La Superintendencia de Protección de Datos Personales (SPDP) ha expedido la Resolución N° SPDP-SPD-2025-0028-R. Este reglamento establece el marco de actuación para el Delegado de Protección de Datos Personales (DPO) en Ecuador. El objetivo es asegurar el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP). A partir de ahora, la designación de un DPO ya no es una opción para muchas organizaciones, sino un requisito obligatorio que debe cumplir con estrictas condiciones de independencia y registro. Conozca los puntos esenciales de esta normativa y evite riesgos legales por incumplimiento.
Aspectos claves del reglamento
1. Designación y Registro del Delegado:
- Designación: El delegado debe ser designado por el responsable o el encargado del tratamiento de datos, ya sea una persona natural, una persona jurídica de derecho privado (a través de su representante legal), o una persona jurídica de derecho público (a través de su máxima autoridad).
- Contenido del Nombramiento: El nombramiento debe incluir información detallada como la fecha, los datos de la organización, el nombre del delegado, las funciones a cumplir, la aceptación del cargo y documentos que acrediten la personería jurídica del representante legal.
- Plazo de Registro: Si el nombramiento se formalizó con firmas electrónicas, debe ser inscrito en el portal web de la SPDP en un plazo de 15 días posteriores a la designación. Si se usaron firmas manuscritas, la presentación debe ser presencial. El registro extemporáneo se considerará un incumplimiento de una medida de seguridad jurídica.
- Acceso Público: La SPDP mantendrá una lista de delegados accesible en su portal web, que contendrá información como el nombre y la dirección del responsable o encargado, y el correo electrónico y la dirección del delegado. Es importante destacar que la inscripción no valida automáticamente la idoneidad del delegado
2. Casos de designación obligatoria
- Sector Público: Las entidades del sector público están obligadas a designar un delegado de protección de datos, salvo casos excepcionales que la SPDP pueda autorizar mediante resolución motivada.
- Sector Privado (Casos Especiales): El reglamento especifica que, además de los casos ya previstos en la LOPDP, la designación de un delegado es obligatoria para organizaciones que se dediquen de forma habitual a actividades como:
- Instituciones educativas de cualquier nivel, especialmente si tratan datos de menores de edad.
- Entidades financieras, aseguradoras y del sector farmacéutico.
- Empresas de publicidad, prospección comercial o investigación de mercados que elaboren perfiles de titulares.
- Actores del sistema de salud (a excepción de profesionales que ejerzan su profesión de manera particular).
- Empresas de seguridad privada, así como urbanizaciones y conjuntos residenciales que traten datos para control de accesos.
- Organizaciones deportivas, gremios profesionales, empresas de telecomunicaciones y de videovigilancia.
- Concesionarias de servicios públicos y alianzas público-privadas.
3. Independencia y funciones del delegado
- Independencia: Se resalta la necesidad de que el delegado mantenga total independencia e imparcialidad en sus funciones. Se prohíbe que reciba instrucciones sobre el ejercicio de sus funciones o sufra represalias por su actuación.
- Funciones Adicionales: Además de sus funciones habituales, el delegado deberá asesorar y supervisar sobre el análisis de riesgos, la evaluación de impacto, la atención de solicitudes de titulares de datos, la gestión de vulneraciones de seguridad, el control de la eficacia de las medidas de seguridad y el cumplimiento normativo en general.
- Prohibiciones: El delegado tiene prohibido ejercer funciones que son exclusivas del responsable del tratamiento, tomar decisiones sobre la finalidad o los medios del tratamiento de datos, o representar a la organización ante la SPDP.
- Conflictos de Interés: El delegado no puede ejercer, de forma simultánea, cargos como oficial de seguridad de la información u oficial de cumplimiento, para evitar conflictos de interés. Debe declarar cualquier conflicto de interés real, potencial o aparente antes de aceptar el cargo.
4. Garantía de independencia y sanciones
- Protección del Delegado: El delegado puede denunciar ante la SPDP cualquier situación que menoscabe su independencia o que constituya una represalia.
- Mecanismos de Control: Los responsables o encargados del tratamiento deben garantizar la independencia del delegado implementando mecanismos de control que evalúen su contacto directo con el más alto nivel ejecutivo, la disponibilidad de recursos y los informes que determinen el nivel de cumplimiento normativo.
- Sanciones: Si se determina que el responsable o encargado no garantizó la independencia del delegado o lo sancionó injustificadamente, se aplicarán las penalizaciones correspondientes del régimen sancionatorio de la LOPDP
Disposiciones transitorias
- Plazos:
- Las entidades del sector público que nombraron a personal jerárquico superior como delegados tienen un plazo de dos meses para designar a personas que cumplan con los requisitos.
- El registro de delegados para el sector privado se podrá realizar de forma física, electrónica o digital desde el 1 de noviembre y hasta el 31 de diciembre de 2025. El incumplimiento de este plazo se considerará una falta de seguridad jurídica.
- Los requisitos de formación obligatoria para el delegado (Programa Profesionalizante) entrarán en vigencia a partir del 1 de enero de 2029.
Para obtener más información y una asesoría completa sobre la implementación de este reglamento en su organización, no dude en contactar a nuestro equipo de especialistas.
El presente Acuerdo Ministerial entró en vigencia a partir de su suscripción el 30 de julio o de 2025, sin perjuicio de su publicación en el Registro Oficial.
En caso de requerir información adicional, por favor contactarse con el correo electrónico administracion@moncayoberrazueta.com o al WhatsApp número (+593) 0994019505.
