¿Tu empresa trata datos «a gran escala»? Cómo saberlo antes de que te lo pregunten en una inspección.

mayo 29, 2026

Si tienes empleados, clientes, cámaras o un sistema de asistencia con huella, es posible que ya estés ahí.

Primero, la pregunta que nadie responde directamente

¿Esto me aplica o no?

Es decir,«¿yo, con mi empresa de 80 personas y un sistema de nómina en la nube, tengo que preocuparme por esto?». La respuesta honesta es: depende, la única forma de saberlo con certeza es hacer el análisis, con ayuda por supuesto.

Pero antes de llegar ahí, necesito explicarte qué es el MTGE sin que te dé dolor de cabeza.

MTGE significa Modelo Técnico de Gran Escala. Es una especie de cálculo que te dice si un tratamiento de datos personales debe considerarse «a gran escala» y, por tanto, activa obligaciones legales más exigentes, de ahí la importancia de saber que es.

Ahora, ¿Qué es «tratar datos personales»? (Spoiler: probablemente ya lo haces)

Tratar datos personales es cualquier cosa que hagas con información que permita identificar a una persona: recogerla, guardarla, usarla, compartirla, actualizarla o eliminarla.

En la práctica, eso incluye:

Manejar nómina con sueldos, cuentas bancarias y certificados médicos
Tener una base de clientes con nombres, correos y historial de compras
Usar un huellero o sistema de control de asistencia
Tener cámaras de seguridad que captan imágenes de personas
Almacenar expedientes laborales o evaluaciones de desempeño
Usar software en la nube (especialmente si el servidor está fuera del país)

Tratar datos personales no es «hacer cosas raras con la información». Es el día a día de casi cualquier empresa.

¿Y qué es el tratamiento «a gran escala»?

Un tratamiento a gran escala es cuando el volumen, la frecuencia, la sensibilidad o el riesgo de lo que haces con los datos es tan significativo que la autoridad dice: «Aquí necesito más control, más evidencia y más responsabilidad.»

No se trata sólo de cuántas personas tienes en la base. También importa qué tipo de datos manejas, con qué frecuencia, por cuánto tiempo y si los datos salen del país.

La norma (Resolución N.º SPDP-SPD-2026-0005-R) establece que el MTGE evalúa seis variables y les asigna un puntaje.

Dato clave antes de continuar: El MTGE se aplica por cada tratamiento individual, no consolidando toda la empresa de golpe. Las cámaras de seguridad son un tratamiento. La nómina es otro. El sistema de asistencia es otro. Cada uno se analiza por separado y si una de las tantas actividades resulta dar positivo en el tratamiento a gran escala, pues deberás cumplir con la obligación de registrar un delegado.

Ahora las 6 variables del MTGE (o mejor dicho la información con la que se calcula el MTGE)

Aquí te doy las variables más algunos ejemplos:

Número de titulares. ¿Cuántas personas involucra este tratamiento? No es lo mismo 50 que 50.000.
Volumen de datos. ¿Cuántos datos tienes de cada persona? Nombre + cédula + sueldo + cuenta + huella + foto… empieza a sumar.
Categorías de datos. ¿Qué tan delicada es la información? Salud, biométricos, financieros y datos de menores pesan más.
Frecuencia. ¿Usas esos datos una vez al año o en tiempo real? Un sistema de geolocalización no descansa ni los lunes.
Permanencia. ¿Los guardas semanas, años, indefinidamente? El tiempo suma en el análisis.
Alcance geográfico. ¿Los datos salen del país? Muchas empresas usan software extranjero sin saberlo.

¿Cuándo se activa la alerta?

Si el MTGE de un tratamiento da 6 puntos o más, ese tratamiento se considera de gran escala y activa obligaciones legales adicionales. Sí o sí. No es opcional revisarlo.

Pero hay casos donde ni siquiera necesitas calcular. Algunos tratamientos se califican como gran escala directamente, sin pasar por la calculadora:

Datos de salud o datos sensibles
Datos biométricos (huella, reconocimiento facial)
Videovigilancia o monitoreo sistemático en espacios de acceso público
Geolocalización
Sistemas de información crediticia o financiera
Tratamiento sistemático de datos de niñas, niños y adolescentes
Evaluaciones automatizadas que puedan afectar derechos
Transferencias sistemáticas de datos

El error más común: pensar que «gran escala = empresa gigante»

Una empresa con 80 empleados puede activar obligaciones de gran escala si usa huelleros, cámaras y software en la nube con datos sensibles. No es el tamaño de la empresa. Es el tamaño, tipo, frecuencia y riesgo del tratamiento.

Veamos una empresa mediana real (imaginaria, pero muy reconocible):

120 trabajadores, 3 locales, base de clientes, cámaras, sistema de asistencia con huella, nómina y soporte externo. La empresa cree que «esto no aplica porque no somos una tecnológica».

Solo en datos de trabajadores tiene: nombre, cédula, dirección, teléfono, correo, cargo, sueldo, cuenta bancaria, firma, evaluaciones, certificados médicos, cargas familiares… Y eso es solo RR.HH. Luego están los clientes, cámaras e historial de sistemas.

Eso es exactamente lo que el MTGE busca medir. Y el análisis se hace por cada tratamiento por separado, no consolidando todo de un golpe.

¿Qué pasa si mi empresa sí califica?

Cuando un tratamiento supera los 6 puntos (o cae en calificación directa), ya no basta con decir «sí cuidamos los datos». Hay que poder demostrarlo.

Tener actualizado el Registro de Actividades de Tratamiento (RAT)
Documentar el resultado del MTGE por cada tratamiento
Evaluar si corresponde designar un Delegado de Protección de Datos (DPD)
Realizar una Evaluación de Impacto en la Protección de Datos (EIPD)
Aplicar privacidad desde el diseño y por defecto
Revisar medidas de seguridad y conservar evidencia de cumplimiento

Peor que tener que hacer todo eso es enterarse tarde: cuando ya hay un requerimiento, una inspección, una queja o un incidente de seguridad. Ahí el tiempo y el costo son muy distintos.

Conclusión

Entonces ¿Tú empresa trata datos a gran escala?

Haz el cálculo ahora, antes de que alguien más te haga la pregunta.

Paso 1

Usa la calculadora

Analiza cualquiera de las tres actividades que te damos de ejemplo para que puedas conocer dónde se encuentra tú empresa ante esta regulación.

Paso 2

Agenda una revisión

Si hay señales de alerta, una reunión de 30 minutos puede orientarte qué priorizar.

Importante: Esta calculadora es una primera revisión orientativa. No reemplaza un análisis legal completo, pero sí te ayuda a detectar señales de alerta con claridad.

URL: https://surveymars.com/q/3O5k0UNnH

Creado por: Evelyn González – Área Protección de Datos

Compartir este artículo

ARTÍCULOS RECIENTES

Laboral

EL VALOR PROBATORIO DE LA DECLARACIÓN DEL ACTOR EN MATERIA LABORAL ECUATORIANA BASADO EN LA RESOLUCIÓN NO. 15 – 2025 – PRECEDENTE JURISPRUDENCIAL OBLIGATORIO

La Corte Nacional de Justicia del Ecuador, mediante la Resolución No. 15-2025, estableció como precedente obligatorio que la declaración del actor en materia laboral no

octubre 8, 2025

Civil

LA AUTORIZACIÓN DE SALIDA DEL PAÍS DE NIÑOS, NIÑAS Y ADOLESCENTES EN EL SERVICIO NOTARIAL A NIVEL NACIONAL

El 04 de septiembre de 2025 el Pleno del Consejo de la Judicatura resolvió expedir mediante Resolución 063-2025 el “REGLAMENTO PARA TRAMITAR LA AUTORIZACIÓN DE SALIDA

septiembre 26, 2025

Laboral

Norma para la Prevención y Atención de la Discriminación, Violencia y Acoso Laboral

Introducción: El ámbito laboral debe ser un espacio donde prime el respeto, la inclusión y la seguridad. Con este objetivo, se emitió la Norma para

septiembre 13, 2025