recepción o descarga de los registros o base de datos;
5. Detalle y copia de los documentos de constancia de entrega y recepción de los registros y bases de datos; y,
6. Copia de los acuerdos de confidencialidad suscritos por su personal participante en el proceso.

Tanto la entidad fuente como el responsable y encargado de la información deberán cumplir con los
lineamientos que establezca la Dirección Nacional de Registro de Datos Públicos con el objeto de viabilizar los
procedimientos de control a ser llevados adelante, de manera especial sobre las medidas de seguridad
y protección de datos personales.

Toda la información remitida, por efecto de las medidas de control, será mantenida con la debida
confidencialidad.

Cabe señalar que este procedimiento de traspaso de información estará sometido a un control Ex-Post por parte
de la Dirección Nacional de Registro de Datos Públicos DINARDAP y se conmina a las instituciones
involucradas inicien el proceso de sistematización del presente traspaso de información, en cumplimiento al
marco regulatorio de la Ley SINARDAP.

Finalmente, la Dirección Nacional de Registro de Datos Públicos podrá revisar los términos de este
pronunciamiento conforme lo estime necesario.

Con sentimientos de distinguida estima y consideración.

Atentamente,

Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez

Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
9/10
* Documento firmado electrónicamente por Quipux
 Oficio Nro. DINARDAP-DINARDAP-2021-0624-OF

Quito, D.M., 23 de abril de 2021

Documento firmado electrónicamente

Mgs. Lorena Naranjo Godoy
DIRECTORA NACIONAL DE REGISTRO DE DATOS PUBLICOS

Referencias:
- DINARDAP-DAD-2021-0634-E

Anexos:
- informe_técnico_solicitud_de_conexión_punto_a_punto_sri0685513001618358876.pdf
- anexo_1_-_informaci�n_requerida_del_sri_(1)0039463001618358877.rar
- copia_de_anexo_2_-_vistas_materializadas_del_esquema_sri_seps_xlsx0352638001618358877.xls
- anexo_3_-_acta_de_reunion_convenio_seps-sri_18-12-2020_pdf0769426001618358877.pdf
- anexo_4_-_informaci�n_y_servicios_actualmente_compartidos_por_el_sri_a_seps0169208001618358878.rar
- _campos_habilitados_del_sri_a_la_seps_del_cat�logo_de_interoperabilidad_xls0504883001618358878.xls
- anexo_6_-_catalogos_y_cuadros_tabulados0867622001618358878.zip

Copia:
Señor Abogado
Christian Fabián Espinosa Velarde
Coordinador de Gestión, Registro y Seguimiento

Señora Ingeniera
Marcela Patricia Heredia Pacheco
Directora de Gestión y Registro

Señora Ingeniera
Fanny Maribel Tiscama Puma
Analista de Registro 2

Señor Ingeniero
Juan Fernando Analuisa Barona
Coordinador Nacional de Inteligencia de la Información
SERVICIO DE RENTAS INTERNAS

Señora Licenciada
Maria del Carmen Cano Cabezas
Analista de Registro 2

mc/mh/ce

Firmado electrónicamente por:

LORENA
NARANJO
Dirección: Av. Antonio José de Sucre N54-103 y José Sánchez
Código postal: Ec170528 / Quito Ecuador - Teléfono: 02 351 4124
www.dinardap.gob.ec
10/10
* Documento firmado electrónicamente por Quipux