L
Lorena Naranjo Godoy
Guest
El Delegado de Protección de Datos Personales (DPDP) es una figura legal, centinela que asegura que la información personal sea manejada con responsabilidad y dentro del marco de la Ley Orgánica de Protección de Datos Personales (LOPDP).
La Superintendencia de Protección de Datos Personales (SPDP) emitió la Resolución N° SPDP-SPD-2025-0028-R, que aprueba el “Reglamento del Delegado de Protección de Datos Personales”. Este acto normativo no solo desarrolla aspectos cruciales de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento (RGLOPDP), sino que subraya la importancia crítica de la figura del Delegado de Protección de Datos Personales (DPDP o “delegado”) como pilar de la gestión y cumplimiento normativo en las organizaciones e Instituciones.
La importancia de este rol radica en su función primordial para la cultura de cumplimiento, pues tiene como misión “supervisar y garantizar el cumplimiento de la normativa de protección de datos”. Sin embargo, en el último año, este rol ha trascendido la descripción teórica, anclándose firmemente en la práctica con la emisión de la normativa secundaria y disposiciones directas de la autoridad de control. Esta resolución atiende específicamente el mandato de la ley de regular la independencia del delegado en el desempeño de sus funciones y establecer el procedimiento de denuncia y sanciones por remoción o sanción injustificada.
El DPDP es definido como la persona natural encargada de informar al responsable o encargado del tratamiento sobre sus obligaciones, asesorar, supervisar el cumplimiento normativo y ser punto de contacto con la SPDP.
El reglamento detalla las funciones adicionales del delegado, que incluyen asesorar o supervisar en:
La nueva normativa refuerza su rol, exigiendo una total independencia e imparcialidad en el ejercicio de sus funciones, incluso si es un empleado bajo relación de dependencia. El reglamento prohíbe explícitamente que el delegado reciba instrucciones sobre sus funciones o sufra represalias por su actuación técnica y autónoma.
Para asegurar esta independencia, la normativa establece una lista clara de impedimentos y conflictos de interés. Por ejemplo, el delegado tiene prohibido cumplir obligaciones que corresponden exclusivamente al responsable o encargado. Específicamente, no puede implementar directamente la normativa, ejecutar la gestión de riesgos o evaluaciones de impacto (aunque puede emitir observaciones no vinculantes), tomar decisiones sobre la finalidad del tratamiento, ni representar a la organización ante la SPDP. Se prohíbe que el DPDP ejerza simultáneamente funciones como las de Oficial de Seguridad de la Información (OSI) u oficial de cumplimiento (prevención de lavado de activos y el financiamiento de delitos), ya que sus responsabilidades son complementarias, pero separadas. Además, la norma prohíbe que sean designadas como delegados las personas que ejerzan cargos del nivel jerárquico superior en el sector público.
En cuanto a los requisitos, además de los generales previstos en el RGLOPDP (mayoría de edad, goce de derechos políticos, título de tercer nivel en áreas como derecho o sistemas, y al menos cinco años de experiencia profesional), el delegado deberá cumplir y aprobar, en forma obligatoria, el contenido mínimo de formación del Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP.
La Resolución No. SPDP-SPD-2025-0028-R establece que la formación de Delegados de Protección de Datos Personales (DPDP) en Ecuador debe ser aprobada y reconocida por la Superintendencia de Protección de Datos Personales, asegurando así la calidad y uniformidad de los profesionales en el país. Esta medida exige que los programas de capacitación obtengan un reconocimiento institucional, garantizando que los DPDP cuenten con una sólida preparación técnica, legal y de gestión, alineada con estándares internacionales, lo que refuerza la confianza en el sistema de protección de datos y la seguridad de la información personal. Se establece que esta obligatoriedad de la formación profesionalizante deberá ser acreditada hasta el 1 de enero de 2029.
Respecto a la designación y nombramiento, el delegado debe ser designado por el responsable o encargado del tratamiento. El nombramiento debe contener información detallada de la organización y del delegado, sus funciones, y ser formalizado con las firmas válidas (manuscrita o electrónica) de ambas partes e inscrito en el registro de delegados que la SPDP ha puesto a disposición de la ciudadanía desde este 1 de noviembre de 2025. Para el sector privado, el responsable o encargado deberá inscribir el nombramiento en la SPDP, ya sea de forma digital o presencial, haya sido otorgado previamente o sea nuevo desde el 1 de noviembre al 31 de diciembre del 2025.
El registro extemporáneo será considerado un incumplimiento de una medida de seguridad de carácter jurídico. La SPDP mantendrá una lista de delegados accesible al público a través de su portal web, con información limitada para consulta ciudadana, como el nombre y dirección comercial del responsable/encargado, y el correo y dirección del delegado.
La obligatoriedad de su designación es amplia, incluyendo a organizaciones que procesan datos sensibles o realizan tratamiento masivo o a gran escala, así como en el caso de las entidades del sector público. En cuyo caso, conforme señala el artículo 49 del Reglamento General de la LOPDP la designación del DPDP: “debe ser realizada por la máxima autoridad institucional.”
Además, se establece un listado de casos especiales de designación obligatoria en el sector privado y otras entidades que realicen ciertas actividades, aun sin fin de lucro. Entre estos se encuentran:
En el sector público, las instituciones que hayan nombrado como delegados a personas con cargos de nivel jerárquico superior (ahora prohibido) tienen un plazo de dos meses a partir de la publicación del reglamento para designar a quienes sí cumplan con los nuevos requisitos.
La SPDP asume el compromiso de investigar las denuncias presentadas por el delegado si su independencia es menoscabada o si es víctima de represalias. En caso de verificar la vulneración o la existencia de represalias, la Superintendencia podrá imponer las sanciones correspondientes al responsable o encargado.
El DPDP es el garante de la confianza ciudadana en el ecosistema digital. Su labor no se limita a evitar multas por infracciones graves, sino a impulsar la adecuada gestión de riesgos sobre los derechos y libertades de los titulares, alineando a Ecuador con los estándares internacionales más exigentes.
El registro de Delegados de Protección de Datos Personales marca un avance en la madurez del sistema de protección de datos en Ecuador; así mismo el blindaje relativo a la independencia y profesionalización de la función de los delegados.
Por ello, las organizaciones deben actuar diligentemente para el proceso de nombramiento y registro en los plazos establecidos por la SPDP, evitar sanciones y asegurar el cumplimiento de los nuevos requisitos de designación, y, sobre todo, garantizar la autonomía e independencia de sus delegados; así como fortalecer su formación profesionalizante.
Sigue leyendo...
La Superintendencia de Protección de Datos Personales (SPDP) emitió la Resolución N° SPDP-SPD-2025-0028-R, que aprueba el “Reglamento del Delegado de Protección de Datos Personales”. Este acto normativo no solo desarrolla aspectos cruciales de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento (RGLOPDP), sino que subraya la importancia crítica de la figura del Delegado de Protección de Datos Personales (DPDP o “delegado”) como pilar de la gestión y cumplimiento normativo en las organizaciones e Instituciones.
La importancia de este rol radica en su función primordial para la cultura de cumplimiento, pues tiene como misión “supervisar y garantizar el cumplimiento de la normativa de protección de datos”. Sin embargo, en el último año, este rol ha trascendido la descripción teórica, anclándose firmemente en la práctica con la emisión de la normativa secundaria y disposiciones directas de la autoridad de control. Esta resolución atiende específicamente el mandato de la ley de regular la independencia del delegado en el desempeño de sus funciones y establecer el procedimiento de denuncia y sanciones por remoción o sanción injustificada.
El DPDP es definido como la persona natural encargada de informar al responsable o encargado del tratamiento sobre sus obligaciones, asesorar, supervisar el cumplimiento normativo y ser punto de contacto con la SPDP.
El reglamento detalla las funciones adicionales del delegado, que incluyen asesorar o supervisar en:
- Análisis de riesgos y evaluaciones de impacto en transferencias de datos.
- Atención de solicitudes de titulares para el ejercicio de sus derechos.
- Gestión y notificación de vulneraciones de seguridad.
- Control de la eficacia de las medidas de seguridad implementadas.
- Cumplimiento de los registros de actividades de tratamiento.
La nueva normativa refuerza su rol, exigiendo una total independencia e imparcialidad en el ejercicio de sus funciones, incluso si es un empleado bajo relación de dependencia. El reglamento prohíbe explícitamente que el delegado reciba instrucciones sobre sus funciones o sufra represalias por su actuación técnica y autónoma.
Para asegurar esta independencia, la normativa establece una lista clara de impedimentos y conflictos de interés. Por ejemplo, el delegado tiene prohibido cumplir obligaciones que corresponden exclusivamente al responsable o encargado. Específicamente, no puede implementar directamente la normativa, ejecutar la gestión de riesgos o evaluaciones de impacto (aunque puede emitir observaciones no vinculantes), tomar decisiones sobre la finalidad del tratamiento, ni representar a la organización ante la SPDP. Se prohíbe que el DPDP ejerza simultáneamente funciones como las de Oficial de Seguridad de la Información (OSI) u oficial de cumplimiento (prevención de lavado de activos y el financiamiento de delitos), ya que sus responsabilidades son complementarias, pero separadas. Además, la norma prohíbe que sean designadas como delegados las personas que ejerzan cargos del nivel jerárquico superior en el sector público.
En cuanto a los requisitos, además de los generales previstos en el RGLOPDP (mayoría de edad, goce de derechos políticos, título de tercer nivel en áreas como derecho o sistemas, y al menos cinco años de experiencia profesional), el delegado deberá cumplir y aprobar, en forma obligatoria, el contenido mínimo de formación del Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP.
La Resolución No. SPDP-SPD-2025-0028-R establece que la formación de Delegados de Protección de Datos Personales (DPDP) en Ecuador debe ser aprobada y reconocida por la Superintendencia de Protección de Datos Personales, asegurando así la calidad y uniformidad de los profesionales en el país. Esta medida exige que los programas de capacitación obtengan un reconocimiento institucional, garantizando que los DPDP cuenten con una sólida preparación técnica, legal y de gestión, alineada con estándares internacionales, lo que refuerza la confianza en el sistema de protección de datos y la seguridad de la información personal. Se establece que esta obligatoriedad de la formación profesionalizante deberá ser acreditada hasta el 1 de enero de 2029.
Respecto a la designación y nombramiento, el delegado debe ser designado por el responsable o encargado del tratamiento. El nombramiento debe contener información detallada de la organización y del delegado, sus funciones, y ser formalizado con las firmas válidas (manuscrita o electrónica) de ambas partes e inscrito en el registro de delegados que la SPDP ha puesto a disposición de la ciudadanía desde este 1 de noviembre de 2025. Para el sector privado, el responsable o encargado deberá inscribir el nombramiento en la SPDP, ya sea de forma digital o presencial, haya sido otorgado previamente o sea nuevo desde el 1 de noviembre al 31 de diciembre del 2025.
El registro extemporáneo será considerado un incumplimiento de una medida de seguridad de carácter jurídico. La SPDP mantendrá una lista de delegados accesible al público a través de su portal web, con información limitada para consulta ciudadana, como el nombre y dirección comercial del responsable/encargado, y el correo y dirección del delegado.
La obligatoriedad de su designación es amplia, incluyendo a organizaciones que procesan datos sensibles o realizan tratamiento masivo o a gran escala, así como en el caso de las entidades del sector público. En cuyo caso, conforme señala el artículo 49 del Reglamento General de la LOPDP la designación del DPDP: “debe ser realizada por la máxima autoridad institucional.”
Además, se establece un listado de casos especiales de designación obligatoria en el sector privado y otras entidades que realicen ciertas actividades, aun sin fin de lucro. Entre estos se encuentran:
- Instituciones educativas de cualquier nivel, especialmente si tratan datos de menores.
- Personas jurídicas que realicen actividades financieras y de seguros.
- Personas jurídicas dedicadas a publicidad, prospección comercial o investigación de mercados que elaboren perfiles.
- Actores del sistema de salud obligados al mantenimiento de historias clínicas (a excepción de profesionales particulares) y establecimientos del sector farmacéutico.
- Personas jurídicas de seguridad privada, o administradoras de urbanizaciones privadas o propiedades horizontales, por el control de accesos.
- Empresas de telecomunicaciones.
- Empresas de videovigilancia masiva, geolocalización, o desarrollo e implementación de inteligencia artificial.
- Concesionarias de servicios públicos o alianzas público-privadas que distribuyan/suministren servicios públicos.
En el sector público, las instituciones que hayan nombrado como delegados a personas con cargos de nivel jerárquico superior (ahora prohibido) tienen un plazo de dos meses a partir de la publicación del reglamento para designar a quienes sí cumplan con los nuevos requisitos.
La SPDP asume el compromiso de investigar las denuncias presentadas por el delegado si su independencia es menoscabada o si es víctima de represalias. En caso de verificar la vulneración o la existencia de represalias, la Superintendencia podrá imponer las sanciones correspondientes al responsable o encargado.
El DPDP es el garante de la confianza ciudadana en el ecosistema digital. Su labor no se limita a evitar multas por infracciones graves, sino a impulsar la adecuada gestión de riesgos sobre los derechos y libertades de los titulares, alineando a Ecuador con los estándares internacionales más exigentes.
El registro de Delegados de Protección de Datos Personales marca un avance en la madurez del sistema de protección de datos en Ecuador; así mismo el blindaje relativo a la independencia y profesionalización de la función de los delegados.
Por ello, las organizaciones deben actuar diligentemente para el proceso de nombramiento y registro en los plazos establecidos por la SPDP, evitar sanciones y asegurar el cumplimiento de los nuevos requisitos de designación, y, sobre todo, garantizar la autonomía e independencia de sus delegados; así como fortalecer su formación profesionalizante.
Sigue leyendo...