L
Lorena Naranjo Godoy
Guest
Ecuador se encuentra en la recta final de un hito histórico para la Protección de Datos Personales y la Seguridad Jurídica y Digital. El próximo 31 de diciembre de 2025 no es solo el cierre del año fiscal, sino la fecha límite para que miles de organizaciones e Instituciones Públicas cumplan con una de las figuras más trascendentales de la Ley Orgánica de Protección de Datos Personales (LOPDP): la inscripción y ratificación del Delegado de Protección de Datos Personales (DPDP).
Esta figura, lejos de ser un simple trámite burocrático, actúa como el centinela que garantiza que nuestra información desde el historial crediticio, los datos de salud, de niños, niñas y adolescentes y hasta los más sensibles sea manejada con responsabilidad. Sin embargo, la reciente normativa secundaria ha elevado la vara de la profesionalización en Protección de Datos Personales, generando una carrera contra el reloj para el sector empresarial y público.
La obligatoriedad no es universal, pero sí extensa. Según el Artículo 48 de la LOPDP, deben contar con un DPDP todas las entidades del sector público.
En el ámbito privado, la obligación recae sobre aquellas empresas cuya actividad principal requiera un control permanente y sistematizado de datos por su volumen o naturaleza, como bancos, aseguradoras y Prestadores de Servicios de Telecomunicaciones.
Asimismo, quienes traten datos sensibles “a gran escala” (salud, biometría, datos de menores) están en la mira. La Superintendencia de Protección de Datos Personales (SPDP) ha sido clara, si una organización maneja datos que impactan significativamente en la vida de los ciudadanos, el DPDP no es negociable.
Uno de los puntos más debatidos es el Programa Profesionalizante, según la Resolución N° SPDP-SPD-2025-0028-R de la SPDP, ya no basta con ser abogado o experto en sistemas o carreras afines. El DPDP debe aprobar un programa de formación reconocido por la SPDP (de mínimo 80 horas).
Incluso aquellos profesionales que ostentan maestrías internacionales o certificaciones de prestigio deben cursar esta formación nacional. ¿El objetivo?, homogeneizar el conocimiento técnico y legal bajo la realidad normativa ecuatoriana, asegurando que el DPDP no sea un mero espectador, sino un gestor de riesgos capacitado.
El registro que vence este 31 de diciembre busca “regularizar” el ecosistema digital del país. La SPDP no solo busca saber quiénes son los DPDP, sino verificar que sean independientes. Un DPDP no puede ser juez y parte; por ello, cargos como Gerentes Generales, Funcionarios del Nivel Jeráquico Superior de Instituciones Públicas o Oficiales de Seguridad de la Información tienen prohibido ejercer este rol para evitar conflictos de interés.
Cumplir con este plazo es más que evitar sanciones, es construir confianza en un mundo donde el dato es el activo más valioso. Las Organizaciones y las Instituciones que vean al DPDP como un aliado estratégico, y no como un gasto, serán las que lideren la economía digital del mañana.
1. La base legal del registro (1 de noviembre al 31 de diciembre)
La instrucción de que el responsable o encargado debe inscribir el nombramiento del DPDP (sea nuevo o previo) en este periodo específico no es una sugerencia, sino un mandato administrativo derivado de la Disposición Transitoria Primera de la Resolución N° SPDP-SPD-2025-0028-R (Reglamento del DPD).
2. Casos Especiales de Designación Obligatoria
El Art. 10 del Reglamento del DPDP (Res. 2025-0028-R de la SPDP) detalla situaciones específicas del sector privado y entidades sin fin de lucro que deben presentar un DPDP ante la autoridad:
1. Sector Educativo y Menores de Edad
2. Sector Financiero y Seguros
3. Marketing y Análisis de Datos
4. Salud y Farmacéutico
5. Seguridad y Convivencia
6. Tecnología y Telecomunicaciones
7. Deportes y Gremios
8. Servicios Públicos y Concesiones
Es fundamental comprender que el listado anterior detalla casos específicos de registro obligatorio definidos por la Autoridad de PDP. No obstante, esto no exime a las demás empresas del cumplimiento de la LOPDP. Si una organización no se encuentra en esta lista, pero sus actividades de tratamiento requieren un control permanente y sistematizado (Art. 48, num. 2 LOPDP) o implican el tratamiento de categorías especiales de datos a gran escala (Art. 48, num. 3 LOPDP), subsiste la obligación legal de designar un Delegado de Protección de Datos Personales.
A continuación, podemos desarrollar algunos ejemplos prácticos:
Si su Organización cumple con cualquiera de estos puntos, tiene hasta el 31 de diciembre de 2025 para registrar a su Delegado de Protección de Datos Personales. El incumplimiento de esta designación puede acarrear sanciones administrativas graves por parte de la Autoridad de Protección de Datos Personales (SPDP).
Sigue leyendo...
Esta figura, lejos de ser un simple trámite burocrático, actúa como el centinela que garantiza que nuestra información desde el historial crediticio, los datos de salud, de niños, niñas y adolescentes y hasta los más sensibles sea manejada con responsabilidad. Sin embargo, la reciente normativa secundaria ha elevado la vara de la profesionalización en Protección de Datos Personales, generando una carrera contra el reloj para el sector empresarial y público.
¿Quiénes deben nombrar Delegado de Protección de Datos Personales?
La obligatoriedad no es universal, pero sí extensa. Según el Artículo 48 de la LOPDP, deben contar con un DPDP todas las entidades del sector público.
En el ámbito privado, la obligación recae sobre aquellas empresas cuya actividad principal requiera un control permanente y sistematizado de datos por su volumen o naturaleza, como bancos, aseguradoras y Prestadores de Servicios de Telecomunicaciones.
Asimismo, quienes traten datos sensibles “a gran escala” (salud, biometría, datos de menores) están en la mira. La Superintendencia de Protección de Datos Personales (SPDP) ha sido clara, si una organización maneja datos que impactan significativamente en la vida de los ciudadanos, el DPDP no es negociable.
El reto de la formación profesionalizante
Uno de los puntos más debatidos es el Programa Profesionalizante, según la Resolución N° SPDP-SPD-2025-0028-R de la SPDP, ya no basta con ser abogado o experto en sistemas o carreras afines. El DPDP debe aprobar un programa de formación reconocido por la SPDP (de mínimo 80 horas).
Incluso aquellos profesionales que ostentan maestrías internacionales o certificaciones de prestigio deben cursar esta formación nacional. ¿El objetivo?, homogeneizar el conocimiento técnico y legal bajo la realidad normativa ecuatoriana, asegurando que el DPDP no sea un mero espectador, sino un gestor de riesgos capacitado.
Un llamado a la transparencia
El registro que vence este 31 de diciembre busca “regularizar” el ecosistema digital del país. La SPDP no solo busca saber quiénes son los DPDP, sino verificar que sean independientes. Un DPDP no puede ser juez y parte; por ello, cargos como Gerentes Generales, Funcionarios del Nivel Jeráquico Superior de Instituciones Públicas o Oficiales de Seguridad de la Información tienen prohibido ejercer este rol para evitar conflictos de interés.
Cumplir con este plazo es más que evitar sanciones, es construir confianza en un mundo donde el dato es el activo más valioso. Las Organizaciones y las Instituciones que vean al DPDP como un aliado estratégico, y no como un gasto, serán las que lideren la economía digital del mañana.
La Superintendencia de Protección de Datos Personales, a través de la respuesta a varias consultas ha dado las siguientes directrices:
1. La base legal del registro (1 de noviembre al 31 de diciembre)
La instrucción de que el responsable o encargado debe inscribir el nombramiento del DPDP (sea nuevo o previo) en este periodo específico no es una sugerencia, sino un mandato administrativo derivado de la Disposición Transitoria Primera de la Resolución N° SPDP-SPD-2025-0028-R (Reglamento del DPD).
- ¿Qué dice la norma? Establece que los sujetos obligados que ya contaban con un DPDP o que deban designarlo tras la expedición de la resolución, tienen este plazo para formalizar la inscripción en las plataformas de la SPDP.
- Fundamento en la Ley: Se apoya en la facultad de la Autoridad para dictar directrices de designación (Art. 48, último inciso de la LOPDP) y en la potestad de vigilancia (Art. 77 LOPDP).
- Digital o Presencial: La resolución habilita el uso de los canales oficiales de la SPDP, priorizando la ventanilla virtual para agilizar el proceso a nivel nacional.
2. Casos Especiales de Designación Obligatoria
El Art. 10 del Reglamento del DPDP (Res. 2025-0028-R de la SPDP) detalla situaciones específicas del sector privado y entidades sin fin de lucro que deben presentar un DPDP ante la autoridad:
1. Sector Educativo y Menores de Edad
- Centros Educativos: Toda Institución de Educación Inicial Básica y Bachillerato (pública, fiscomisional o privada) en cualquier modalidad.
- Educación Superior: Universidades y Escuelas Politécnicas.
- Protección Infantil: Cualquier Organización que trate datos de menores de edad, aunque no sea su actividad principal. Importante: El Oficio 180 aclara que, si tratas datos de menores solo para pagar el IESS de tus empleados, no eres “especial”. La obligación nace cuando el objeto del negocio implica el uso masivo o sensible de esos datos.
2. Sector Financiero y Seguros
- Bancos y Finanzas: Cualquier entidad jurídica que realice actividades financieras y maneje datos personales. Todas las instituciones bajo control de la Superintendencia de Bancos o la de Economía Popular y Solidaria (incluyendo Cooperativas, según Oficio 036).
- Seguros: Aseguradoras, reaseguradoras, asesores, corredores y agentes del sector.
3. Marketing y Análisis de Datos
- Publicidad y Mercadeo: Empresas que realicen prospección comercial o investigación de mercados.
- Perfilamiento: Quienes analicen preferencias, intereses o comportamientos de las personas para crear perfiles de usuario.
4. Salud y Farmacéutico
- Salud: Clínicas, hospitales y centros que manejen historias clínicas (excepto médicos independientes con práctica privada).
- Farmacia: Los establecimientos del sector farmacéutico que ejecutaren actividades de producción, distribución y comercialización de productos farmacéuticos, así como los laboratorios, las casas de representación de medicamentos, las de distribuidoras farmacéuticas y las farmacias; y establecimientos del sector farmacéutico.
5. Seguridad y Convivencia
- Seguridad Privada: Empresas que brinden servicios de vigilancia.
- Vivienda: Administraciones de urbanizaciones, conjuntos residenciales o propiedades horizontales que recolecten datos para control de accesos.
6. Tecnología y Telecomunicaciones
- Telecomunicaciones: Empresas privadas que presten servicios de telefonía, internet, etc. Solamente aquellas que cuenten con títulos habilitantes otorgados por la Agencia de Regulación y Control de las Telecomunicaciones – ARCOTEL (Oficio 225).
- Vigilancia Tecnológica: Empresas de videovigilancia masiva, geolocalización o servicios de TI.
- Inteligencia Artificial: Desarrolladores o implementadores de sistemas de IA.
7. Deportes y Gremios
- Deportes Profesionales: Federaciones, clubes, sociedades anónimas deportivas y academias.
- Gremios: Colegios de profesionales o asociaciones gremiales.
8. Servicios Públicos y Concesiones
- Concesionarias: Empresas privadas o públicas que administren servicios básicos (agua, luz, etc.) o alianzas público – privadas.
Es fundamental comprender que el listado anterior detalla casos específicos de registro obligatorio definidos por la Autoridad de PDP. No obstante, esto no exime a las demás empresas del cumplimiento de la LOPDP. Si una organización no se encuentra en esta lista, pero sus actividades de tratamiento requieren un control permanente y sistematizado (Art. 48, num. 2 LOPDP) o implican el tratamiento de categorías especiales de datos a gran escala (Art. 48, num. 3 LOPDP), subsiste la obligación legal de designar un Delegado de Protección de Datos Personales.
A continuación, podemos desarrollar algunos ejemplos prácticos:
- Entidades sin fin de lucro que manejen datos sensibles de beneficiarios a gran escala (Por ejemplo, fundaciones de ayuda a víctimas o enfermedades catastróficas).
- Retail y Supermercados (Art. 48.2): Cadenas de retail que manejan programas de lealtad masivos, donde se analizan hábitos de consumo de miles de ciudadanos de forma permanente.
- Recursos Humanos y Nómina Externa (Art. 48.3): Empresas de “outsourcing” que procesan datos de salud (discapacidades, exámenes médicos) de miles de empleados de sus clientes a gran escala.
- Plataformas de Transporte y Delivery (Art. 48.2): Apps que rastrean la ubicación de conductores y usuarios constantemente (control sistemático) y manejan un volumen masivo de transacciones.
- Hotelería y Turismo (Art. 48.2): Cadenas hoteleras que captan datos de pasaportes, preferencias y movimientos de flujos constantes de turistas.
Si su Organización cumple con cualquiera de estos puntos, tiene hasta el 31 de diciembre de 2025 para registrar a su Delegado de Protección de Datos Personales. El incumplimiento de esta designación puede acarrear sanciones administrativas graves por parte de la Autoridad de Protección de Datos Personales (SPDP).
Sigue leyendo...