REGLAMENTO DEL DELEGADO DE PROTECCIÓN DE DATOS

Compartimos la reciente resolución emitida por la Superintendencia de Protección de Datos Personales (SPDP) sobre el Reglamento del Delegado de Protección de Datos (DPO), Resolución Nº SPDP-SPD-2025-0028-R.

Quién es el Delegado de Protección de Datos Personales (DPO)?

La Ley Orgánica de Protección de Datos Personales (LOPDP) define al DPO como la persona natural encargada de informar al responsable o encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos; supervisar el cumplimiento normativo; y cooperar con la Autoridad de Protección de Datos Personales, actuando como punto de contacto entre esta y la entidad responsable del tratamiento.

¿Quiénes están obligados a designar un DPO?

De acuerdo con el art. 48 de la LOPDP, es obligatorio designar DPO cuando:

1.- El sector público (art. 225 de la Constitución) realiza tratamiento de datos.

2.-Las actividades del responsable/encargado requieren control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades (según la Ley, su reglamento o normativa de la Autoridad).

3.- Se realiza tratamiento a gran escala de categorías especiales de datos (conforme al reglamento).

4.- El tratamiento no versa sobre información reservada o secreta de seguridad nacional y defensa del Estado (estos tratamientos quedan excluidos).

El mismo art. 48 faculta a la SPDP a definir nuevas condiciones para exigir DPO y a emitir directrices para su designación. En este sentido, la Resolución Nº SPDP-SPD-2025-0028-R dispone, entre otros puntos, que:

  • El delegado deberá ser designado por quien tuviere la calidad de responsable o, según corresponda, por quien tuviere el rol de encargado del tratamiento.
  • Los nombramientos deberán inscribirse (de forma virtual o física) ante la Intendencia General de Innovación Tecnológica y de Seguridad de Datos Personales dentro del plazo de quince (15) días posteriores a la fecha de designación.
  • Se aceptarán los nombramientos extemporáneos; sin embargo, el registro fuera de plazo se considerará incumplimiento de una medida de seguridad de carácter jurídico.

Casos especiales de designación obligatoria (sector privado y mixto)
Además de lo previsto en la LOPDP/RGLOPDP, deberán designar DPO quienes, de forma habitual, realicen actividades como:

  • Publicidad, prospección comercial e investigación de mercados con perfiles, intereses o comportamientos.
  • Educación (inicial, básica, bachillerato y cualquier institución que trate datos de menores, incluso fuera del ámbito educativo).
  • Educación superior (pública o privada).
  • Tratamiento de categorías especiales de datos de menores.
  • Financiero (personas jurídicas que realicen actividades financieras y traten datos personales).
  • Seguros y reaseguros (incluye asesores, corredores, agentes y prestadores del sector asegurador).
  • Salud (actores obligados a mantener historias clínicas; se excluye al profesional que ejerce de forma particular).
  • Farmacéutico (producción, distribución y comercialización; laboratorios, casas de representación, distribuidoras y farmacias).
  • Seguridad privada y administración de propiedades horizontales/urbanizaciones por control de accesos.
  • Deporte profesional (federaciones, asociaciones, clubes y academias).
  • Colegios o gremios profesionales.
  • Telecomunicaciones.
  • Servicios de videovigilancia masiva, geolocalización y TI, incluida IA.
  • Concesionarios de servicios públicos y APP que distribuyan, comercialicen o suministren servicios públicos.

¿Quiénes están prohibidos de ser DPO?

  • Oficial de Seguridad de la Información (CISO) de la empresa.
  • Oficial de Cumplimiento de la empresa.
  • Apoderado especial de responsables/encargados extranjeros que traten datos en Ecuador.
  • Además, el DPO no puede representar a la organización ante la SPDP como responsable o encargado, ni ejercer simultáneamente cargos que generen conflicto (por ejemplo, CISO, Cumplimiento, implementador).

¿Qué requisitos debe cumplir el DPO?

i) goce de derechos políticos; ii) mayoría de edad; iii) título de tercer nivel en Derecho, Sistemas de información, comunicación o tecnologías; iv) experiencia profesional mínima de cinco (5) años. Además, formación obligatoria en protección de datos personales, en forma obligatoria cumplir y aprobar el contenido mínimo de formación del Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP.

Otras consideraciones:

  • El DPO debe actuar con independencia e imparcialidad; puede ser interno o externo mediante servicios especializados.
  • La empresa debe asegurar contacto con el máximo nivel, recursos y una evaluación institucional anual (no jerárquica) de la función del DPO.
  • Si se afecta su independencia o hay represalias, la SPDP puede sancionar.

Recomendaciones a nuestros clientes

1.- Verifique si está obligado a designar un DPO.

2.- Defina y nombre al DPO con independencia real y sin conflictos.

3.- Inscríbalo dentro del plazo legal.

4.- Ajuste funciones internas para evitar prohibiciones y conflictos (por ejemplo, separar CISO/Cumplimiento).

Quito D.M./Guayaquil, agosto de 2025

AMPLIACIÓN DE PLAZO PARA EL REGISTRO DEL PLAN DE IGUALDAD EN EL SUT
LINEAMIENTOS SOBRE LA PREVENCIÓN DE DISCRIMINACIÓN, VIOLENCIA Y ACOSO LABORAL EN EL SECTOR PRIVADO (ACUERDO MDT-2025-102)