En el presente trabajo se explora la responsabilidad civil en la que pueden incurrir los integrantes del sistema de protección de datos personales bajo la Ley Orgánica de Protección de Datos Personales de Ecuador. Para ello, se aborda este tema desde dos ejes. Primero, se analiza a los legitimados activos y pasivos del sistema de protección de datos. En el desarrollo, se explica la responsabilidad por culpa in vigilando del Responsable del tratamiento y la cabida de la acción de reembolso cuando el Responsable paga una indemnización por acciones atribuibles a terceros bajo su vigilancia. Segundo, se determina que la naturaleza de los daños derivados por tratamiento inadecuado de datos personales serán, por excelencia, daños extrapatrimoniales. Así, a propósito de este tipo de daños, se reflexiona aspectos relacionados con la aplicación del in re ipsa y la cuantificación del daño en materia de protección de datos. A lo largo del trabajo, con un enfoque práctico y crítico, se analiza la sentencia de la Corte Nacional de Justicia dentro del Juicio No. 09332-2020-11414 del 30 de mayo de 2024. Esta decisión es fundamental por cuanto da un paso notable en materia de responsabilidad civil por vulneración a derechos y principios vinculados a la protección de datos.