Consultas absueltas por la SPDP de conformidad con el numeral 9 del artículo 76 de la LOPDP, en concordancia con el Reglamento para la atención de consultas publicado en el Suplemento del Registro Oficial N.º 683 del 14 de noviembre del 2024
Oficio N° SPDP-IRD-2026-0001-O
Consulta
¿Es jurídicamente procedente que el tratamiento de datos personales consistente en la captación de imágenes mediante sistemas de videovigilancia, implementados por una entidad pública como el Benemérito Cuerpo de Bomberos de Machala para fines de seguridad institucional y protección de personas, se legitime en la base prevista en el artículo 7, numeral 4 de la Ley Orgánica de Protección de Datos Personales, relativa al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable?
(…)
Consulta (reformulada):
Conforme al artículo 12 de la LOPDP, ¿puede considerarse que la colocación de señalética informativa visible en zonas videovigiladas constituye un mecanismo válido para garantizar el derecho a la información de los titulares de datos personales, sin que ello implique que la Superintendencia defina contenidos específicos no regulados, sino en cuanto a la interpretación general del alcance del principio de información?
(…)
Consulta:
¿Cuál es la correcta interpretación y aplicación de los principios de proporcionalidad y de pertinencia y minimización de datos, previstos en el artículo 10, literales e y f de la LOPDP, en relación con la definición de las ubicaciones de cámaras de videovigilancia dentro de instalaciones públicas?
(…)
Consulta (reformulada):
Con base en el principio de conservación de datos personales previsto en el artículo 10, literal i de la LOPDP, ¿cómo debe interpretarse el criterio de que los datos personales no sean conservados por un plazo mayor al necesario para cumplir la finalidad del tratamiento, en el contexto de sistemas de videovigilancia implementados por entidades públicas?”
Análisis
ANÁLISIS
De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la SPDP en el siguiente sentido:
El numeral 19 del artículo 66 Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:
“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).
Asimismo, los artículos 225 y 226 de la CRE establece:
“Art. 425.- El orden jerárquico de aplicación de las normas será el siguiente: La Constitución; los tratados y convenios internacionales; las leyes orgánicas; las leyes ordinarias; las normas regionales y las ordenanzas distritales; los decretos y reglamentos; las ordenanzas; los acuerdos y las resoluciones; y los demás actos y decisiones de los poderes públicos.
En caso de conflicto entre normas de distinta jerarquía, la Corte Constitucional, las juezas y jueces, autoridades administrativas y servidoras y servidores públicos, lo resolverán mediante la aplicación de la norma jerárquica superior.
La jerarquía normativa considerará, en lo que corresponda, el principio de competencia, en especial la titularidad de las competencias exclusivas de los gobiernos autónomos descentralizados.
Art. 226.- Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley.” (énfasis agregado).
El artículo 4 de la LOPDP define lo siguiente:
“Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:
Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros.
(…)
Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
(…)
Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
(…)
Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.” (énfasis agregado).
El artículo 7 de la LOPDP se establece lo siguiente:
“Art. 7.- Tratamiento legítimo de datos personas (sic).- El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:
1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;
2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;
3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente Ley;
4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;
5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;
6) Para proteger intereses vitales del interesado o de otra persona natural, como su vida, salud o integridad;
7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,
8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.” (énfasis agregado).
El artículo 10 de la LOPDP dispone lo siguiente:
“Principios.- Sin perjuicio de otros principios establecidos en la Constitución de la República, los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se regirá por los principios de:
a) Juridicidad.- Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.
b) Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.
En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.
c) Transparencia.- El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.
Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.
d) Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.
El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.
e) Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.
f) Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos.
(…)
l) Aplicación favorable al titular.- En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.(…)”(énfasis agregado).
El artículo 12 de la LOPDP indica:
“Art. 12.- Derecho a la información.- El titular de datos personales tiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre:
1) Los fines del tratamiento;
2) La base legal para el tratamiento;
3) Tipos de tratamiento;
4) Tiempo de conservación;
5) La existencia de una base de datos en la que constan sus datos personales;
6) El origen de los datos personales cuando no se hayan obtenido directamente del titular;
7) Otras finalidades y tratamientos ulteriores;
8) Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluirá: dirección del domicilio legal, número de teléfono y correo electrónico;
9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;
10) Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;
11) Las consecuencias para el titular de los datos personales de su entrega o negativa a ello;
12) El efecto de suministrar datos personales erróneos o inexactos;
13) La posibilidad de revocar el consentimiento;
14) La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas.
15) Los mecanismos para hacer efectivo su derecho a la portabilidad, cuando el titular lo solicite;
16) Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales y la Autoridad de Protección de Datos Personales, y;
17) La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.
En el caso que los datos se obtengan directamente del titular, la información deberá ser comunicada de forma previa a este, es decir, en el momento mismo de la recogida del dato personal.
Cuando los datos personales no se obtuvieren de forma directa del titular o fueren obtenidos de una fuente accesible al público, el titular deberá ser informado dentro de los siguientes treinta (30) días o al momento de la primera comunicación con el titular, cualquiera de las dos circunstancias que ocurra primero. Se le deberá proporcionar información expresa, inequívoca, transparente, inteligible, concisa, precisa y sin barreras técnicas.
La información proporcionada al titular podrá transmitirse de cualquier modo comprobable en un lenguaje claro, sencillo y de fácil comprensión, de preferencia propendiendo a que pueda ser accesible en la lengua de su elección.
En el caso de productos o servicios dirigidos, utilizados o que pudieran ser utilizados por niñas, niños y adolescentes, la información a la que hace referencia el presente artículo será proporcionada a su representante legal conforme a lo dispuesto en la presente Ley.”
El artículo 7 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) dispone lo siguiente:
“Art. 7.-Tratamiento legítimo.- Para efectos del correcto tratamiento de datos personales, se considerará lo siguiente:
1. Cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos: Se entenderá que el tratamiento de datos personales está basado en el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos, debidamente motivado y de acuerdo con los principios establecidos en la Ley, cuando la competencia correspondiente esté atribuida en una norma con rango de ley.
El tratamiento de datos personales realizado sobre esta base legitimadora deberá observar lo siguiente:
a. Los tipos de datos objeto del tratamiento;
b. Los titulares o interesados afectados;
c. Las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación;
d. La limitación de la finalidad:
e. Los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo.
El tratamiento de datos personales bajo esta base legitimadora deberá cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido. (…)”
El artículo 8 del RGLOPDP dispone lo siguiente:
“Art. 8.- Plazos de conservación de los datos personales.- Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento.
La Autoridad de Protección de Datos regulará los plazos de conservación de datos personales atendiendo las disposiciones aplicables a la materia de que se trate.
Art. 9.- Eliminación, bloqueo o anonimización.- Una vez cumplida la o las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o no incurra la necesidad de mantener los datos en virtud del interés legítimo del responsable, o por cumplimiento de una obligación legal que establezca lo contrario, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos en su posesión.
El responsable establecerá procedimientos para la conservación, revisión periódica, eliminación de los datos personales.(…)” (énfasis agregado).
Asimismo, el artículo 11 RGLOPDP establece lo siguiente:
“Art. 11.-Eliminación de datos.- Finalizado el plazo de conservación de los datos, el responsable del tratamiento de datos deberá proceder a la eliminación segura de los mismos.
La eliminación de datos personales no aplicará cuando el tratamiento sea necesario en los siguientes supuestos:
1. Por razones de interés público en el ámbito de la salud pública y privada, así como en materia estatal, seguridad, laboral y educación:
2. Para la formulación, el ejercicio o la defensa de reclamaciones.
La Autoridad de Protección de Datos Personales podrá requerir información cuando lo considere necesario. Para el efecto, ajustará los requerimientos a normas, lineamientos sobre plazo de conservación y estándares internacionales sobre la eliminación de datos.” (énfasis agregado).
La resolución Nº SPDP-SPD-2025-0041-R suscrita y vigente desde el 07 de noviembre de 2025 la cual emite la Normativa General para la Aplicación del Interés Legítimo como Base de Legitimación para el Tratamiento de Datos Personales Dentro del Territorio de la República del Ecuador, en su artículo 3.1 menciona lo siguiente:
“Art. 3.- Las palabras enlistadas a continuación tendrán los siguientes significados:
3.1. Interés legítimo: Es una base de legitimación que le permite a una persona natural, a una persona jurídica o a otro organismo de derecho privado, tratar datos personales sin necesidad de obtener previamente el consentimiento de su titular, siempre que se verifique la prevalencia de los derechos y libertades del titular. (…)” (énfasis agregado).
Adicionalmente, para poder dar una contestación correcta es menester citar los artículos 1, 3 y 5 de la Ley Orgánica de la Contraloría General del Estado, donde se menciona:
“Art. 1.- Objeto de la Ley.- La presente Ley tiene por objeto establecer y mantener, bajo la dirección de la Contraloría General del Estado, el sistema de control, fiscalización y auditoría del Estado, y regular su funcionamiento con la finalidad de examinar, verificar y evaluar el cumplimiento de la visión, misión y objetivos de las instituciones del Estado y la utilización de recursos, administración y custodia de bienes públicos.
(…)
Art. 3.- Recursos Públicos.- Para efecto de esta Ley se entenderán por recursos públicos, todos los bienes, fondos, títulos, acciones, participaciones, activos, rentas, utilidades, excedentes, subvenciones y todos los derechos que pertenecen al Estado y a sus instituciones, sea cual fuere la fuente de la que procedan, inclusive los provenientes de préstamos, donaciones y entregas que, a cualquier otro título realicen a favor del Estado o de sus instituciones, personas naturales o jurídicas u organismos nacionales o internacionales.
Los recursos públicos no pierden su calidad de tales al ser administrados por corporaciones, fundaciones, sociedades civiles, compañías mercantiles y otras entidades de derecho privado, cualquiera hubiere sido o fuere su origen, creación o constitución hasta tanto los títulos, acciones, participaciones o derechos que representen ese patrimonio sean transferidos a personas naturales o personas jurídicas de derecho privado, de conformidad con la ley.
(…)
Art. 5.- Sistema de Control, Fiscalización y Auditoría del Estado.- Las instituciones del Estado, sus dignatarios, autoridades, funcionarios y demás servidores, actuarán dentro del Sistema de Control, Fiscalización y Auditoría del Estado, cuya aplicación propenderá a que:
1.- Los dignatarios, autoridades, funcionarios y servidores públicos, sin excepción, se responsabilicen y rindan cuenta pública sobre el ejercicio de sus atribuciones, la utilización de los recursos públicos puestos a su disposición, así como de los resultados obtenidos de su empleo;
2.- Las atribuciones y objetivos de las instituciones del Estado y los respectivos deberes y obligaciones de sus servidores, sean cumplidos a cabalidad;
3.- Cada institución del Estado asuma la responsabilidad por la existencia y mantenimiento de su propio sistema de control interno; y,
4.- Se coordine y complemente con la acción que otros órganos de control externo ejerzan sobre las operaciones y actividades del sector público y sus servidores.”
Con base en los artículos previamente citados, para poder dar contestación a las cuatro preguntas planteadas en la Consulta presentada, se procederá a realizar el análisis correspondiente de cada una de las ellas en el orden en el cual fueron planteadas. Respecto a la primera pregunta, es preciso partir de la consideración de que el tratamiento de datos personales mediante sistemas de videovigilancia implementados por entidades del sector público constituye, por su propia naturaleza, una injerencia en el derecho fundamental a la protección de datos personales. En tal virtud, dicho tratamiento debe sujetarse de manera estricta a alguna de las bases de legitimación previstas en el artículo 7 de la LOPDP, así como a los artículos concordantes de su Reglamento General.
El uso de sistemas de videovigilancia conlleva un tratamiento particularmente invasivo, en la medida en que supone la captación sistemática de imágenes de personas y, por ende, el tratamiento de datos biométricos. En este contexto, la implementación de un sistema de videovigilancia debe necesariamente sustentarse en una base de legitimación expresamente consagrada en la ley, razón por la cual el consentimiento no puede constituir ni la única ni la principal base habilitante para este tipo de tratamiento, ya que estos tratamientos involucran el procesamiento de datos personales de grandes cantidades de personas. En el caso de sistemas utilizados o implementados por entidades públicas, en el ejercicio de sus competencias legalmente atribuidas, la legitimación del tratamiento debe fundarse en una base más adecuada, que resulte coherente con el cumplimiento de una misión en interés público o el ejercicio de poderes públicos, garantizando de forma efectiva en todo momento los derechos y libertades de los titulares de datos personales.
En el caso de las entidades del sector público, el legislador ha previsto como base de legitimación específica el interés público, conforme al numeral 4 del artículo 7 de la LOPDP. Esta disposición contempla dos supuestos diferenciados, el tratamiento necesario para el cumplimiento de una misión realizada en función del interés público; y, el tratamiento efectuado en el ejercicio de poderes públicos conferidos al responsable. Si bien ambos supuestos se encuentran enunciados de forma conjunta, responden a lógicas jurídicas distintas y requieren un análisis diferenciado. Esta distinción resulta relevante, en tanto que, en el ámbito de la actuación administrativa, el interés público no puede concebirse como una noción abstracta, genérica o discrecional, por el contrario, debe responder directamente de competencias, atribuciones y deberes expresamente establecidos en normas con rango de ley, las cuales brindan directrices claras y concretas para delimitar el alcance legítimo de la actuación estatal y, en consecuencia, del tratamiento de datos personales que de ella se derive.
Bajo esta premisa, el uso de sistemas de videovigilancia por parte de una entidad pública orientado a la seguridad institucional no se legitima de manera automática por la sola invocación del interés público, dicho tratamiento encuentra su sustento jurídico en la existencia de obligaciones legales específicas que imponen a la entidad la adopción de medidas para custodia, control y protección de bienes públicos. La Ley Orgánica de la Contraloría General del Estado establece un marco transversal de obligaciones para las entidades del sector público en relación con la custodia, administración y protección de los bienes y recursos del Estado, así como la responsabilidad derivada de su adecuada conservación y uso. Estas disposiciones configuran competencias legales que obligan a las instituciones públicas a adoptar medidas destinadas a garantizar el cumplimiento efectivo de dichas obligaciones.
En este sentido, los sistemas de videovigilancia se entienden como una medida de seguridad destinada a viabilizar el cumplimiento de las obligaciones legales de custodia, control y protección de los bienes y recursos del Estado, de conformidad con lo previsto en la Ley Orgánica de la Contraloría General del Estado. No obstante, la adopción de dicha medida no habilita un tratamiento irrestricto de datos personales, por cuanto su implementación y uso deben realizarse en estricta observancia de los principios consagrados en el marco legal aplicable en materia de protección de datos personales, así como en garantía de los derechos y libertades fundamentales de los titulares de datos personales, asegurando que el tratamiento sea necesario, proporcional y acorde con la finalidad que lo justifica.
Desde esta perspectiva, el tratamiento de datos personales derivado de la captación de imágenes mediante sistemas de videovigilancia encuentra su fundamento jurídico en el ejercicio de poderes públicos conferidos por normas con rango de ley, que imponen a las entidades públicas deberes concretos de custodia, control y protección de los bienes y recursos del Estado.
En consecuencia, el tratamiento de datos personales que consiste en la captación de imágenes mediante sistemas de videovigilancia implementados por una entidad pública, resulta jurídicamente procedente y se encuentra legítimamente amparado en la base prevista en el numeral 4 del artículo 7 de la LOPDP, exclusivamente en el supuesto del ejercicio de efectivo de poderes públicos conferidos al responsable derivados de una competencia atribuida por una norma con rango de ley, el cual, en este caso, sería a través de la obligación de custodia, control y protección de los bienes y recursos del estado, condicionando su validez al cumplimiento de los principios y garantías previstas en la normativa de protección de datos personales.
Respecto a la segunda pregunta, donde se establece la pregunta de si se puede considerar la colocación de señalética informativa visible en zonas videovigiladas un mecanismo válido para garantizar el derecho a la información de los titulares de datos personales contemplado en el artículo 12 de la LOPDP.
En este sentido y conforme al artículo 12 de la LOPDP, el principio de transparencia y el derecho a la información reconocidos en el artículo 10 de la misma ley, se exige que los titulares de datos personales conozcan, de manera previa o concurrente al tratamiento, la existencia y condiciones esenciales del mismo. En el contexto del tratamiento de imágenes mediante sistemas de videovigilancia, la colocación de señalética informativa visible en todo momento en las zonas vigiladas puede considerarse un mecanismo idóneo y válido para satisfacer dicho derecho, en la medida en que permita advertir razonablemente al titular sobre la captación de sus datos personales y sobre la identidad del responsable del tratamiento, sin exigirle esfuerzos desproporcionados para acceder a la información.
En tratamientos como la videovigilancia, caracterizados por su automatismo y por la imposibilidad material de informar de forma individualizada, el derecho a la información que se le comunica al titular de datos puede darse por capas, de modo que la señalética cumpla la función de primera capa informativa, remitiendo a canales complementarios donde el titular pueda acceder a información más detallada, sin que ello suponga una restricción al ejercicio de sus derechos. Y, de dicha manera el responsable del tratamiento cumple con el deber de informar sobre el tratamiento de datos personales de una manera práctica, estableciendo una señalética con información básica necesaria y, en una segunda capa que debe ser colocada en la misma señalética, el resto de información del tratamiento de videovigilancia específico con los demás requisitos establecidos en el artículo 12 de la LOPDP.
Desde una perspectiva de derecho comparado, la Guía sobre el uso de videocámaras para seguridad y otras finalidades de la Agencia Española de Protección de Datos (AEPD) refuerza este criterio al señalar que los distintivos visibles en accesos y zonas videovigiladas constituyen un instrumento adecuado para cumplir el deber de información, siempre que incluyan los elementos esenciales del tratamiento y faciliten el acceso a información adicional. Esta guía resulta plenamente compatible con el marco ecuatoriano, en tanto se fundamenta en los mismos principios estructurantes del derecho a la protección de datos también reconocidos en la LOPDP y su Reglamento General, especialmente los principios de: transparencia, lealtad y responsabilidad proactiva.
Con base en lo previamente mencionado los carteles de videovigilancia deben cumplen con el deber de informar que tiene el responsable del tratamiento de datos personales siempre y cuando, a través de un a segunda capa se dé la facilidad al titular de datos personales de acceder al resto de la información del tratamiento de datos correspondiente. En este sentido, los datos mínimos necesarios que deben constar en un cartel de videovigilancia deberían ser los siguientes:
Tratamiento de videovigilancia;
Identidad del responsable del tratamiento y sus contactos: correo electrónico o dirección física y teléfono de contacto;
La posibilidad de ejercer los derechos para el titular esto implica que se debe colocar un correo o canal ante el cual el titular puede ejercer sus derechos;
Segunda capa, dónde ampliar la información sobre el tratamiento de los datos personales.
Respecto a la tercera pregunta, donde se pregunta sobre cuál sería la correcta aplicación de los principios de proporcionalidad y de pertinencia y minimización de datos personales previstos en el artículo 10 de la LOPDP en relación con la ubicación de las cámaras de videovigilancia dentro de instalaciones públicas, es menester establecer que los principios de proporcionalidad y de pertinencia y minimización de datos constituyen parámetros esenciales para determinar la licitud y legitimidad del tratamiento. Su correcta interpretación exige que la definición de las ubicaciones de las cámaras responda exclusivamente a finalidades legítimas, explícitas y previamente determinadas, vinculadas a la seguridad de personas, bienes e instalaciones, descartando toda captación que resulte excesiva o innecesaria respecto de dichos fines. En consecuencia, la videovigilancia no puede concebirse como un mecanismo de control generalizado, sino como una medida puntual, idónea y estrictamente necesaria.
Desde la perspectiva del principio de proporcionalidad establecido en el literal f) del artículo 10 de la LOPDP, la instalación y orientación de las cámaras debe obedecer a una ponderación entre la finalidad perseguida y el grado de afectación a los derechos de los titulares de datos personales. Esto implica que las cámaras deben ser ubicadas únicamente en espacios donde exista un riesgo real, concreto y verificable para la seguridad institucional, y que se descarte su colocación en zonas en las que la expectativa de privacidad sea mayor o en las que la captación de imágenes resulte manifiestamente desproporcionada. Esta exigencia conlleva, además, que la autoridad o entidad pública que decida incorporarlas pueda justificar técnica y jurídicamente la necesidad de cada punto de captación, en coherencia con el principio de responsabilidad proactiva. Por ejemplo, no son aptos de videovigilancia los baños o vestidores u otros espacios físicos similares.
Por otro lado, el principio de pertinencia y minimización, reconocido en el literal e) del artículo 10 de la LOPDP, impone que las ubicaciones definidas permitan captar únicamente las imágenes estrictamente indispensables para cumplir la finalidad de seguridad, evitando espacios de circulación no relevantes o zonas ajenas al ámbito funcional de la instalación pública. En este sentido, resulta obligatorio adoptar medidas que restrinjan el campo visual de las cámaras, tales como una adecuada orientación, el uso de configuraciones técnicas limitadas o mecanismos de enmascaramiento, de forma que se reduzca al mínimo la captación de datos personales de personas que no guardan relación con el riesgo que se pretende prevenir. Así también, se entiende que la minimización no solo se hace referencia al volumen de datos tratados, sino también del número de cámaras, su tipología y su ubicación concreta. En este sentido, las ubicaciones de cámaras deben ser el resultado de un análisis previo de necesidad y riesgo, orientado a garantizar que el tratamiento de imágenes sea adecuado, pertinente y no excesivo, asegurando así una protección efectiva de los derechos de los titulares de datos personales.
Es pertinente, en la presente pregunta, hacer mención explícita al principio de finalidad reconocido en el literal d) del artículo previamente mencionado, el cual hace referencia a la finalidad que todo tratamiento de datos personales debe tener. En los tratamientos de videovigilancia es fundamental e indispensable que las finalidades para las cuales se lleva a cabo la videovigilancia sean claras, concretas y específicas, ya que son éstas las que van a ser ponderadas frente a los derechos de los titulares de datos personales, permitiendo delimitar de manera objetiva el alcance del tratamiento y justificar la eventual afectación a dichos derechos. En ausencia de una finalidad legítima y claramente determinada, la captación de imágenes deviene en un tratamiento excesivo a la LOPDP al tratarse de datos personales biométricos, incluso cuando se realice en espacios o instalaciones públicas.
Respecto a la cuarta pregunta, el Consultante establece la duda de cómo debe interpretarse el criterio de que los datos personales no sean conservados por un plazo mayor al necesario para cumplir con la finalidad del tratamiento en el contexto de videovigilancia. En este sentido, de conformidad con el principio de conservación de datos personales previsto en literal i) del artículo 10 de la LOPDP, la interpretación del criterio conforme al cual los datos no deben conservarse por un plazo mayor al necesario para cumplir la finalidad del tratamiento debe realizarse atendiendo a la naturaleza, contexto y fines específicos de cada operación de tratamiento. En el ámbito de los sistemas de videovigilancia implementados por entidades públicas, este principio exige que la conservación de imágenes se limite estrictamente al tiempo indispensable para cumplir la finalidad legítima que motivó su captación, particularmente cuando dicha finalidad se vincula al interés público, a la seguridad institucional o a la protección de recursos públicos.
Esta autoridad precisa que, a la fecha, no se ha emitido una normativa específica que establezca plazos concretos y uniformes de conservación de datos personales en ningún tipo de tratamiento. No obstante, ello no exime a los responsables del tratamiento del cumplimiento del marco constitucional y legal vigente, el cual proporciona criterios suficientes para determinar, caso a caso, plazos razonables de conservación. En este sentido, deben observarse las disposiciones contenidas en los artículos 7, 8, 9 y 11 del RGLOPDP, que desarrollan el principio de limitación del plazo de conservación y obligan a eliminar, bloquear o anonimizar los datos personales una vez cumplida la finalidad que justificó su tratamiento, salvo que concurra una obligación legal o causa legítima que justifique su conservación ulterior.
Tratándose de entidades públicas, la interpretación del plazo necesario de conservación debe además definir y documentar, de manera motivada y debidamente demostrada, los plazos de conservación de las grabaciones de videovigilancia, considerando factores como la detección o investigación de incidentes, eventuales requerimientos de órganos de control, procesos administrativos o judiciales, y las obligaciones derivadas del sistema de control y fiscalización del uso de recursos públicos, siempre bajo criterios de necesidad y proporcionalidad.
Finalmente, de conformidad con el principio de aplicación más favorable al titular de datos personales, previsto en el literal l) del artículo 10 de la LOPDP, cualquier duda respecto del alcance temporal de la conservación debe resolverse en favor de la protección reforzada de los derechos de las personas. En consecuencia, mientras esta autoridad no emita una regulación específica sobre plazos de conservación en materia de videovigilancia, las entidades públicas deberán ceñirse estrictamente a los principios constitucionales y legales citados, adoptando políticas internas claras de conservación, revisión periódica y eliminación segura de las grabaciones, de modo que el tratamiento de datos personales no se prolongue más allá de lo estrictamente necesario para cumplir la finalidad legítima que lo sustenta.
Pronunciamiento
En atención a los términos de la consulta realizada mediante Oficio NRO. SERCOP-CGAJ-2025-0230-OF de 7 de noviembre de 2025 y debidamente subsanada el 21 de noviembre de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:
“¿Es jurídicamente procedente que el tratamiento de datos personales consistente en la captación de imágenes mediante sistemas de videovigilancia, implementados por una entidad pública como el Benemérito Cuerpo de Bomberos de Machala para fines de seguridad institucional y protección de personas, se legitime en la base prevista en el artículo 7, numeral 4 de la Ley Orgánica de Protección de Datos Personales, relativa al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable?”
De acuerdo con el análisis previamente realizado, resulta jurídicamente procedente que una entidad pública, en términos generales, aclarando esta autoridad que no se hace referencia expresa al Benemérito Cuerpo de Bomberos de Machala, legitime el tratamiento de datos personales derivado de la captación de imágenes mediante sistemas de videovigilancia, implementados con fines de seguridad institucional y protección de personas, con base en lo dispuesto en el numeral 4 del artículo 7, de la LOPDP. Ello, en el supuesto relativo al ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, específicamente en observancia de las obligaciones de custodia, control y protección de los bienes y recursos del Estado previstas en la Ley Orgánica de la Contraloría General del Estado, siempre que dicho tratamiento garantice los derechos y libertades fundamentales de los titulares de los datos personales.
“Conforme al artículo 12 de la LOPDP, ¿puede considerarse que la colocación de señalética informativa visible en zonas videovigiladas constituye un mecanismo válido para garantizar el derecho a la información de los titulares de datos personales, sin que ello implique que la Superintendencia defina contenidos específicos no regulados, sino en cuanto a la interpretación general del alcance del principio de información?”
Con base en el análisis efectuado, se concluye que la colocación de señalética informativa visible en zonas videovigiladas constituye un mecanismo válido e idóneo para garantizar el derecho a la información de los titulares de datos personales previsto en el artículo 12 de la LOPDP, siempre que se enmarque en los principios de transparencia y lealtad, en un cumplimiento por capas, en el cual la señalética actúe como primera capa informativa, comunicando de forma clara y accesible la existencia del tratamiento, la identidad y contacto del responsable y los mecanismos para el ejercicio de derechos, y remitiendo a una segunda capa donde se complete la información exigida por el artículo previamente referido.
“¿Cuál es la correcta interpretación y aplicación de los principios de proporcionalidad y de pertinencia y minimización de datos, previstos en el artículo 10, literales e y f de la LOPDP, en relación con la definición de las ubicaciones de cámaras de videovigilancia dentro de instalaciones públicas?”
Teniendo en cuenta el análisis realizado, la correcta interpretación y aplicación de los principios de proporcionalidad y de pertinencia y minimización de datos, previstos en los literales e y f del artículo 10, de la LOPDP, exige que la definición de las ubicaciones de las cámaras de videovigilancia en instalaciones públicas responda exclusivamente a finalidades legítimas, claras y previamente determinadas, vinculadas a la seguridad de personas, bienes e instalaciones. Las cámaras deben instalarse únicamente en espacios donde exista un riesgo real, concreto y verificable, evitando zonas con alta expectativa de privacidad o donde la captación resulte innecesaria o desproporcionada, como baños o vestidores o espacios físicos similares. Asimismo, debe garantizarse que se capten solo las imágenes estrictamente indispensables, mediante una adecuada orientación, limitación del campo visual y un número y tipo de cámaras justificado en un análisis previo de necesidad y riesgo, de modo que el tratamiento de datos personales sea adecuado, pertinente y no excesivo, en garantía de los derechos de sus titulares.
“Con base en el principio de conservación de datos personales previsto en el artículo 10, literal i de la LOPDP, ¿cómo debe interpretarse el criterio de que los datos personales no sean conservados por un plazo mayor al necesario para cumplir la finalidad del tratamiento, en el contexto de sistemas de videovigilancia implementados por entidades públicas?”
Respecto de esta pregunta, esta Autoridad se abstiene de emitir un pronunciamiento específico, en tanto a la fecha no se ha expedido normativa que regule de manera expresa los plazos de conservación de datos personales. No obstante, se precisa que los responsables del tratamiento que implementen sistemas de videovigilancia están obligados a cumplir con el principio de conservación de datos personales previsto en el literal i) del artículo 10 de la LOPDP, conforme al cual las imágenes captadas deben conservarse únicamente durante el tiempo estrictamente necesario para cumplir la finalidad legítima que motivó su tratamiento, atendiendo a la naturaleza, contexto y fines específicos de cada operación. En consecuencia, las entidades públicas deben definir y documentar de manera motivada sus plazos de conservación, aplicando criterios de necesidad y proporcionalidad y considerando eventuales requerimientos de control, administrativos o judiciales, resolviendo cualquier duda interpretativa en favor de la protección reforzada de los derechos de los titulares de datos personales.
Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.
Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.
Oficio N° SPDP-IRD-2026-0028-O
Consulta
¿En el caso de obtener datos personales directamente del titular (Art. 12, párr. 2 LOPDP) y requerir su consentimiento (Art. 8 LOPDP), la obligación de informar al titular abarca de forma taxativa la inclusión de la totalidad de los diecisiete (17) aspectos enumerados en los numerales 1 al 17 del Artículo 12 de la Ley Orgánica de Protección de Datos Personales, o es legítimo que el responsable del tratamiento omita o reduzca la información a un subconjunto de esos puntos en el documento de autorización de tratamiento (consentimiento)?”
Análisis
De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir, como en efecto se emite, la presente absolución de consulta a nombre y en representación de la Superintendencia de Protección de Datos Personales en el siguiente sentido:
El artículo 66 de la Constitución de la República del Ecuador (“CRE”) ha establecido lo siguiente:
“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).
El artículo 8 de la LOPDP expresa lo siguiente:
“Art. 8.- Consentimiento.- Se podrán tratar y comunicar datos personales cuando se cuente con la manifestación de la voluntad del titular para hacerlo. El consentimiento será válido, cuando la manifestación de la voluntad sea:
1) Libre, es decir, cuando se encuentre exenta de vicios del consentimiento;
2) Específica, en cuanto a la determinación concreta de los medios y fines del tratamiento;
3) Informada, de modo que cumpla con el principio de transparencia y efectivice el derecho a la transparencia,
4) Inequívoca, de manera que no presente dudas sobre el alcance de la autorización otorgada por el titular.
El consentimiento podrá revocarse en cualquier momento sin que sea necesaria una justificación, para lo cual el responsable del tratamiento de datos personales establecerá mecanismos que garanticen celeridad, eficiencia, eficacia y gratuidad, así como un procedimiento sencillo, similar al proceder con el cual recabó el consentimiento.
El tratamiento realizado antes de revocar el consentimiento es lícito, en virtud de que este no tiene efectos retroactivos.
Cuando se pretenda fundar el tratamiento de los datos en el consentimiento del afectado para una pluralidad de finalidades será preciso que conste que dicho consentimiento se otorga para todas ellas.” (énfasis agregado).
El artículo 10 ibidem determina:
“Art. 10.- Principios.- Sin perjuicio de otros principios establecidos en la Constitución de la República, los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se regirá por los principios de:
(…)
b) Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.
En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.
c) Transparencia.- El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.
Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.
(…)
l) Aplicación favorable al titular.- En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.” (énfasis agregado).
En su artículo 12 ibidem se establece:
“Art. 12.- Derecho a la información.- El titular de datos personales Ztiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre:
1) Los fines del tratamiento;
2) La base legal para el tratamiento;
3) Tipos de tratamiento;
4) Tiempo de conservación;
5) La existencia de una base de datos en la que constan sus datos personales;
6) El origen de los datos personales cuando no se hayan obtenido directamente del titular;
7) Otras finalidades y tratamientos ulteriores;
8) Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluirá: dirección del domicilio legal, número de teléfono y correo electrónico;
9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;
10) Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;
11) Las consecuencias para el titular de los datos personales de su entrega o negativa a ello;
12) El efecto de suministrar datos personales erróneos o inexactos;
13) La posibilidad de revocar el consentimiento;
14) La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas.
15) Los mecanismos para hacer efectivo su derecho a la portabilidad, cuando el titular lo solicite;
16) Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales y la Autoridad de Protección de Datos Personales, y;
17) La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.
En el caso que los datos se obtengan directamente del titular, la información deberá ser comunicada de forma previa a este, es decir, en el momento mismo de la recogida del dato personal.
Cuando los datos personales no se obtuvieren de forma directa del titular o fueren obtenidos de una fuente accesible al público, el titular deberá ser informado dentro de los siguientes treinta (30) días o al momento de la primera comunicación con el titular, cualquiera de las dos circunstancias que ocurra primero. Se le deberá proporcionar información expresa, inequívoca, transparente, inteligible, concisa, precisa y sin barreras técnicas.
La información proporcionada al titular podrá transmitirse de cualquier modo comprobable en un lenguaje claro, sencillo y de fácil comprensión, de preferencia propendiendo a que pueda ser accesible en la lengua de su elección.
En el caso de productos o servicios dirigidos, utilizados o que pudieran ser utilizados por niñas, niños y adolescentes, la información a la que hace referencia el presente artículo será proporcionada a su representante legal conforme a lo dispuesto en la presente Ley” (énfasis agregado).
En este sentido el artículo 67 de la LOPDP menciona lo siguiente:
“Art. 67.- Infracciones leves del Responsable de protección de datos.- Se consideran infracciones leves las siguientes:
(…)
2. No implementar protección de datos desde el diseño y por defecto;
(…)”
Asimismo, el numeral 1 del artículo 68 de la LOPDP establece:
“Art. 68.- Infracciones graves del Responsable de protección de datos.- Se consideran infracciones graves las siguientes:
1) No implementar medidas administrativas, técnicas y físicas, organizativas y jurídicas, a fin de garantizar el tratamiento de datos personales que realice conforme la presente Ley, su reglamento, directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativas sobre la materia; (…)”
De igual manera, el artículo 5 del RGLOPDP menciona lo siguiente:
“Art. 5.- De la recogida del consentimiento.- El responsable de datos personales deberá obtener el consentimiento del titular de conformidad con lo establecido en la Ley Orgánica de Protección de Datos Personales.
En todos los casos en los que de conformidad con la Ley se requiera el consentimiento explícito del titular para el tratamiento de sus datos, el responsable deberá informar previa y detalladamente los tipos de tratamiento, finalidades, el tiempo de conservación, las medidas de protección a adoptarse, las consecuencias de su entrega, entre otros aspectos determinados en la Ley, lo cual deberá ser consentido inequívocamente por el titular.
El consentimiento del titular deberá reflejar de manera indubitada la aceptación de éste en relación con el tratamiento de sus datos personales a través de una declaración, pronunciamiento para darse de baja o clara acción afirmativa. El consentimiento otorgado por el titular deberá ser demostrado por el responsable que lo obtiene, cuando así sea requerido por la autoridad competente.
Cuando los datos personales recogidos pertenecen a un incapaz, bastará con el consentimiento del representante legal debidamente acreditado ante el responsable, en los términos señalados en el presente artículo. El consentimiento de niñas, niños y adolescentes y, en general, de personas incapaces, se obtendrá a través de sus representantes legales y curadores, según lo dispuesto en la Ley Orgánica de Protección de Datos Personales y el Código Civil.
El silencio o la inacción, por sí solos, no presumen el consentimiento del titular.” (énfasis agregado).
Del análisis recabado, se considera que el alcance de la obligación de informar al titular de datos personales, cuando se obtiene la información directamente del titular y el tratamiento se fundamenta en el consentimiento, parte de la comprensión del consentimiento como una manifestación de voluntad que solo puede producir efectos jurídicos válidos cuando el titular ha contado previamente con información suficiente para comprender el tratamiento de datos personales que se propone realizar sobre su información personal. En el régimen de protección de datos personales, el consentimiento no constituye un acto meramente formal ni una aceptación genérica, sino una decisión consciente del titular respecto de un tratamiento concreto.
La LOPDP en su artículo 8 establece criterios específicos para identificar cuándo el consentimiento constituye una expresión auténtica de la voluntad del titular, mediante la cual el titular de datos ejerce control sobre sus datos personales. En este sentido, la Ley determina que el consentimiento constituye la manifestación de la voluntad del titular, siempre que dicha manifestación sea libre, específica, informada e inequívoca.
Ante ello, es necesario analizar cada uno de los criterios establecidos por la LOPDP para tener una noción clara de cuándo un consentimiento se considera válido. Es así que el carácter libre exige que la decisión del titular no se encuentre condicionada por presiones, desequilibrios o cualquier forma de coacción que pueda afectar la formación de su voluntad. El carácter específico implica que el consentimiento se otorgue respecto de cada una de las finalidades determinadas y concretas, y en ninguna circunstancia de manera genérica o indeterminada, de modo que el titular conozca con precisión para qué fines se realizará el tratamiento de sus datos personales. El carácter inequívoco requiere una manifestación clara y fehaciente de la voluntad, que no admita duda ni interpretación, evitando así la presunción de consentimiento a partir de conductas o afirmaciones ambiguas. Finalmente, el carácter informado presupone que el titular haya recibido información suficiente y necesaria para comprender el alcance real del tratamiento de sus datos personales. Es así que la ausencia de cualquiera de estos elementos impide considerar que el consentimiento ha sido válidamente otorgado.
Es así como, de manera concordante con lo previamente analizado, el derecho a la información se consolida en el artículo 12 de la LOPDP y regula el alcance de la noción del derecho de información que ostentan los titulares de datos personales y, por ende, que tiene la obligación tanto responsables como encargados del tratamiento, según corresponda. A través de este derecho, el titular accede a los elementos básicos necesarios para comprender el tratamiento de datos personales y así poder evaluar las consecuencias de autorizarlo o no. Por esta razón, la LOPDP determina el contenido mínimo de dicho derecho mediante la enumeración taxativa de diecisiete (17) criterios mínimos, que permiten al titular conocer las características esenciales del tratamiento de sus datos personales y adoptar una decisión con conocimiento suficiente.
Cuando los datos personales se obtienen directamente del titular, la Ley exige que la información del tratamiento sea proporcionada de forma previa, esto es, en el momento mismo de la recogida de los datos personales, conforme a los términos expresamente establecidos en el artículo 12, de manera que el consentimiento se otorgue sobre la base de información actual y efectiva. Estos aspectos informativos configuran los contenidos mínimos del derecho a la información, en tanto representan el estándar que garantiza que el titular pueda comprender el tratamiento en su conjunto y decidir válidamente sobre sus datos personales. No se trata de un catálogo meramente ejemplificativo, ni descriptivo ni susceptible de selección discrecional, sino de un marco de contenidos mínimos que buscan asegurar la efectividad del derecho a la protección de datos.
Ahora bien, la propia estructura del artículo 12 evidencia que determinados numerales se encuentran condicionados por la norma a circunstancias o situaciones específicas. Así tenemos, el numeral 6 que resulta exigible únicamente cuando los datos personales no se hayan obtenido directamente del titular; mientras que el numeral 9 se aplica cuando, de ser el caso, exista la obligación de designar un delegado de protección de datos personales. En estos supuestos, la exclusión de tales aspectos no responde a una reducción arbitraria de la información, sino a la inaplicabilidad expresamente prevista por la propia Ley, lo que confirma que el deber de informar se proyecta sobre todos los contenidos mínimos que resulten aplicables al caso concreto.
El deber de información constituye una obligación del responsable del tratamiento o encargado del tratamiento, según corresponda. Estos deben garantizar que el titular reciba efectivamente los contenidos mínimos y necesarios de información aplicables en el momento previsto por la LOPDP, como presupuesto necesario para que el consentimiento pueda calificarse como informado. Este entendimiento se vincula estrechamente con lo mencionado en el artículo 10 de la ley, en el cual expresamente se mencionan dos principios fundamentales, el principio de lealtad y transparencia, los cuales se configura su cumplimiento al momento de informar al titular de datos personales sobre el o los tratamientos que se realizarán sobre su información personal. Es así que la lealtad exige que el responsable o encargado del tratamiento, según corresponda, actúe de manera honesta y conforme a las expectativas razonables del titular, lo que implica presentar el tratamiento de forma fiel y completa, sin omisiones que alteren la comprensión real de los elementos que lo integran. El informar únicamente una parte de los aspectos del tratamiento de datos personales, desnaturaliza la decisión del titular y afecta la validez del consentimiento, en tanto construye una visión incompleta que afecta su capacidad de decidir de manera consciente.
Por otro lado, la transparencia exige que el titular pueda entender qué ocurrirá y cómo se manejarán sus datos personales y así, anticipar las consecuencias del tratamiento que se propone realizar. Este principio se materializa cuando la información proporcionada permite al titular comprender el tratamiento en su conjunto y ejercer de forma efectiva su derecho de decisión. La transparencia no se satisface con información mínima o genérica, sino con la comunicación de los contenidos mínimos aplicables que permiten al titular formarse un criterio adecuado sobre el tratamiento de sus datos personales.
Desde esta perspectiva, el artículo 5 del RGLOPDP refuerza la exigencia de que cuando el tratamiento se base en el consentimiento del titular, éste sea informado de manera previa, clara y detallada sobre los aspectos del tratamiento previstos en la Ley, los cuales deben ser aceptados de forma inequívoca. Esta disposición confirma que la obligación de informar se limita a los contenidos mínimos legalmente establecidos y aplicables, y que su observancia constituye un presupuesto indispensable para la validez del consentimiento.
En consecuencia, cuando los datos personales se obtienen directamente del titular y el tratamiento se fundamenta en el consentimiento, la obligación de informar comprende todos los contenidos mínimos del artículo 12 de la LOPDP que resulten aplicables conforme a las condiciones expresamente previstas en la propia norma, sin que se pueda omitir o reducir dicha información por razones distintas a las establecidas en la misma Ley. Solo mediante el cumplimiento efectivo de estos contenidos mínimos, en observancia de los principios de lealtad y transparencia, puede garantizarse que el consentimiento del titular cumpla verdaderamente con la característica de ser informado y que el derecho a la protección de datos personales se ejerza de manera efectiva.
Adicionalmente, es necesario recalcar que el derecho de información de los titulares, si bien se encuentra estrechamente vinculado a la base de legitimación del consentimiento, no se limita a ésta. En consecuencia, aun cuando un tratamiento de datos personales se fundamente en una base de legitimación distinta, ello no exime al responsable del tratamiento del cumplimiento íntegro y obligatorio del derecho de información respecto de los titulares de los datos personales.
En este sentido, esta autoridad reitera el análisis expuesto en el oficio N.º SPDP-IRD-2025-0126-O, mediante el cual se dio respuesta a una consulta formulada por un administrado en relación con la política de privacidad, en el que se señaló lo siguiente:
“(…) En este sentido, todos los responsables y encargados del tratamiento tienen la obligación legal de contar con una política de protección de datos personales que refleje de manera precisa las actividades de tratamiento que llevan a cabo. Esta política constituye un instrumento esencial de cumplimiento normativo, en tanto se configura como el documento base que debe contener, al menos, la información prevista en el artículo 12 de la LOPDP. Su importancia radica en que permite informar de manera clara y transparente al titular de los datos personales, a la Superintendencia de Protección de Datos Personales y, en general, a todos los actores del sistema de protección de datos personales, acerca de las operaciones de tratamiento realizadas por el responsable o encargado, según corresponda, así como los lineamientos jurídicos y organizacionales que rigen dicho tratamiento.
No obstante lo anterior, de conformidad con lo dispuesto en el numeral 4 del artículo 47 de la LOPDP, la obligación prevista en la normativa vigente exige que la política de protección de datos personales esté implementada, disponible y acorde con los tratamientos efectuados, mas no que sea aceptada formalmente por los titulares. Sin embargo, en virtud del principio de transparencia y del derecho a la información, la política debe ser comunicada oportunamente a los titulares, de forma previa o simultánea a la recolección de los datos personales o, en caso de no haber una recolección de datos personales, en el momento previo a que se realice el tratamiento de datos personales. En este sentido, es fundamental el cumplimiento de la política de protección de datos personales acorde a los principios previamente citados. Es así que la política debe estar en un lenguaje claro, accesible y comprensible para el titular de datos personales de quien se vaya a tener acceso a su información, esto quiere decir que, si el titular de datos personales de quien se van a tratar los datos personales es un menor de edad, la política deberá estar escrita en un lenguaje y forma que sea entendible para el menor de edad. Esta exigencia tiene como propósito garantizar que los titulares estén debidamente informados sobre las condiciones bajo las cuales se procesará su información personal, sin que esto implique que su consentimiento expreso deba vincularse a la aceptación de la política en sí misma.
Sin perjuicio de lo anterior, esta Superintendencia tiene conocimiento que diversos regulados optan por solicitar la aceptación explícita de la política de protección de datos como una medida de trazabilidad y evidencia de cumplimiento de la obligación del deber de información que tienen los responsables y encargados del tratamiento frente a los titulares de datos personales. Esta práctica, aunque no es jurídicamente obligatoria, no contraviene la normativa siempre que no se condicione el acceso al servicio o producto a dicha aceptación, ni se confunda dicha aceptación con el consentimiento requerido para el tratamiento de los datos personales. Su finalidad operativa radica en acreditar ante los titulares y ante esta autoridad que la política fue debidamente informada y puesta a disposición, lo cual se alinea con la necesidad de demostrabilidad del cumplimiento contemplada en el principio de responsabilidad proactiva. Por tanto, esta práctica puede ser considerada válida en tanto se mantenga dentro del marco del respeto a los derechos de los titulares y no sustituya las manifestaciones de voluntad requeridas para su validez en los casos en que el tratamiento sí demande el consentimiento cumpliendo las condiciones previstas en la normativa vigente. (…)”
Pronunciamiento
En atención a los términos de la consulta realizada a esta Superintendencia, a través de oficio CJE-GG-2025.0609 y dando respuesta a la consulta planteada por la Consultante se determina lo siguiente:
“¿En el caso de obtener datos personales directamente del titular (Art. 12, párr. 2 LOPDP) y requerir su consentimiento (Art. 8 LOPDP), la obligación de informar al titular abarca de forma taxativa la inclusión de la totalidad de los diecisiete (17) aspectos enumerados en los numerales 1 al 17 del Artículo 12 de la Ley Orgánica de Protección de Datos Personales, o es legítimo que el responsable del tratamiento omita o reduzca la información a un subconjunto de esos puntos en el documento de autorización de tratamiento (consentimiento)?”
Cuando los datos personales se obtienen directamente del titular y el tratamiento se fundamenta en el consentimiento, la obligación de informar no puede cumplirse mediante una selección discrecional o reducción arbitraria de la información. Se debe proporcionar la totalidad de los contenidos mínimos establecidos en el artículo 12 de la LOPDP siempre que estos resulten aplicables, de forma previa a la obtención del consentimiento. Únicamente es legítima la no inclusión de aquellos numerales en que la propia Ley condiciona expresamente su exigibilidad a supuestos específicos como el numeral 6 y 9 del mencionado artículo. Fuera de estos casos, la omisión o reducción de la información que debe proporcionar el responsable o encargado del tratamiento, según corresponda, vulnera los principios de lealtad y transparencia, así como afecta la validez del consentimiento, al impedir que éste sea informado en legal y debida forma.
Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la persona jurídica Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.
Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.
Oficio N° SPDP-IRD-2026-0064-O
Consulta
¿Requieren o no de la designación de un Delegado de Protección de Datos Personales para cumplir con la obligación establecida en el art. 38 del Reglamento General a la Ley Orgánica de Protección de Datos Personales?
Análisis
De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la SPDP en el siguiente sentido:
El numeral 19 del artículo 66 Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:
“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).
El artículo 4 de la LOPDP define lo siguiente:
“Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:
Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.
(…)
Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
(…)
Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
(…)
Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.”
(énfasis agregado).
El artículo 47 de la LOPDP se establece lo siguiente:
“Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a:
1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, Técnicas, físicas, organizativas y jurídicas implementadas;
4) Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;
5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;
6) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;
7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;
8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;
9) Implementar la protección de datos personales desde el diseño y por defecto;
10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;
11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar el derecho a la protección de datos personales conforme a lo establecido en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel nacional o internacional;
12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales;
13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;
14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales; y,
15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.
El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente Ley y su reglamento.” (énfasis agregado).
El artículo 48 de la LOPDP dispone lo siguiente:
“Delegado de protección de datos personales.- Se designará un delegado de protección de datos personales en los siguientes casos:
1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;
2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;
3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y,
4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.
La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.”
(énfasis agregado).
El artículo 49 de la LOPDP indica:
“Art. 49.- Funciones del delegado de protección de datos personales.- El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones:
1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;
4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,
5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.
En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.” (énfasis agregado).
Asimismo, el artículo 50 de la LOPDP establece:
“Art. 50.- Consideraciones especiales para el delegado de protección de datos personales.- Para la ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de tratamiento de datos personales, deberán observar lo siguiente:
1) Garantizar que la participación del delegado de protección de datos personales, en todas las cuestiones relativas a la protección de datos personales, sea apropiada y oportuna;
2) Facilitar el acceso a los datos personales de las operaciones de tratamiento, así como todos los recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones;
3) Capacitar y actualizar en la materia al delegado de protección de datos personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales;
4) No podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones;
5) El delegado de protección de datos personales mantendrá relación directa con el más alto nivel ejecutivo y de decisión del responsable y con el encargado;
6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; y,
7) El delegado de protección de datos personales estará obligado a mantener la más estricta confidencialidad respecto a la ejecución de sus funciones.
Siempre que no exista conflicto con las responsabilidades establecidas en la presente Ley, su reglamento, directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales, el delegado de protección, de datos personales podrá desempeñar otras funciones dispuestas por el responsable o el encargado del tratamiento de datos personales.”
El artículo 38 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) dispone lo siguiente:
“Art. 38.- Registro de actividades de tratamiento.- El responsable del tratamiento que cuente con cien o más trabajadores, llevará un registro de todas las actividades de tratamiento de datos personales que sean de su competencia.
Este registro contendrá la siguiente información:
1. El nombre y los datos de contacto del responsable del tratamiento y, en su caso, del responsable que actúa conjuntamente con el responsable del tratamiento de datos personales, así como el nombre y los datos de contacto del delegado de protección de datos;
2. Los fines del tratamiento;
3. Las categorías de destinatarios a los que se han comunicado o se comunicarán los datos personales;
4. Identificar a los titulares y las categorías de datos personales de los titulares;
5. En su caso, el uso de perfiles;
6. En su caso, definir las transferencias de datos personales a organismos de un tercer país o a una organización internacional;
7. Descripción de las bases legitimadoras que facultan el tratamiento;
8. Los plazos de retención previstos para la supresión o la revisión de la necesidad de conservar las diferentes categorías de datos personales; y,
9. Una descripción general de las medidas técnicas, jurídicas, administrativas y organizativas.
El registro se llevará por escrito o electrónicamente. Los responsables pondrán a disposición de la Autoridad de Protección de Datos Personales los registros de actividades cuando ésta lo solicite.”(énfasis agregado).
El artículo 48 del RGLOPDP dispone lo siguiente:
“Art. 48.- Delegado de protección de datos - El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.
Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas.
El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado.
Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.” (énfasis agregado).
Asimismo, el artículo 52 RGLOPDP establece lo siguiente:
“Art. 52.- Buenas prácticas.- Los responsables o encargados del tratamiento de datos personales, que no se encuentren dentro de las categorías de obligados a designar un delegado de protección de datos, podrán hacerlo de manera voluntaria como un mecanismo de buena práctica y como parte de las medidas de responsabilidad proactiva a adoptar.
En atención a sus necesidades institucionales, los responsables y encargados del tratamiento de datos personales podrán designar un delegado suplente, que actuará en caso de ausencia o impedimento temporal o definitivo del primero.” (énfasis agregado).
La Resolución N° SPDP-SPD-2025-0028-R, expedida el 30 de julio del 2025, y publicada en Registro Oficial N° 105 de 19 de agosto del 2025 la cual emite el Reglamento del Delegado de Protección de Datos Personales, en su artículo 10 menciona lo siguiente:
“Art. 10.- Además de lo establecido en la LOPDP y el RGLOPDP, estarán obligados a designar delegados los responsables o los encargados del tratamiento que tuvieren por objeto o que se dedicaren, de forma habitual, a las siguientes actividades aun cuando no persiguieren fin de lucro:
10.1. Las instituciones de educación inicial, educación general básica, bachillerato, relacionadas con el sostenimiento público, fiscomisional y particular, con modalidad presencial, semi presencial y/o a distancia, o cualquier otra institución que trate datos de menores de edad aunque no lo hiciere dentro del ámbito educativo;
10.2. Las instituciones de educación superior de naturaleza privada o pública, por las diferentes categorías especiales de datos personales que tuvieren que tratar para la ejecución de sus actividades académicas y/o administrativas;
10.3. Toda actividad que conllevare el tratamiento datos personales de categorías especiales relacionadas con menores de edad;
10.4. Las personas jurídicas que realizaren actividades financieras y que, por cualquier motivo, tuvieren acceso o trataren directa o indirectamente datos personales;
10.5. Las personas jurídicas que realizaren operaciones de seguros, compañías o intermediarios de reaseguros, así como los asesores productores de seguros, corredores, agentes y prestadores del sector asegurador;
10.6. Las personas jurídicas que realizaren actividades de publicidad, prospección comercial o investigación de mercados y, que para tales fines, llevaren a cabo tratamientos de datos personales basados en las preferencias, intereses o comportamientos de los titulares, o que implicaren la elaboración de perfiles;
10.7. Los actores del sistema de salud legalmente obligados al mantenimiento de las historias clínicas de los pacientes, a excepción de los profesionales de la salud que ejercieren su profesión de manera particular;
10.8. Los establecimientos del sector farmacéutico que ejecutaren actividades de producción, distribución y comercialización de productos farmacéuticos, así como los laboratorios, las casas de representación de medicamentos, las de distribuidoras farmacéuticas y las farmacias;
10.9. Las personas jurídicas de seguridad privada, así como las personas jurídicas de derecho privado o fideicomisos que administraren urbanizaciones o conjuntos residenciales privados o propiedades horizontales, por el tratamiento de datos personales para el control de accesos;
10.10. Las federaciones o asociaciones deportivas profesionales, sociedades anónimas deportivas, clubes profesionales o academias deportivas;
10.11. Los colegios o gremios de profesionales;
10.12. Las personas jurídicas de derecho privado que prestaren servicios de telecomunicaciones;
10.13. Las personas jurídicas de derecho privado que ofertaren o prestaren servicios de video vigilancia masiva, de geolocalización o de tecnologías de la información, inclusive las dedicadas al desarrollo, implementación o despliegue de inteligencia artificial; y,
10.14. Las personas jurídicas de derecho público o privado que fueren concesionarias de servicios públicos, así como las alianzas público-privadas que distribuyeren, comercializaren y/o suministraren servicios públicos.” (énfasis agregado).
Con base en los artículos previamente citados, se procede a realizar el análisis correspondiente. En este sentido es necesario aclarar que el derecho a la protección de datos personales, reconocido en el numeral 19 del artículo 66 de la Constitución de la República del Ecuador, constituye un derecho fundamental cuyo ejercicio impone obligaciones claras a quienes deciden o ejecutan tratamientos de datos personales. Este mandato constitucional se desarrolla en la LOPDP, que delimita con precisión los roles de responsable, encargado y delegado de protección de datos personales (“DPD”), asignando a cada uno funciones diferenciadas y complementarias.
Desde esta perspectiva, el DPD, conforme a los artículos 4, 48, 49 y 50 de la LOPDP, es una persona natural cuya función principal es asesorar, supervisar y cooperar con la SPDP, actuando como punto de contacto entre ésta y el responsable o encargado del tratamiento. La normativa es consistente al caracterizar su rol como uno de acompañamiento técnico, vigilancia normativa e independencia funcional, y no como un ejecutor directo de las obligaciones materiales que la ley impone al responsable del tratamiento.
En efecto, el artículo 47 de la LOPDP establece de manera expresa que las obligaciones relacionadas con la implementación de medidas, la adopción de políticas, la gestión de riesgos, el registro de actividades de tratamiento y, en general, la demostración del cumplimiento normativo, recaen primordialmente en el responsable del tratamiento, y de forma aplicable, en el encargado del tratamiento. Dentro de este catálogo se incluye la obligación de designar un delegado “en los casos que corresponda”, pero no se traslada al delegado la titularidad de las obligaciones del responsable.
En relación específica con el artículo 38 del RGLOPDP, se observa que la obligación de llevar un registro de actividades de tratamiento (“RAT”) recae exclusivamente en el responsable del tratamiento que cuente con cien o más trabajadores. Si bien dicha disposición establece que el RAT debe incluir, entre otros elementos, los datos de contacto del delegado de protección de datos personales, “en su caso”, ello no implica que la designación de un delegado constituya un requisito previo o habilitante para el cumplimiento de esta obligación, ni que dicho artículo cree un nuevo supuesto de obligatoriedad para la designación de un DPD. Esta referencia responde únicamente a un elemento informativo que deberá incorporarse cuando la designación del delegado sea exigible conforme al artículo 48 de la LOPDP, al artículo 10 de la Resolución N° SPDP-SPD-2025-0028-R o, incluso, cuando, no siendo obligatoria, el responsable o encargado del tratamiento haya optado por designarlo de manera voluntaria, en aplicación del principio de responsabilidad proactiva.
De este modo, la normativa no establece una relación de condicionalidad entre la obligación de llevar el RAT y la designación de un DPD. La obligación de designación del delegado surge únicamente en los supuestos previstos en el artículo 48 de la LOPDP, en el artículo 10 del Reglamento del Delegado de Protección de Datos Personales, mientras que la obligación de registro deriva del tamaño organizacional y de la condición de responsable del tratamiento, conforme al RGLOPDP.
Las tareas que ejecuta el DPD solo serán validan en la medida en que no generen conflictos de interés ni afecten la independencia funcional que la LOPDP y el RGLOPDP garantizan a éste. En consecuencia, esta autoridad aclara que no se requiere necesariamente la designación de un Delegado de Protección de Datos Personales para cumplir con la obligación establecida en el artículo 38 del RGLOPDP, ya que éstas son obligaciones independientes
Pronunciamiento
En atención a los términos de la consulta realizada mediante Oficio S/N de 19 de diciembre de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:
“¿Requieren o no de la designación de un Delegado de Protección de Datos Personales para cumplir con la obligación establecida en el art. 38 del Reglamento General a la Ley Orgánica de Protección de Datos Personales?”
De conformidad con el análisis técnico-jurídico precedentemente expuesto, y en estricto apego a la normativa vigente en materia de protección de datos personales, esta Autoridad establece que la designación de un DPD, por parte de un responsable o encargado del tratamiento, constituye una obligación autónoma e independiente. Dicha designación debe formalizarse siempre que el sujeto obligado se encuentre circunscrito en los supuestos de hecho previstos en la LOPDP, su RGLOPDP, o en los criterios específicos determinados en el artículo 10 de la Resolución N° SPDP-SPD-2025-0028-R.
Por su parte, el cumplimiento de la obligación relativa al RAT se configura como un deber jurídico distinto, cuya exigibilidad para el responsable del tratamiento está supeditada a que este cuente con una nómina de cien (100) o más trabajadores. No obstante, el responsable tiene el imperativo legal de integrar los datos de contacto del DPD dentro del referido RAT en aquellos escenarios donde cuente con dicho oficial; ya sea por imperativo legal al concurrir los supuestos normativos citados, o bien, por haber efectuado la designación de manera voluntaria en ejercicio del principio de responsabilidad proactiva y las buenas prácticas de gobernanza de datos.
Adicionalmente esta autoridad identifica que la Consultante realizó otra pregunta, sin embargo, ésta no versa sobre el inteligenciamiento ni el esclarecimiento de una duda en concreto sobre un artículo o disposición de la normativa de protección de datos personales, por lo que se entiende a ésta como parte de los antecedentes para esclarecer a esta autoridad la pregunta planteada a la cual se ha dado respuesta en el presente oficio.
Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.
Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.
Oficio N° SPDP-IRD-2026-0112-O
Consulta
1. “A la luz del artículo 4 de la LOPDP, ¿Cuál es el criterio determinante para calificar a un tercero como encargado del tratamiento cuando dicho tercero no define autónomamente ni la finalidad ni los medios del tratamiento, sino que se limita a ejecutar operaciones bajo instrucciones específicas del responsable?”
2. “¿Permite el principio de finalidad previsto en el artículo 10 literal d) de la LOPDP que un tercero destinatario de datos personales amplíe o redefina las finalidades del tratamiento sin contar con una base jurídica propia e independiente, distinta de la que legitimó la comunicación original de los datos?”
3. “Según el principio de conservación limitada y los arts. 8 al 11 del Reglamento General, ¿Cuál es el criterio general para determinar el plazo máximo de conservación de datos personales cuando la finalidad del tratamiento es de naturaleza estrictamente temporal?”
4. “A la luz de los arts. 5 y 7 del Reglamento General, ¿Constituye una obligación jurídica imperativa la celebración de un contrato o instrumento de encargo de tratamiento cuando un tercero actúa como encargado por cuenta y bajo instrucciones del responsable?”
Análisis
De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la IRD, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la SPDP en el siguiente sentido:
El numeral 19 del artículo 66 Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:
“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).
El artículo 4 de la LOPDP define lo siguiente:
“Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:
(…)
Destinatario: Persona natural o jurídica que ha sido comunicada con datos personales.
(…)
Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
(…)
Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.” (énfasis agregado).
El artículo 5 de la LOPDP establece lo siguiente:
“Art. 5.- Integrantes del sistema de protección de datos personales.- Son parte del sistema de protección
de datos personales, los siguientes:
1) Titular;
2) Responsable del tratamiento;
3) Encargado del tratamiento;
4) Destinatario;
5) Autoridad de Protección de Datos Personales; y,
6) Delegado de protección de datos personales.” (énfasis agregado)
El artículo 7 de la LOPDP estipula lo siguiente:
“Art. 7.- Tratamiento legítimo de datos personas (sic).- El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:
1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;
2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;
3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente Ley;
4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;
5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;
6) Para proteger intereses vitales del interesado o de otra persona natural, como su vida, salud o integridad;
7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,
8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.”
El artículo 10 de la LOPDP explica:
“Art. 10.- Principios.- Sin perjuicio de otros principios establecidos en la Constitución de la República, los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se regirá por los principios de:
(…)
d) Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.
El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.
(…)
i) Conservación.- Los datos personales serán conservados durante un tiempo no mayor al necesario para cumplir con la finalidad de su tratamiento.
Para garantizar que los datos personales no se conserven más tiempo del necesario, el responsable del tratamiento establecerá plazos para su supresión o revisión periódica.
La conservación ampliada de tratamiento de datos personales únicamente se realizará con fines de archivo en interés público, fines de investigación científica, histórica o estadística, siempre y cuando se establezcan las garantías de seguridad y protección de datos personales, oportunas y necesarias, para salvaguardar los derechos previstos en esta norma.”
El artículo 34 de la LOPDP manifiesta lo siguiente:
“Art. 34.- Acceso a datos personales por parte del encargado.- No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.
El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.
Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.
El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.”
El artículo 35 de la LOPDP establece lo siguiente:
“Art. 35.- Acceso a datos personales por parte de terceros.- No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.
El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.
Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.
El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.”
El artículo 47 de la LOPDP establece lo siguiente:
“Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a:
1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, Técnicas, físicas, organizativas y jurídicas implementadas;
4) Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;
5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;
6) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;
7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;
8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;
9) Implementar la protección de datos personales desde el diseño y por defecto;
10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;
11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar el derecho a la protección de datos personales conforme a lo establecido en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel nacional o internacional;
12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales;
13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;
14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales; y,
15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.
El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente Ley y su reglamento.”
El artículo 4 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) dispone lo siguiente:
“Art. 4.- Definiciones.- Sin perjuicio de lo dispuesto en la Ley, para efectos de la aplicación del presente Reglamento, se establecen las siguientes definiciones:
(…)
6. Tercero: Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.” (énfasis agregado).
El artículo 8 del ibidem dispone lo siguiente:
“Art. 8.- Plazos de conservación de los datos personales.- Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento.
La Autoridad de Protección de Datos regulará los plazos de conservación de datos personales atendiendo las disposiciones aplicables a la materia de que se trate.” (énfasis agregado)
Asimismo, el artículo 9 ibidem establece lo siguiente:
“Art. 9.- Eliminación, bloqueo o anonimización.- Una vez cumplida la o las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o no incurra la necesidad de mantener los datos en virtud del interés legítimo del responsable, o por cumplimiento de una obligación legal que establezca lo contrario, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos en su posesión.
El responsable establecerá procedimientos para la conservación, revisión periódica, eliminación de los datos personales. (énfasis agregado).
El artículo 10 del ibidem manifiesta lo siguiente:
“Art. 10.- Fichero de registro.- El fichero del registro de la base de datos deberá contener obligatoriamente el plazo de conservación de los datos, que deberá observar necesariamente la materia, naturaleza del dato, su tratamiento y finalidad.” (énfasis agregado).
En la misma línea, el artículo 11 del ibidem explica:
“Art. 11.- Eliminación de datos.- Finalizado el plazo de conservación de los datos, el responsable del tratamiento de datos deberá proceder a la eliminación segura de los mismos.
La eliminación de datos personales no aplicará cuando el tratamiento sea necesario en los siguientes supuestos:
1. Por razones de interés público en el ámbito de la salud pública y privada, así como en materia estatal, seguridad, laboral y educación:
2. Para la formulación, el ejercicio o la defensa de reclamaciones.
La Autoridad de Protección de Datos Personales podrá requerir información cuando lo considere necesario. Para el efecto, ajustará los requerimientos a normas, lineamientos sobre plazo de conservación y estándares internacionales sobre la eliminación de datos.”
El artículo 40 ibidem, desarrolla:
“Art. 40.- Encargado.- El encargado del tratamiento deberá ofrecer garantías suficientes para aplicar medidas técnicas, jurídicas, administrativas y organizativas apropiadas para que el tratamiento cumpla con las disposiciones de la Ley garantizando el adecuado tratamiento de los datos personales y la protección de los derechos de los titulares.”
El artículo 41 ibidem establece:
“Art. 41.- De la relación entre responsable y encargado.- La relación entre el responsable del tratamiento y un encargado debe regirse por un contrato escrito, en el cual se detallen las instrucciones encomendadas respecto del tratamiento de datos personales y, al menos, los siguientes aspectos:
1. El objeto;
2. La duración:
3. La naturaleza;
4. La finalidad del tratamiento de los datos;
5. La categoría de los datos personales;
6. Identificar a los titulares de los datos personales tratados; y,
7. Las obligaciones y responsabilidades del encargado.
El encargado del tratamiento deberá respetar las instrucciones que, para el efecto, determine el responsable en cuanto al tratamiento de los datos personales. Para ello, deberá establecer las medidas técnicas y organizativas adecuadas, previo a brindar el servicio, que deberán ser equiparables a aquellas a las que está obligado el responsable en función de los datos y los tipos de tratamiento aplicables, de tal forma que se garantice la protección de datos de los titulares.” (énfasis agregado)
El artículo 43 ibidem establece:
“Art. 43.- Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.” (énfasis agregado).
Con base en los artículos previamente citados, para poder dar contestación a las cuatro preguntas planteadas en la consulta presentada, se procederá a realizar el análisis correspondiente de cada una de ellas en el orden en que fueron formuladas y en concordancia con las consultas previamente absueltas por esta autoridad. Respecto de la primera pregunta, se evidencia una clara incomprensión de la norma ya que la consultante solo cita el artículo de definiciones omitiendo el resto de artículos concordantes y necesarios para poder dar respuesta a su pregunta que son los artículos 34 y 35 de la LOPDP, al igual que el artículo 43 del RGLOPDP, en este sentido se cita lo analizado en la consulta absuelta mediante el oficio N° SPDP-IRD-2025-0096-O:
“Con base en la normativa previamente citada, y para poder esclarecer la aplicación del artículo 34 y 35 de la LOPDP en relación con el artículo 43 del RLOPDP, es necesario determinar los conceptos del responsable del tratamiento, encargado del tratamiento, destinatario y tercero, como punto de partida.
a) Respeto al responsable del tratamiento, el artículo 4 de la LOPDP establece que podrá ser una “persona natural, jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.” Cabe analizar la definición para aclararla respecto a su actuar, pudiendo separarla de la siguiente manera:
i. Que solo o conjuntamente: Este elemento introduce la posibilidad de que la decisión sobre el tratamiento de datos personales no sea exclusiva de un solo sujeto, sino que pueda ser ejercida de forma compartida con otros responsables. Esta redacción reconoce la figura de la responsabilidad conjunta, prevista en la normativa ecuatoriana, mediante la cual dos o más entidades determinan conjuntamente los fines y los medios del tratamiento.
ii. Decide sobre la finalidad: Decidir sobre la finalidad implica que el responsable del tratamiento tiene poder de decisión autónomo o compartido para determinar porqué se recogen los datos personales. Éste es el criterio fundamental que distingue al responsable del tratamiento de otras figuras, como el encargado. El responsable define el “para qué” del tratamiento y, por tanto, asume la responsabilidad principal de que dicho propósito sea lícito, explícito, determinado y compatible con el marco normativo.
iii. Decide sobre el tratamiento: hace referencia a cualquier operación o conjunto de operaciones que se realicen sobre datos personales, tales como su recolección, almacenamiento, consulta, modificación, uso, comunicación o eliminación. El decidir sobre el tratamiento, implica que el responsable tiene control sobre los medios técnicos y organizativos a través de los cuales se lleva a cabo ese tratamiento.
b) Respecto al encargado del tratamiento, el mismo artículo 4 de la LOPDP menciona que es “persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales”. Al igual que lo previamente efectuado, se desglosa la definición para mayor claridad:
i. Que solo o conjuntamente: Este primer componente indica que el tratamiento realizado por el encargado puede llevarse a cabo de forma individual o coordinada con otros encargados, sin que ello implique autonomía en la determinación de la finalidad. El hecho de que el encargado pueda operar “conjuntamente” no lo convierte en responsable conjunto, pues su actuación se encuentra subordinada a las instrucciones del responsable.
ii. Trate datos personales a nombre de: Este texto expresa que el encargado no actúa en nombre propio, sino en representación del responsable, cumpliendo funciones operativas que le han sido delegadas, y por las que ha sido contratado.
iii. Trate datos personales por cuenta de: La expresión “por cuenta de” refuerza la naturaleza instrumental del rol del encargado. El encargado realiza operaciones de tratamiento por delegación o encargo expreso, en virtud de una relación contractual o legal con el responsable. Su intervención es de carácter auxiliar y debe ceñirse al marco de control y supervisión que determine el responsable.
c) Respecto al destinatario el artículo 4 ibídem, se señala que será la “persona natural o jurídica que ha sido comunicada con datos personales”. A continuación, se desglosa la definición para aclarar su alcance:
i. Persona natural o jurídica: Este componente indica que el destinatario puede ser cualquier sujeto individual o colectivo, a diferencia del responsable o encargado, el destinatario no está definido por su rol funcional en el tratamiento, sino por el hecho de haber recibido datos personales como parte de una transferencia o comunicación de datos personales.
ii. Ha sido comunicada: Este factor delimita el alcance del término a quienes han recibido datos personales como parte de una acción de transferencia o comunicación por parte de un responsable o encargado del tratamiento. Es decir, el destinatario no decide sobre la finalidad ni sobre los medios del tratamiento (como el responsable), ni ejecuta operaciones a nombre del responsable (como el encargado); su rol es receptivo, y se configura únicamente por el hecho de recibir datos personales.
d) Respecto al tercero el artículo 4 del RLOPDP menciona que es “[p]ersona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.”. Se analiza el texto de la siguiente manera:
i. Distinto al titular, responsable del tratamiento, encargado del tratamiento y personales autorizadas para tratar los datos bajo la autoridad del responsable: El tercero es definido como cualquier persona natural o jurídica, autoridad pública, servicio u organismo que no sea el titular, el responsable del tratamiento, el encargado del tratamiento ni el personal autorizado bajo la autoridad del responsable. Esta definición, construida por exclusión, delimita claramente a los sujetos externos al círculo de tratamiento legítimo de los datos personales. Es así que, si bien todo destinatario es un tercero, no todo tercero es destinatario, ya que éste último requiere de un acto concreto de comunicación de datos.
Una vez definidos y determinados los alcances reales de los conceptos antes señalado, esta Autoridad estima necesario que los mismos sean interpretados de forma sistémica y en concordancia con el marco normativo vigente en materia de protección de datos personales. Tal interpretación resulta esencial para una aplicación coherente de las disposiciones legales y reglamentarias que rigen esta materia. En este sentido, es imprescindible considerar el ciclo de vida del dato personal como un eje estructural del tratamiento. El ciclo debe observarse de manera integral en todo tratamiento de datos personales, con independencia de su naturaleza o del sector en el que se lleve a cabo, dado que constituye la base sobre la cual se articulan las obligaciones y responsabilidades de los distintos sujetos intervinientes. La correcta comprensión de las etapas que conforman dicho ciclo permite delimitar con precisión el rol que cada actor –sea responsable, encargado, tercero u otro sujeto vinculado al tratamiento– desempeña dentro del sistema de protección de datos personales, así como sus facultades, límites y obligaciones a lo largo de todo el proceso.
Con el propósito de ofrecer mayor claridad al Consultante respecto a esta estructura funcional, se presenta a continuación una representación gráfica de las etapas que integran el ciclo de vida del dato personal, a fin de facilitar su comprensión y aplicación conforme a los principios y deberes previstos en la normativa vigente:
Como se puede observar en el gráfico anterior, el ciclo de vida del dato personal comprende las distintas fases por las que atraviesa desde el momento en que es recolectado hasta su eliminación o anonimización. Cada una de estas fases debe estar sujeta al cumplimiento de los principios rectores del tratamiento y a la implementación de medidas de seguridad, transparencia y licitud, que aseguren el respeto de los derechos de los titulares y la legitimidad del tratamiento. El proceso inicia con la captación o recolección del dato personal, momento en el cual el responsable del tratamiento debe contar con una de las bases legitimadoras que se establecen en el artículo 7 de la LOPDP. Asimismo, debe informar de manera clara al titular sobre las finalidades del tratamiento y garantizar que la información sea obtenida de forma lícita, leal y transparente.
La segunda etapa se da una vez recolectados los datos, éstos pasan al registro y almacenamiento, sea en formato físico o digital, fase en la que se debe asegurar la integridad, confidencialidad y disponibilidad de la información mediante la adopción de medidas técnicas, físicas, legales, administrativas y organizativas apropiadas. El almacenamiento debe ajustarse a los principios de minimización, proporcionalidad y limitación temporal, evitando la conservación excesiva e innecesaria de datos, solamente conservándolos para la finalidad que motivó su recolección. En la tercera etapa, los datos personales ingresan en la fase de uso o tratamiento activo, que abarca cualquier operación que se realice sobre ellos, incluyendo su análisis, modificación, procesamiento, entre otras. En esta etapa, el tratamiento debe responder exclusivamente a la finalidad declarada y contar con controles efectivos que permitan garantizar la trazabilidad. Es en esta etapa donde el responsable del tratamiento puede realizar un encargo de tratamiento de datos personales.
La cuarta etapa, que no se da ni es obligatoria para todos los tratamientos, es la de transferencia o comunicación a terceros. Dicha transferencia deberá contar con las bases legitimadoras correspondientes y, contar con garantías suficientes que aseguren un nivel adecuado de protección de la información tanto en almacenamiento del responsable del tratamiento como en tránsito. Toda comunicación de datos debe documentarse y estar debidamente respaldada por contratos u otros instrumentos que regulen el acceso y uso de la información por parte del tercero que recibe la información.
Superada la fase activa del tratamiento, se pasa a la quinta etapa que es la de conservación. Los datos deben ser conservados únicamente durante el tiempo estrictamente necesario para el cumplimiento de la finalidad que justificó su recolección. Concluido dicho plazo, corresponde al responsable proceder a su eliminación o a su anonimización irreversible, salvo que exista una obligación legal o contractual de conservación posterior. La conservación debe regirse por el principio de proporcionalidad, evitando la retención indefinida de datos que no responden a una finalidad actual, y aplicando técnicas como la seudonimización cuando corresponda. Finalmente, la sexta etapa corresponde a la eliminación del dato personal, que implica su destrucción definitiva o, alternativamente, su anonimización irreversible, de modo que no pueda ser reidentificado por ningún medio razonablemente disponible. Esta etapa puede ser activada por el cumplimiento de los plazos legales de conservación, por el ejercicio del derecho de eliminación del titular, o por el cese de la finalidad del tratamiento. En todos los casos, el procedimiento de eliminación debe garantizar que la información no pueda ser recuperada ni expuesta posteriormente.
Se enfatiza que el enfoque por ciclo de vida del dato personal permite adoptar una visión integral del tratamiento, identificar riesgos en cada etapa y aplicar medidas de seguridad diferenciadas de protección que respondan al nivel de sensibilidad de los datos y a la naturaleza de la operación que se realiza. En dicho sentido es fundamental que durante todo el ciclo de vida del dato se debe mantener una supervisión constante, debido a que el tratamiento de datos personales es dinámico por lo que la mera implementación no implica un cumplimiento total, sino que se debe mantener una auditoría y actualización constante para poder monitorear el flujo de los datos personales.
Ahora bien, habiendo analizado las diferentes figuras y como éstas se ubican en el ciclo de vida del dato, es menester analizar de manera desglosada los artículos 34 y 35 de la LOPDP, previamente citados. Iniciamos con el artículo 34, del cual se obtienen los siguientes elementos:
No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales”.
Prestación de servicio al responsable: “para la prestación de un servicio al responsable del tratamiento de datos personales”.
Acceso legítimo: “El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.”.
Contrato de encargo: “tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato (…) en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.
Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.”.
Responsabilidad: “El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento (…)”.
En este sentido a continuación se procede a realizar el mismo ejercicio con el artículo 35:
No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero”.
Prestación de servicio al responsable: “sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales”.
Acceso legítimo: “El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.”.
Contrato de encargo: “El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento (…) conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.
Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.”.
Responsabilidad: “El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.”.
Es así como, se evidencian varias similitudes entre ambos artículos, de las cuales se destaca que si bien, el primer artículo está dirigido al encargado directamente; y, el segundo, a la figura del tercero, ambos terminan regulando en ambos casos un encargo de tratamiento que es dado por “la prestación de un servicio” al responsable del tratamiento, elemento clave el cual convierte a la relación de las partes en un encargo de tratamiento. De esta manera, se deriva la obligación de eliminación y devolución de los datos personales al responsable del tratamiento una vez finalizada la prestación del servicio, entendiéndose que la supervisión por parte de la autoridad como la posibilidad de desplegar el aparataje institucional en caso de incumplimiento. Consecuentemente se establece la responsabilidad en caso de incumplimiento de las condiciones contractuales establecidas. En este sentido la diferencia de los artículos radica en el momento inicial respecto a quien está dirigido y, del análisis previo se evidencian los siguientes elementos diferenciadores:
Con base en lo previamente señalado, el artículo 35 de la LOPDP debe ser interpretado como una cláusula de reconducción jurídica, en tanto constituye un mecanismo normativo que permite determinar cuándo un tercero que accede a datos personales, en el contexto de la prestación de un servicio al responsable del tratamiento, deja de ser tercero y se convierte en un encargado del tratamiento. Mediante este mecanismo, se busca evitar vacíos de responsabilidad o zonas grises en el tratamiento de datos por parte de sujetos que, si bien formalmente pueden ser considerados terceros, en la práctica brindan un servicio al responsable de tratamiento, convirtiendo el mero acceso a datos personales de dicho responsable del tratamiento, en un encargo de tratamiento. En efecto, el artículo 35 establece un criterio técnico que reconduce la situación jurídica del tercero hacia la figura del encargado cuando concurren determinados elementos: (i) el acceso a los datos personales se produce en virtud de una prestación de servicios a favor del responsable; y, (ii) dicho acceso es necesario para la ejecución del servicio.
Ahora bien, cabe analizar el artículo 43 del RLOPDP el cual establece:
“Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.”
En este sentido se destacan los siguientes elementos claves:
“Responsabilidad del encargado”: el primer requisito para que se pueda aplicar este artículo es que debe tener la calidad de encargado. Tanto en los artículos 34 y 35, se constituye un encargo de tratamiento; y, por lo tanto, el artículo 43 del RLOPDP es aplicable.
“El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento”: de acuerdo con este elemento, en el caso que el encargado por cualquier causa - la cual en TODO momento debe ser legítima - decida sobre los fines y medios de un nuevo tratamiento, se considerará responsable para dichas finalidades. Sin embargo, en este punto cabe recalcar que, al ostentar la calidad de responsable de tratamiento para dichas finalidades, éste deberá necesariamente contar con una de las bases legitimadoras establecidas en el artículo 7 para que se considere legítimo y legal dicho tratamiento.
“En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas.”: este elemento debe entenderse en armonía con las definiciones dadas por la normativa y el artículo 34, 35 de la LOPDP, en este sentido se entiende que todos los artículos están en armonía debido a que el tratar los datos personales en nombre y cuenta de implica que debe haber una relación contractual entre las partes. Por ende, el que el artículo 34 y 35 mencionen que se configura un encargo al prestar un servicio al responsable del tratamiento por parte del encargado comprende que en la acción de prestar el servicio lo hace a nombre y por cuenta del responsable del tratamiento,
Ahora bien, cabe analizar el artículo 43 del RLOPDP el cual establece:
Con base en el análisis previamente realizado se establece que tanto las definiciones establecidas por la normativa como los artículos 34 y 35 de la LOPDP y el 43 del RLOPDP, no se contradicen y se entienden de manera armónica, donde se señala que el artículo 34, como lo mencionó una de las personas jurídicas a quien se solicitó criterio jurídico es, “la columna vertebral de la regulación para definir a un encargado del tratamiento”. Mientras que el artículo 35 es el artículo que busca evitar vacíos de responsabilidad en casos donde terceros, que acceden a datos personales en el marco de un servicio al responsable, configurando en la práctica una relación de encargo. En este sentido, se establece que los artículos se relacionan y, como mencionaba una de las personas jurídicas a quien se le solicitó opinión jurídica, el artículo 43 del RLOPDP complementa la relación jurídica entre el responsable y el encargado del tratamiento.
Sin embargo, se aclara que una misma persona natural o jurídica, pública o privada, autoridad pública u otro organismo puede ostentar la figura de responsable del tratamiento frente a unas finalidades específicas y de encargado del tratamiento frente a otras finalidades específicas. Es así que, en ocasiones puede ostentar la calidad de encargado del tratamiento para datos personales que ha tenido acceso por prestar un servicio a un responsable del tratamiento, pero se considerará responsable del tratamiento de esos mismos datos personales para otra finalidad legítima a la cual destine los mismos. Por ejemplo, en el caso de que, por una obligación legal, deba conservar dicha información, caso en el cual inicia su propio ciclo de vida del dato. Empero, en dicha relación en ningún momento se pierde la calidad de encargado del tratamiento frente al responsable del tratamiento inicial quien lo contrató para que preste un servicio específico determinado, teniendo que cumplir con todas las disposiciones normativas de protección de datos personales. Es así que, se deberá devolver los datos personales que le hayan sido proporcionados relativos a las finalidades del encargo, pero los datos personales legitimados para sus finalidades propias que ya constan en su propio ciclo de vida del dato pueden ser conservados hasta cumplir con la finalidad de ese ciclo de vida específico.
Adicionalmente, esta Autoridad recalca y enfatiza los siguientes puntos: primero, que la “prestación de un servicio” comprende la acción de realizar dicho servicio a nombre y cuenta del responsable del tratamiento. Segundo, que el encargado del tratamiento que es contratado por el responsable del tratamiento, la mayoría de las veces –si no es en todas- se dedica a un giro de negocio distinto, por esto mismo es contratado; sin embargo, el hecho de que este preste sus servicios que evidentemente son propios, no se puede interpretar como sus propias finalidades. Por lo tanto, el encargado que sea contratado para dar un servicio no puede absorber la base de datos del responsable del tratamiento para intereses propios como, por ejemplo, alimentar su propia base de datos para generar prospección. Tercero, en caso de que, por “cualquier causa” el encargado determine los fines y medios del tratamiento, este último deberá ser legítimo, esto es que debe cumplir con una base legitimadora y demás obligaciones establecidas en la normativa de protección de datos personales para el responsable del tratamiento.”
En consecuencia, el criterio determinante para calificar a un tercero como encargado del tratamiento es la ausencia de autonomía decisoria sobre la finalidad y los medios del tratamiento, sumada a la ejecución de operaciones bajo instrucciones del responsable y en su beneficio. Si el sujeto actúa exclusivamente bajo dichas instrucciones y no determina por sí mismo los fines ni los medios esenciales del tratamiento, debe ser considerado encargado. Por el contrario, si asume decisiones propias sobre tales elementos, adquirirá la condición de responsable respecto del tratamiento específico, conforme al artículo 43 del RGLOPDP.
En relación con la segunda pregunta, se consulta si el principio de finalidad permitiría que un tercero redefina o amplíe las finalidades del tratamiento originalmente determinadas por el responsable, sin contar con una base de legitimación que lo sustente. Al respecto, esta autoridad considera pertinente señalar que la normativa en materia de protección de datos personales debe interpretarse y aplicarse de manera sistemática e integral. En ese sentido, se precisa que la normativa vigente no contempla la posibilidad de ampliar o redefinir finalidades sin que medie la correspondiente base de legitimación. Por lo expuesto, y en atención a la presente consulta, esta autoridad se remite al análisis desarrollado previamente en el oficio N° SPDP-IRD-2025-0096-O, citado en la respuesta a la pregunta anterior.
Es así que, conforme a la definición contemplada en el marco normativo de protección de datos personales sobre la figura de tercero, si este tercero decide utilizar los datos para fines propios se convierte en responsable y, si el tercero actúa bajo el supuesto contemplado en el artículo 35 de la LOPDP, se convierte en encargado del tratamiento. En cada uno de los casos deberá cumplir con las obligaciones respectivas correspondientes mencionadas en la normativa de protección de datos personales.
Respecto a la tercera pregunta, el literal i del artículo 10 de la LOPDP consagra el principio de conservación, conforme al cual los datos personales no deben conservarse por un plazo superior al estrictamente necesario para el cumplimiento de la finalidad que justificó su tratamiento. Este principio es desarrollado en los artículos 8, 9, 10 y 11 del RGLOPDP, los cuales establecen que, una vez cumplida la finalidad, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos, salvo que exista una obligación legal o causa legítima que justifique su conservación ulterior.
No obstante, la normativa vigente no establece parámetros objetivos ni plazos máximos predeterminados que permitan fijar, de manera abstracta y general, un límite temporal específico para tratamientos cuya finalidad sea de naturaleza estrictamente temporal. El Reglamento General prevé que la SPDP podrá regular plazos de conservación atendiendo a la materia de que se trate; sin embargo, a la fecha, no se ha emitido una regulación específica que determine criterios adicionales o plazos concretos aplicables a este supuesto.
En este sentido, de conformidad con el artículo 5.3.2 del Reglamento de Consultas, la SPDP no puede emitir pronunciamiento sobre materias que no hayan sido aún objeto de regulación específica por parte de esta autoridad. Por consiguiente, esta Intendencia General se abstiene de establecer un criterio adicional. Y, de manera concordante se cita lo mencionado en el análisis de la consulta absuelta en oficio N° SPDP-IRD-2026-0001-O donde se menciona lo siguiente:
“Esta autoridad precisa que, a la fecha, no se ha emitido una normativa específica que establezca plazos concretos y uniformes de conservación de datos personales en ningún tipo de tratamiento. No obstante, ello no exime a los responsables del tratamiento del cumplimiento del marco constitucional y legal vigente, el cual proporciona criterios suficientes para determinar, caso a caso, plazos razonables de conservación. En este sentido, deben observarse las disposiciones contenidas en los artículos 7, 8, 9 y 11 del RGLOPDP, que desarrollan el principio de limitación del plazo de conservación y obligan a eliminar, bloquear o anonimizar los datos personales una vez cumplida la finalidad que justificó su tratamiento, salvo que concurra una obligación legal o causa legítima que justifique su conservación ulterior.”
Respecto a la cuarta pregunta, ésta plantea la interrogante de si a la luz del artículo 5 y 7 de la LOPDP se debe celebrar un contrato de encargo de tratamiento cuando un tercero actúa como encargado. Ante esto esta autoridad, se remite nuevamente al análisis previamente citado en la primera pregunta. Por lo que, se recalca que cuando un tercero accede a datos personales para prestar un servicio al responsable y actúa por cuenta y bajo sus instrucciones, el artículo 35 de la LOPDP establece que ese sujeto pasa a ser considerado encargado del tratamiento y que dicha actuación debe estar regulada mediante contrato y, adicionalmente al ser considerado encargado del tratamiento por ostentar dicha calidad, adquiere todas las obligaciones y responsabilidades acordes a su posición. En este sentido, la formalización contractual no es una recomendación, sino una condición normativa para que el acceso y tratamiento resulten conformes a la LOPDP.
El contrato cumple una función delimitadora esencial, fija las instrucciones, determina las finalidades autorizadas, prohíbe usos distintos y establece obligaciones específicas del encargado. El RGLOPDP, en sus artículos 40 y 41, refuerza esta exigencia al disponer que la relación debe regirse por contrato escrito y que el encargado debe ofrecer garantías suficientes para cumplir con la LOPDP. Adicionalmente, el numeral 2 del artículo 47 de la LOPDP impone al responsable el deber de implementar herramientas jurídicas apropiadas para garantizar y demostrar el cumplimiento normativo, siendo el contrato de encargo una de esas herramientas, en consecuencia, la celebración del contrato no es facultativa, sino una obligación jurídica imperativa. Su ausencia implicaría incumplir una exigencia expresa de la LOPDP y su RGLOPDP y debilitaría la posibilidad de demostrar que el tratamiento se realiza conforme al marco normativo vigente
Pronunciamiento
En atención a los términos de la consulta realizada mediante Oficio S/N de 31 de diciembre de 2025, y subsanado el 19 de enero de 2026 del análisis realizado y dando respuesta a la consulta planteada por la Consultante se determina lo siguiente:
1. “A la luz del artículo 4 de la LOPDP, ¿Cuál es el criterio determinante para calificar a un tercero como encargado del tratamiento cuando dicho tercero no define autónomamente ni la finalidad ni los medios del tratamiento, sino que se limita a ejecutar operaciones bajo instrucciones específicas del responsable?”
El criterio determinante para calificar a un tercero como encargado del tratamiento es la ausencia de autonomía decisoria sobre la finalidad y los medios del tratamiento. Cuando un sujeto actúa para prestar un servicio al responsable del tratamiento se entiende que esto se realiza a nombre y por del responsable, limitándose a ejecutar operaciones conforme a lo previamente determinado por éste, deja de encuadrarse en la figura de tercero en sentido técnico y pasa a ser considerado encargado del tratamiento. Si determina fines o medios propios respecto de un tratamiento, asumirá la calidad de responsable conforme a la normativa aplicable.
2. “¿Permite el principio de finalidad previsto en el artículo 10 literal d) de la LOPDP que un tercero destinatario de datos personales amplíe o redefina las finalidades del tratamiento sin contar con una base jurídica propia e independiente, distinta de la que legitimó la comunicación original de los datos?”
El principio de finalidad no permite que se amplíe o redefina las finalidades del tratamiento. En caso de que una persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente decida poner sus finalidades propias a un determinado tratamiento este pasa a ser considerado responsable, por lo tanto debe cumplir con todas las obligaciones del mismo, esto incluye, contar con una base legitimadora propia e independiente distinta de aquella que legitimó la comunicación original de los datos. Cualquier utilización para fines distintos constituye un tratamiento nuevo que debe encontrarse respaldado por una base de legitimación, en ausencia de esta, el tratamiento carece de sustento jurídico y deviene ilícito.
3. “Según el principio de conservación limitada y los arts. 8 al 11 del Reglamento General, ¿Cuál es el criterio general para determinar el plazo máximo de conservación de datos personales cuando la finalidad del tratamiento es de naturaleza estrictamente temporal?”
El criterio general para determinar el plazo de conservación es que los datos personales se mantengan únicamente durante el tiempo estrictamente necesario para cumplir la finalidad que motivó su tratamiento en cada caso específico.
4. “A la luz de los arts. 5 y 7 del Reglamento General, ¿Constituye una obligación jurídica imperativa la celebración de un contrato o instrumento de encargo de tratamiento cuando un tercero actúa como encargado por cuenta y bajo instrucciones del responsable?”
Sí, constituye una obligación jurídica imperativa la celebración de un contrato de encargo cuando actúa a nombre y por cuenta del responsable y esto también se entiende cuando le brinda un servicio a este último. El marco legal aplicable exige que dicha relación se formalice contractualmente, a fin de delimitar las instrucciones, las finalidades autorizadas y las obligaciones del encargado, garantizando el cumplimiento del marco normativo aplicable.
Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.
Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.
Oficio N° SPDP-IRD-2026-0127-O
Consulta
“¿La obligación de designar un Delegado de Protección de Datos, prevista en el artículo 10, numeral 14 del Reglamento del Delegado de Protección de Datos Personales, resulta también aplicable a personas jurídicas de derecho privado que prestan servicios públicos bajo esquemas distintos a la concesión o a la alianza público-privada, específicamente mediante autorizaciones o delegaciones como un acuerdo ministerial u otros actos del poder público; o, debe entenderse limitada a los supuestos expresamente previstos en la citada disposición?”
Análisis
De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la IRD, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la SPDP en el siguiente sentido:
El numeral 19 del artículo 66 Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:
“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).
El artículo 313 ibidem establece:
“Art. 313.- El Estado se reserva el derecho de administrar, regular, controlar y gestionar los sectores estratégicos, de conformidad con los principios de sostenibilidad ambiental, precaución, prevención y eficiencia.
Los sectores estratégicos, de decisión y control exclusivo del Estado, son aquellos que por su trascendencia y magnitud tienen decisiva influencia económica, social, política o ambiental, y deberán orientarse al pleno desarrollo de los derechos y al interés social.
Se consideran sectores estratégicos la energía en todas sus formas, las telecomunicaciones, los recursos naturales no renovables, el transporte y la refinación de hidrocarburos, la biodiversidad y el patrimonio genético, el espectro radioeléctrico, el agua, y los demás que determine la ley”.
El artículo 316 ibidem dispone:
“Art. 316.- El Estado podrá delegar la participación en los sectores estratégicos y servicios públicos a empresas mixtas en las cuales tenga mayoría accionaria. La delegación se sujetará al interés nacional y respetará los plazos y límites fijados en la ley para cada sector estratégico.
El Estado podrá, de forma excepcional, delegar a la iniciativa privada y a la economía popular y solidaria, el ejercicio de estas actividades, en los casos que establezca la ley.”
El artículo 4 de la LOPDP define lo siguiente:
“Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:
Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
(…)
Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.
(…)
Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.” (énfasis agregado).
El artículo 47 de la LOPDP establece lo siguiente:
“Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a:
1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, Técnicas, físicas, organizativas y jurídicas implementadas;
4) Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;
5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;
6) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;
7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;
8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;
9) Implementar la protección de datos personales desde el diseño y por defecto;
10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;
11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar el derecho a la protección de datos personales conforme a lo establecido en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel nacional o internacional;
12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales;
13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;
14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales; y,
15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.
El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente Ley y su reglamento.” (énfasis agregado).
El artículo 48 ibidem establece:
“Delegado de protección de datos personales.- Se designará un delegado de protección de datos personales en los siguientes casos:
1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;
2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;
3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y,
4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.
La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.” (énfasis agregado).
El artículo 49 ibidem dispone:
“Funciones del delegado de protección de datos personales.- El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones:
1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;
4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,
5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.
En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.”
El artículo 48 del RGLOPDP indica lo siguiente:
“Art. 48 .- Delegado de protección de datos - El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.
Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas.
El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado.
Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.”
El artículo 221 del Reglamento de Eficiencia Económica y Generación de Empleo (“RELEEG”) ibidem establece:
“Art. 221.- Definiciones.- Para fines de la Ley APP, este libro y demás normativa APP los conceptos que constan a continuación, tendrán el significado que se indica:
(…)
Contrato, Contrato de Asociación Público-Privada, Contrato APP o Contrato de Gestión delegada: Es el acuerdo de voluntades jurídicamente vinculante, regulado por el Derecho Administrativo, celebrado entre una Entidad Delegante y un Gestor Privado, que establece obligaciones y derechos para las partes intervinientes,
(…)
19. Entidad Delegante: Son todas las entidades del sector público previstas en el artículo 225 de la Constitución de la República, que son titulares de la competencia vinculada a la provisión de infraestructura pública o prestación de los Servicios Públicos cuya facultad de gestión va a ser delegada al sector privado o a la economía popular y solidaria, y que intervienen en el Contrato APP en representación del Estado, excepto las empresas públicas, que en ningún caso podrán actuar como Entidades Delegantes, sin perjuicio de ejercer sus facultades asociativas conforme la legislación aplicable;
(…)
21. Gestión delegada: Se refiere a una forma de colaboración contractual entre el sector público y privado para lograr objetivos de interés público, que combina los recursos y habilidades de ambos sectores para llevar a cabo proyectos para la prestación de Servicios Públicos o gestión de sectores estratégicos, de conformidad con la Ley aplicable.”
El artículo 223 ibidem expone:
“Art. 223.- De las Asociaciones Público -Privadas.- En los términos de la Ley APP, la Asociación Público-Privada ("APP"), es una modalidad contractual de gestión delegada de largo plazo entre una Entidad Delegante y un Gestor Privado, en la que se incorpora la experiencia, conocimientos, equipos, tecnologías y capacidades técnicas y financieras del sector privado, con el fin de diseñar, financiar, construir, mejorar, operar y mantener un activo público nuevo o existente, y/o proveer el mantenimiento, administración, suministro, gestión o prestación de un Servicio Público. El Contrato podrá incluir todas o algunas de las actividades señaladas anteriormente. En una APP se distribuyen riesgos entre las partes y se asignan riesgos significativos al Gestor Privado, conforme al Perfil de riesgos del proyecto. La contraprestación del Gestor Privado está ligada al desempeño, cumplimiento de los Niveles de Servicio y /o disponibilidad del activo bajo los estándares de calidad y eficiencia establecidos en el Contrato.”
El artículo 323 ibidem dispone:
Art. 323.- Sistema de cumplimiento de Contratos APP.- La Entidad Delegante deberá implementar un sistema de supervisión de Contratos APP, y aprobar el correspondiente manual de supervisión en su sector, con anterioridad al inicio de la vigencia de los Contratos APP. Asimismo, deberá implementar dentro de su estructura interna, un equipo técnico responsable de la administración y gerencia del Contrato APP, que ejerza las atribuciones y funciones establecidas en el Pliego de Bases y el Contrato APP, así como gestionar y coordinar el cumplimiento de las obligaciones contractuales a cargo de la Entidad Delegante conforme al Contrato APP.
El equipo administrador del contrato de la Entidad Delegante deberá estar en la capacidad de hacer el seguimiento a la correcta ejecución y cumplimiento de las obligaciones asumidas por las partes, emitir los respectivos informes periódicos de seguimiento y desempeño, así como aplicar las penalidades contractuales y sanciones administrativas en caso de incumplimiento del Gestor Privado, sin perjuicio de las funciones de las entidades que tengan competencia para regular el Servicio Público objeto del contrato.
La Entidad Delegante es la responsable de establecer las metodologías que permitan verificar con objetividad el cumplimiento de los indicadores de gestión, Niveles de Servicio y estándares de desempeño por parte del Gestor Privado, de conformidad con el Pliego de Bases y el Contrato APP. Además, la Entidad Delegante deberá implementar la metodología para el seguimiento periódico de Riesgos Ambientales y Medición de Huella de Carbono, de conformidad con las disposiciones emitidas por la Autoridad Ambiental Nacional. En ejercicio de sus atribuciones, la Entidad Delegante podrá designar supervisores e inspectores que podrán ingresar al área de desarrollo del proyecto y requerir información al Gestor Privado sobre la ejecución del Proyecto APP. Impedir o interferir en las labores a cargo de los inspectores o supervisores acarrea la imposición de sanciones al Gestor Privado.”
El artículo 6 del Reglamento Delegación de Gestión, Autorización a Empresas Públicas (“RDGAEP”) establece:
“Art. 6.- Modalidades de Delegación.- Son formas jurídicas aplicables a la delegación para las Administraciones Públicas, las siguientes modalidades: Concesión a Sujetos de Derecho Privado, Empresas Mixtas o Empresas de Propiedad Estatal de países que formen parte de la comunidad internacional; y, Asociación Público-Privada.
a) Modalidad de Concesión.- Es una modalidad de delegación, por la que el MTOP, tiene por objeto transferir temporalmente la facultad de proveer y gestionar de manera integral un servicio público o proyecto público a Sujetos de Derecho Privado, Empresas Mixtas o Empresas de Propiedad Estatal de países que forman parte de la comunidad internacional, bajo un esquema de exclusividad regulada a través de planificación, diseño, gestión técnico operacional, financiamiento, construcción, ampliación, rehabilitación, mejoramiento o conservación de infraestructura, facilidades y equipamientos preexistentes, a cambio de una retribución para el sujeto de derecho privado, empresa mixta o empresa de propiedad estatal de los países que forman parte de la comunidad internacional como forma de recuperación de la inversión realizada y el riesgo asumido, sin ser susceptible de acceder a incentivos tributarios.
b) Modalidad de Asociación Público-Privada.- Se define por asociación público-privada la modalidad de gestión delegada por la que el MTOP encomienda de forma temporal al gestor privado, la ejecución de un proyecto público específico y su financiamiento total o parcial, para la provisión de bienes, obras o servicios a cambio de una contraprestación por su inversión, riesgo y trabajo, de conformidad con los términos, condiciones, límites y más estipulaciones previstas en el contrato de gestión delegada, y es susceptible de acceder a incentivos tributarios. Dicha modalidad se encuentra establecida en la Ley Orgánica de Incentivos para Asociaciones Público Privadas y la Inversión Extranjera, su Reglamento y todas las guías generales, notas técnicas, políticas y lineamientos expedidos por el Comité Interinstitucional de Asociaciones Público Privadas.
Para la sustanciación de procesos de delegación bajo la modalidad de Asociación Público Privada "APP", se aplicará lo establecido en el Decreto Ejecutivo Nro. 1190, de 17 de noviembre de 2020, publicado en el Registro Oficial Registro Oficial Nro. 333, de 19 de noviembre de 2020, Reglamento para Asociaciones Público Privadas.”
El artículo 7 ibidem establece:
“Art. 7.- Autorización de Servicios Públicos.- Se define por Autorización la que el Estado Central a través del Ministerio de Transporte y Obras Públicas y sus Entidades Adscritas, dentro del ámbito de su competencia, pueden otorgar a las empresas públicas ecuatorianas para que realicen la prestación de los servicios públicos.”
El artículo 9 de la Resolución N° SPDP-SPD-2025-0028-R manifiesta:
“Art. 9.- Cuando el responsable o el encargado del tratamiento perteneciere al sector público, en los términos del artículo 225 de la CRE, estará obligado a designar un delegado de protección de datos de conformidad con los requisitos establecidos en la normativa vigente.
La SPDP, mediante resolución administrativa debidamente motivada, podrá determinar, calificar y autorizar cuáles son los casos en los que los organismos, entidades y dependencias del sector público podrán aplicar un régimen distinto para la designación del delegado y la forma de ejercer de sus funciones; ello de conformidad con la estructura administrativa establecida en la Constitución de la República del Ecuador o por atribuciones conferidas por una norma con rango de ley, con objetivo de garantizar el cumplimiento de la LOPDP, el RGLOPDP y demás normativa vigente en la materia.
En ningún caso se podrá sacrificar la garantía a los derechos y la protección de los datos personales de los titulares por la falta de designación del delegado de protección de datos personales”.
En el numeral 14 del artículo 10 de la ibidem manifiesta:
“Art. 10.- Además de lo establecido en la LOPDP y el RGLOPDP, estarán obligados a designar delegados los responsables o los encargados del tratamiento que tuvieren por objeto o que se dedicaren, de forma habitual, a las siguientes actividades aun cuando no persiguieren fin de lucro:
(…)
10.14. Las personas jurídicas de derecho público o privado que fueren concesionarias de servicios públicos, así como las alianzas público-privadas que distribuyeren, comercializaren y/o suministraren servicios públicos.” (énfasis agregado).
La consulta requiere determinar el alcance del numeral 14 del artículo 10 de la Resolución Nº SPDP-SPD-2025-0028-R, esto es, si la obligación de designar un Delegado de Protección de Datos (“DPD”) se limita a concesionarias de servicios públicos y a Alianzas Público-Privadas, o si debe extenderse a otras personas jurídicas privadas que presten servicios públicos bajo esquemas distintos, tales como autorizaciones o delegaciones instrumentadas mediante actos administrativos.
Por su parte, el artículo 313 CRE dispone que el Estado se reserva la administración, regulación y control de los sectores estratégicos y servicios públicos; y el artículo 316 CRE permite que su gestión sea delegada a empresas mixtas y, excepcionalmente, a la iniciativa privada, en los casos previstos por la ley. De ello se desprende que la titularidad del servicio público permanece en el Estado, aun cuando su gestión pueda ser transferida temporalmente a sujetos privados mediante distintos mecanismos jurídicos.
En desarrollo de esta habilitación, el ordenamiento distingue figuras como la concesión y la asociación público-privada (“APP”), que constituyen modalidades contractuales de gestión delegada, conforme al artículo 6 del RDGAEP y a los artículos 221 y 223 del RELEEG. Estas modalidades comparten un elemento estructural: la existencia de un contrato administrativo que formaliza la transferencia temporal de la gestión del servicio al gestor privado.
Ahora bien, en materia de protección de datos personales, la obligación de designar un DPD no se activa por el mero hecho de prestar un servicio público, sino únicamente en los casos previstos en la LOPDP y en la Resolución Nº SPDP-SPD-2025-0028-R. El artículo 48 LOPDP establece los supuestos generales en los que debe designarse DPD, entre ellos, cuando el tratamiento sea realizado por quienes conforman el sector público; cuando las actividades del responsable o encargado requieran un control permanente y sistematizado por su volumen, naturaleza o alcance; o cuando se trate de tratamiento a gran escala de categorías especiales de datos de acuerdo con lo establecido en el numeral 7 del artículo 4 del RGLOPDP y la Resolución N° SPDP-SPD-2026-0005-R.
En este mismo sentido, el artículo 9 de la Resolución Nº SPDP-SPD-2025-0028-R impone la obligación de contar con un DPD cuando el responsable o encargado pertenezca al sector público en los términos del artículo 225 CRE. Y, el numeral 14 del artículo 10 de esta misma resolución, establece una obligación específica para concesionarias de servicios públicos y alianzas público-privadas que distribuyan, comercialicen o suministren servicios públicos.
De la lectura sistemática de estas disposiciones se desprende que la Resolución Nº SPDP-SPD-2025-0028-R adopta una enumeración taxativa respecto de los supuestos adicionales en los que se exige la designación de DPD. En consecuencia, no toda forma de participación privada en la prestación de servicios públicos queda comprendida automáticamente en el numeral 14 del artículo 10. Una persona jurídica privada que preste servicios públicos bajo esquemas distintos de concesión o APP no se encuentra incluida, por ese solo hecho, en los supuestos expresamente previstos en el artículo 9 ni en el numeral 14 del artículo 10 de la Resolución Nº SPDP-SPD-2025-0028-R, y con ello no podrá comprenderse la obligación de designación de delegado de manera automática. No obstante, ello no excluye que dicha persona jurídica pueda estar obligada a designar DPD si concurriere alguna de las demás causales previstas en el marco legal en materia de protección de datos personales, previamente señaladas.
En consecuencia, la determinación no debe centrarse en la sola condición de prestador de un servicio público, sino en verificar si el caso concreto encaja en alguno de los supuestos legales y reglamentarios expresamente establecidos en la normativa de protección de datos personales para la designación del DPD.
Pronunciamiento
En atención a los términos de la consulta realizada mediante Oficio S/N de 8 de enero de 2026, del análisis realizado y dando respuesta a la consulta planteada por la Consultante se determina lo siguiente:
1. “¿La obligación de designar un Delegado de Protección de Datos, prevista en el artículo 10, numeral 14 del Reglamento del Delegado de Protección de Datos Personales, resulta también aplicable a personas jurídicas de derecho privado que prestan servicios públicos bajo esquemas distintos a la concesión o a la alianza público-privada, específicamente mediante autorizaciones o delegaciones como un acuerdo ministerial u otros actos del poder público; o, debe entenderse limitada a los supuestos expresamente previstos en la citada disposición?”
La obligación prevista en el numeral 14 del artículo 10 de la Resolución Nº SPDP-SPD-2025-0028-R es aplicable de manera expresa y directa únicamente a las personas jurídicas de derecho público o privado que fueren concesionarias de servicios públicos y a las alianzas público-privadas que distribuyan, comercialicen o suministren servicios públicos. En consecuencia, las personas jurídicas privadas que presten servicios públicos bajo esquemas distintos de concesión o asociación público-privada no se encuentran comprendidas automáticamente en el supuesto previstos del artículo 10, ni podrá comprenderse como obligado por el artículo 9 de la misma resolución. En ese sentido, corresponde precisar que la obligación de designar y registrar un DPD no deriva de una declaración de esta autoridad, sino de la verificación objetiva de los supuestos previstos en la normativa vigente, cuyo análisis y aplicación compete exclusivamente a cada responsable o encargado del tratamiento.
Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.
Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.
Oficio N° SPDP-IRD-2026-0004-O
Consulta
1. “ De conformidad con el numeral 2 del artículo 48 de la Ley Orgánica de Protección de Datos Personales y el artículo 53 de su Reglamento General, ¿el tratamiento de datos personales identificativos y de contacto que se realiza de manera continua o recurrente, por el solo hecho de ser necesario para la ejecución de obligaciones legales o contractuales derivadas de normativa sectorial, configura por sí mismo un “control permanente” que obligue a la designación de un Delegado de Protección de Datos Personales?
2. ¿En aplicación del artículo 53 del Reglamento General a la LOPDP, ¿el tratamiento de datos personales que se encuentra preestablecido y organizado en función de procedimientos administrativos regulados por normativa especial puede considerarse automáticamente como un “control sistematizado”, o debe analizarse adicionalmente la existencia de un plan general de recogida de datos, estrategia de tratamiento o finalidad autónoma distinta del cumplimiento normativo?
3. Para efectos de lo previsto en el numeral 2 del artículo 48 de la LOPDP, ¿el concepto de “control permanente y sistematizado” implica necesariamente la existencia de monitoreo, evaluación o seguimiento de comportamiento de los titulares, o basta con que el tratamiento sea habitual dentro del giro ordinario de la actividad del responsable?.
4. Conforme al numeral 3 del artículo 48 de la LOPDP y a los supuestos ejemplificativos establecidos en el Reglamento General, ¿el tratamiento de datos personales de carácter identificativo y de contacto que permiten la identificación o comunicación con el titular, necesarios para la prestación de servicios regulados por normativa sectorial, puede equipararse a los supuestos de tratamiento a gran escala previstos en el Reglamento (tales como instituciones financieras, aseguradoras, servicios de telecomunicaciones o sistemas de salud)?
5. El tratamiento de datos personales de carácter identificativo y de contacto que permiten la identificación o comunicación con el titular, que no constituyen categorías especiales de datos, aun cuando se realice de forma habitual dentro del giro ordinario de una actividad económica, puede considerarse comprendido dentro del supuesto del numeral 3 del artículo 48 de la LOPDP?”
Análisis
De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la IRD, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la SPDP en el siguiente sentido:
El numeral 19 del artículo 66 Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:
“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).
El artículo 4 de la LOPDP define lo siguiente:
“Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:
Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.” (énfasis agregado).
El artículo 42 ibidem expone lo siguiente:
“Art. 42 .- Evaluación de impacto del tratamiento de datos personales.- El responsable realizará una evaluación de impacto del tratamiento de datos personales cuando se haya identificado la probabilidad de que dicho tratamiento, por su naturaleza, contexto o fines, conlleve un alto riesgo para los derechos y libertades del titular o cuando la Autoridad de Protección de Datos Personales lo requiera.
La evaluación de impacto relativa a la protección de los datos será de carácter obligatoria en caso de:
a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas naturales;
b) Tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales, o
c) Observación sistemática a gran escala de una zona de acceso público.
La Autoridad de Protección de Datos Personales establecerá otros tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.
La evaluación de impacto deberá efectuarse previo al inicio del tratamiento de datos personales.”
El artículo 47 ibidem establece lo siguiente:
“Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a:
1) Tratar datos personales en estricto apego a los principios y derechos desarrollados en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
2) Aplicar e implementar requisitos y herramientas administrativas, técnicas, físicas, organizativas y jurídicas apropiadas, a fin de garantizar y demostrar que el tratamiento de datos personales se ha realizado conforme a lo previsto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, o normativa sobre la materia;
3) Aplicar e implementar procesos de verificación, evaluación, valoración periódica de la eficiencia, eficacia y efectividad de los requisitos y herramientas administrativas, Técnicas, físicas, organizativas y jurídicas implementadas;
4) Implementar políticas de protección de datos personales afines al tratamiento de datos personales en cada caso en particular;
5) Utilizar metodologías de análisis y gestión de riesgos adaptadas a las particularidades del tratamiento y de las partes involucradas;
6) Realizar evaluaciones de adecuación al nivel de seguridad previas al tratamiento de datos personales;
7) Tomar medidas tecnológicas, físicas, administrativas, organizativas y jurídicas necesarias para prevenir, impedir, reducir, mitigar y controlar los riesgos y las vulneraciones identificadas;
8) Notificar a la Autoridad de Protección de Datos Personales y al titular de los datos acerca de violaciones a las seguridades implementadas para el tratamiento de datos personales conforme a lo establecido en el procedimiento previsto para el efecto;
9) Implementar la protección de datos personales desde el diseño y por defecto;
10) Suscribir contratos de confidencialidad y manejo adecuado de datos personales con el encargado y el personal a cargo del tratamiento de datos personales o que tenga conocimiento de los datos personales;
11) Asegurar que el encargado del tratamiento de datos personales ofrezca mecanismos suficientes para garantizar el derecho a la protección de datos personales conforme a lo establecido en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales, normativa sobre la materia y las mejores prácticas a nivel nacional o internacional;
12) Registrar y mantener actualizado el Registro Nacional de Protección de Datos Personales, de conformidad a lo dispuesto en la presente Ley, en su reglamento, en directrices, lineamientos y regulaciones emitidas por la Autoridad de Protección de Datos Personales;
13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;
14) Permitir y contribuir a la realización de auditorías o inspecciones, por parte de un auditor acreditado por la Autoridad de Protección de Datos Personales; y,
15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia.
El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente Ley y su reglamento.” (énfasis agregado).
El artículo 48 ibidem establece:
“Delegado de protección de datos personales.- Se designará un delegado de protección de datos personales en los siguientes casos:
1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;
2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;
3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y,
4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.
La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.” (énfasis agregado).
El artículo 49 ibidem dispone:
“Funciones del delegado de protección de datos personales.- El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones:
1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;
4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,
5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.
En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.”
El artículo 4 del RGLOPDP establece lo siguiente:
“Art. 4 .- Definiciones.- Sin perjuicio de lo dispuesto en la Ley, para efectos de la aplicación del presente Reglamento, se establecen las siguientes definiciones:
(…)
Tratamiento a gran escala: es aquel que afecta a una gran cantidad de datos, referentes a un elevado número de titulares, procedentes de una amplia diversidad geográfica, y que pueden entrañar un riesgo a sus derechos y libertades. Para determinar cuándo se está en presencia de un tratamiento "a gran escala" la Autoridad de Protección de Datos Personales y los responsables del tratamiento deberán tener en cuenta los siguientes aspectos:
a. El número de interesados o titulares, bien como cifra concreta o como proporción de la población correspondiente;
b. El volumen de datos o la variedad de elementos de datos que son objeto de tratamiento;
c. La duración o permanencia de la actividad de tratamiento de datos; y,
d. El alcance geográfico de la actividad de tratamiento.
Se considera tratamiento a gran escala:
a. El tratamiento de datos de pacientes en el desarrollo normal de la actividad de un hospital, o de las instituciones que conforman el Sistema Nacional de Salud;
b. El tratamiento de datos de desplazamiento de las personas que utilizan el sistema de transporte público de una ciudad (p. ej. seguimiento a través de tarjetas de transporte):
c. El tratamiento de datos de geolocalización en tiempo real de clientes por parte de un responsable del tratamiento de datos personales especializado en la prestación de estos servicios;
d. El tratamiento de datos de clientes en el desarrollo normal de la actividad de una compañía de seguros, corredores, agentes, prestadores o de instituciones financieras;
e. El tratamiento de datos personales para publicidad comportamental por un motor de búsqueda; y.
f. El tratamiento de datos (contenido, tráfico, ubicación) por proveedores de servicios de telefonía o internet.” (énfasis agregado).
El artículo 48 ibídem indica lo siguiente:
“Art. 48 .- Delegado de protección de datos - El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.
Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas.
El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado.
Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.”
El artículo 53 ibidem expone:
“Art. 53.- Actividades de control permanente y sistematizado de datos.- Para determinar si las actividades de un responsable o encargado en materia de protección de datos requieren de un control permanente, se deberá considerar, entre otros factores que defina la Autoridad de Protección de Datos Personales, alguno de los siguientes:
1. Si el tratamiento de datos es continuado o si se produce en intervalos concretos durante un periodo de tiempo;
2. Si el tratamiento de datos es recurrente o repetido en momentos prefijados; o,
3. Si el tratamiento tiene lugar de manera constante o periódica.
Así mismo, para determinar si el control es sistematizado, además de aquellos que determine la Autoridad de Protección de Datos Personales, se deberá verificar alguno de los siguientes aspectos:
1. Si el tratamiento de datos está de alguna manera preestablecido, organizado o es metódico;
2. Si el tratamiento de datos tiene lugar como parte de un plan general de recogida de datos; o,
3. Si el tratamiento de datos es llevado a cabo como parte de una estrategia.
En caso de suscitarse dudas entre los responsables y encargados respecto a los supuestos que dan lugar a la designación del delegado de protección de datos personales, podrán dirigir sus respectivas consultas a la Autoridad de Protección de Datos Personales, cuya decisión será de cumplimiento obligatorio para los consultantes.” (énfasis agregado).
El artículo ibidem manifiesta:
“Art. 54.- Tratamiento a gran escala de datos de categoría especiales. - Para determinar el tratamiento de datos de categorías especiales a gran escala, se considerarán, entre otros factores que defina la Autoridad de Protección de Datos Personales, los establecidos en el presente Reglamento.”
El artículo 3 de la Resolución N° SPDP-SPD-2026-0005-R define:
“Art. 3.- Sin perjuicio de las definiciones establecidas en la LOPDP y el RGLOPDP, para los efectos de esta norma general se adoptan las siguientes definiciones específicas:
3.1. Alcance geográfico: Extensión o impacto territorial del tratamiento de datos personales, considerando la ubicación de los titulares, de las actividades o de las operaciones del tratamiento. El alcance geográfico se clasifica, al menos, como local, nacional, transfronterizo o global.
3.2. Alcance geográfico global: Tratamiento realizado en más de un país, en más de una organización internacional, en más de una persona jurídica o territorio económico internacional.
3.3. Alcance geográfico local: Tratamiento realizado dentro de una provincia, cantón o ciudad.
3.4. Alcance geográfico nacional: Tratamiento realizado en más de una provincia, cantón o ciudad.
3.5. Alcance geográfico transfronterizo: Tratamiento realizado en un país, en una organización internacional, en una persona jurídica o en un territorio económico internacional.
3.6. Categorías de datos personales: Clasificación de los datos tal cual se encuentran establecidas en la LOPDP y el RGLOPDP.
3.7. Frecuencia del tratamiento: Regularidad o continuidad con la que se realizan las operaciones de tratamiento, considerando la repetición, acumulación y continuidad de dichas operaciones. La frecuencia se clasificará como única, periódica o continua, según la intensidad y constancia del tratamiento.
3.8. Número de titulares de datos personales: Cantidad total única de titulares de datos personales involucrados en un determinado tratamiento, calculada sobre un período de tiempo referencial de doce (12) meses por tratamiento, de manera que cada titular sea contado una sola vez dentro del cálculo.
3.9. Permanencia del tratamiento: Tiempo durante el cual los datos personales están sometidos a operaciones de tratamiento activas, excluidos los periodos de conservación en archivo o bloqueo, los cuales se regirán por la normativa aplicable. La permanencia se clasifica como ocasional, temporal o prolongada.
3.10. Permanencia de tratamiento ocasional: Tratamiento que se realiza de manera excepcional, puntual o esporádico.
3.11. Permanencia de tratamiento prolongada: Tratamiento que se realiza por un período desde tres (3) años en adelante.
3.12. Permanencia de tratamiento temporal: Tratamiento que se realiza por un período menor a tres (3) años.
3.13. Volumen de datos: Se entenderá por volumen de datos la cantidad total de datos personales tratados en un determinado tratamiento por parte de un responsable o encargado, considerando, principalmente, el número de titulares afectados y la cantidad de datos personales asociados a cada uno.” (énfasis agregado).
El artículo 5 íbidem explica:
“Art. 5.- Para la determinación del nivel de riesgo del tratamiento de datos personales, el responsable del tratamiento o el encargado que tuviere acceso, visibilidad o control efectivo sobre los datos personales tratados, deberá evaluar, como mínimo, los siguientes criterios cualitativos:
5.1. La permanencia del tratamiento;
5.2. Las categorías de datos personales tratados:
5.3. La frecuencia del tratamiento; y,
5.4. El alcance geográfico del tratamiento.”
El artículo 11 del Código Orgánico Administrativo (“COA”) dispone:
“Art. 11.- Principio de planificación. Las actuaciones administrativas se llevan a cabo sobre la base de la definición de objetivos, ordenación de recursos, determinación de métodos y mecanismos de organización.” (énfasis agregado).
El artículo 225 del Código Orgánico de la Producción, Comercio e Inversiones (“COPCI”)
“Art. 225.- Base de datos.- El Servicio Nacional de Aduana del Ecuador y el Servicio de Rentas Internas, cuando éstas lo requieran, tendrán libre acceso y sin restricciones, ya sea vía informática o física, y en forma permanente y continua, a toda la información de las actividades de comercio exterior que repose en los archivos y bases de datos del Banco Central del Ecuador, Policía de Migración, Registro Civil, Instituto Ecuatoriano de Seguridad Social, Superintendencias, Agencia de Calidad del Agro, Instituto Ecuatoriano de Normalización, Registro Mercantil, Unidad de Inteligencia Financiera y demás entidades que participan en el comercio exterior ecuatoriano directa o indirectamente. Los servidores públicos que no entreguen la información o que pongan obstáculos o interferencias para obtenerlas, serán sancionados con la destitución de sus cargos.
El contenido de las bases de datos del Servicio Nacional de Aduana del Ecuador es información protegida, su acceso no autorizado o la utilización indebida de la información contenida en ella, será sancionado conforme el Código Penal.”
El artículo 227 ibídem establece:
“Art. 227.- Agente de Aduana.- Es la persona natural o jurídica cuya licencia, otorgada por la Directora o el Director General del Servicio Nacional de Aduana del Ecuador, le faculta a gestionar de manera habitual y por cuenta ajena, el despacho de las mercancías, debiendo para el efecto firmar la declaración aduanera en los casos que establezca el reglamento, estando obligado a facturar por sus servicios de acuerdo a la tabla de honorarios mínimos que serán fijados por la Directora o el Director General del Servicio Nacional de Aduana del Ecuador. Dicha licencia tendrá un plazo de duración de 5 años, la cual puede ser renovada por el mismo plazo.
El Agente de Aduana podrá contratar con cualquier operador que intervenga en el comercio internacional y quedará obligado a responder ante el Servicio Nacional de Aduana del Ecuador por la información consignada en los documentos.
El agente de aduana tendrá el carácter de fedatario y auxiliar de la función pública en cuanto que la aduana tendrá por cierto que los datos que consignan en las declaraciones aduaneras que formulen, guardan conformidad con la información y documentos que legalmente le deben servir de base para la declaración aduanera, sin perjuicio de la verificación que puede practicar el Servicio Nacional de Aduana del Ecuador.
Además de sus autores, los agentes de aduana, que en el ejercicio de su actividad, hubieren participado como autores, cómplices o encubridores, estarán sometidos a las responsabilidades penales establecidas para los delitos contra la fe pública respecto de los delitos de la falsificación de documentos en general, en cuyo caso no requerirá declaratoria judicial previa en materia civil para el ejercicio de la acción penal, prevista en el artículo 180 del Código de Procedimiento Civil. En todo caso, para efectos de responsabilidad los agentes de aduana serán considerados como notarios públicos.
En los despachos de mercancía en que intervenga el agente de aduana es responsable solidario de la obligación tributaria aduanera, sin perjuicio de la responsabilidad administrativa o penal que legalmente corresponda. Sin perjuicio de lo expuesto, el agente de aduanas no será responsable por la valoración de las mercancías.”
Con base en los artículos previamente citados, para poder dar contestación a las cinco preguntas planteadas en la Consulta presentada, se procederá a realizar el análisis correspondiente de cada una de ellas en el orden en el cual fueron planteadas.
Respecto de la primera consulta planteada, corresponde determinar si el tratamiento de datos personales identificativos y de contacto que se realiza de manera continua o recurrente, por el solo hecho de ser necesario para la ejecución de obligaciones legales o contractuales derivadas de normativa sectorial, configura por sí mismo un supuesto de “control permanente” en los términos del numeral 2 del artículo 48 de la LOPDP y en concordancia con el artículo 53 del RGLOPDP, de tal forma que origine la obligación de designar un DPD.
En este sentido, el numeral 2 del artículo 48 de la LOPDP establece que se designará un DPD cuando las actividades del responsable o encargado del tratamiento requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento. De la lectura de esta disposición se desprende que la obligación no nace de cualquier tratamiento de datos personales, ni tampoco de la sola frecuencia con que este se realice, sino de la concurrencia de varios elementos normativos que deben ser analizados de manera integral sin que ninguno de dichos elementos, considerado de forma aislada, resulte suficiente para configurar el supuesto legal.
Así, el supuesto legal exige, en primer lugar, que exista un control permanente; en segundo lugar, que dicho control sea además sistematizado; y, en tercer lugar, que ello obedezca al volumen, naturaleza, alcance o finalidades del tratamiento. Por tanto, no basta con que el tratamiento sea únicamente permanente, ni tampoco con que sea solo sistematizado. La norma requiere que ambas condiciones concurran conjuntamente y, además, que esa permanencia y sistematización se expliquen por alguno de los factores adicionales expresamente previstos por el legislador. En consecuencia, si el tratamiento fuere únicamente permanente, o únicamente sistematizado, no se configuraría, por ese solo hecho, el supuesto previsto en el numeral 2 del artículo 48 de la LOPDP.
Ahora bien, el artículo 53 del RGLOPDP desarrolla el contenido de los conceptos “permanente” y “sistematizado”. En lo que respecta al control permanente, establece que este puede apreciarse, entre otros factores, cuando el tratamiento de datos es “continuado1 o si se produce en intervalos concretos durante un período de tiempo” ; cuando es “ recurrente2 o repetido en momentos prefijados” ; o cuando tiene lugar de manera “ constante3 o periódica4” . De ello se desprende que la permanencia está directamente relacionada con la duración o repetición del tratamiento en un periodo de tiempo, esto es, con la regularidad con que las operaciones de tratamiento se ejecutan dentro de la actividad específica del responsable o encargado.
En esa misma línea, la resolución N° SPDP-SPD-2026-0005-R contiene definiciones que permiten precisar técnicamente esos elementos. Dicha resolución en su artículo 3.7 define la frecuencia del tratamiento como la “regularidad o continuidad con la que se realizan las operaciones de tratamiento, considerando su repetición, acumulación y continuidad”; y la clasifica como única, periódica o continua según la intensidad y constancia del tratamiento. Asimismo, define la permanencia del tratamiento como el “tiempo durante el cual los datos personales están sometidos a operaciones de tratamiento activas, excluidos los periodos de conservación en archivo o bloqueo”, y la clasifica como ocasional, temporal o prolongada. Además, establece que la permanencia prolongada es aquella que se realiza por un período de tres años en adelante. Estas definiciones son relevantes, ya que permiten advertir que la continuidad, recurrencia o prolongación temporal del tratamiento constituyen elementos útiles para valorar su permanencia; sin embargo, por sí solos, no implican la existencia del control reforzado previsto en el artículo 48 de la LOPDP.
Por su parte, el artículo 53 del RGLOPDP señala que el control será sistematizado cuando el tratamiento esté de alguna manera preestablecido, organizado o sea metódico; cuando tenga lugar como parte de un plan general de recogida de datos; o cuando sea llevado a cabo como parte de una estrategia. De ello se desprende que la sistematización no depende únicamente de que el tratamiento ocurra repetidamente, sino de que responda a una estructura ordenada, previamente definida o estratégicamente diseñada. En otras palabras, la sistematización no se confunde con la mera rutina operativa: exige que el tratamiento forme parte de una lógica organizada y estructurada de recopilación o uso de datos personales.
Una vez precisados estos dos primeros elementos, corresponde analizar el tercer componente del numeral 2 del artículo 48 de la LOPDP, esto es, que el control permanente y sistematizado exista por su volumen, naturaleza, alcance o finalidades del tratamiento. Este inciso también requiere desarrollo, pues delimita los supuestos en los que la permanencia y sistematización adquieren relevancia suficiente para justificar la designación de un DPD.
En primer término, el volumen debe entenderse, conforme a la resolución N° SPDP-SPD-2026-0005-R, como la cantidad total de datos personales tratados en un determinado tratamiento, considerando principalmente el número de titulares afectados y la cantidad de datos personales asociados a cada uno. Esta definición permite advertir que el volumen no se refiere únicamente al hecho de tratar datos, sino a la magnitud objetiva del tratamiento. De igual manera, la misma resolución, en armonía con el numeral 7 del artículo 4 del RGLOPDP, vincula este factor con la identificación del tratamiento a gran escala, junto con otros componentes como el número de titulares, la frecuencia, la permanencia, las categorías de datos y el alcance geográfico. En consecuencia, que exista volumen relevante es una cuestión que no puede presumirse automáticamente por el solo hecho de que el tratamiento sea continuo o recurrente; requiere una valoración concreta del número de titulares y de la cantidad de datos tratados por cada uno.
En segundo término, la naturaleza del tratamiento debe entenderse en función del tipo de datos personales involucrados y del nivel de riesgo que razonablemente puedan entrañar para los derechos y libertades de los titulares. La resolución N° SPDP-SPD-2026-0005-R incorpora la noción de categorías de datos personales y distingue entre datos básicos y categorías especiales, asignando distinta intensidad a unos y otros dentro del modelo técnico de gran escala. Por ello, la naturaleza del tratamiento no es indiferente: no produce el mismo nivel de exigencia tratar datos identificativos y de contacto que tratar datos especiales, tales como; sensibles, datos de grupos vulnerables o datos de naturaleza penal. En esa medida, cuando el tratamiento recae únicamente sobre datos identificativos y de contacto, en principio no se está frente a un supuesto que, por su sola naturaleza, evidencie un nivel reforzado de riesgo comparable al de categorías especiales o especialmente protegidas.
En tercer lugar, el alcance del tratamiento puede ser comprendido a partir de los criterios desarrollados en la resolución N° SPDP-SPD-2026-0005-R sobre alcance geográfico, definido como la extensión o impacto territorial del tratamiento de datos personales, considerando la ubicación de los titulares, de las actividades o de las operaciones del tratamiento, y clasificándolo como local, nacional, transfronterizo o global. Este criterio permite advertir que el alcance no se limita a la existencia de una operación de tratamiento, sino a la amplitud territorial o expansiva de la actividad. Por ello, un tratamiento circunscrito a un ámbito local o limitado no necesariamente alcanza la intensidad suficiente para ser considerado, por ese solo factor, como fundamento de un control permanente y sistematizado en el sentido del artículo 48 de la LOPDP.
Finalmente, las finalidades del tratamiento deben entenderse como los objetivos concretos que justifican la recopilación y uso de los datos personales. Su análisis es relevante en la medida en que permite determinar si el tratamiento puede afectar los derechos y libertades de los titulares. En este sentido, no todas las finalidades implican el mismo nivel de impacto, algunas responden a usos necesarios para la ejecución de una relación jurídica, mientras que otras pueden suponer una mayor intervención en la esfera personal del titular. Así, adquieren especial relevancia aquellas finalidades que impliquen observar, analizar o incidir de manera continua en los titulares. Por ello, la evaluación de las finalidades debe realizarse en cada caso concreto, considerando si el tratamiento puede generar una afectación relevante.
A partir de lo anterior, corresponde subsumir el supuesto consultado. Si el tratamiento recae sobre datos personales identificativos y de contacto, y se realiza de manera continua o recurrente por ser necesario para ejecutar obligaciones legales o contractuales derivadas de normativa sectorial, puede afirmarse que dicho tratamiento podría presentar un elemento de permanencia, en la medida en que se realiza de forma constante, periódica o repetida en el tiempo. Sin embargo, ello no permite concluir, de manera automática, que se configure el supuesto previsto en el numeral 2 del artículo 48 de la LOPDP.
Lo anterior se debe a que la norma no exige únicamente permanencia, sino permanencia y sistematización, conjuntamente consideradas. Incluso si, para fines argumentativos, se asumiera que el tratamiento también es organizado o metódico, todavía resta verificar si esa permanencia y sistematización se explican por el volumen, naturaleza, alcance o finalidades del tratamiento. Es precisamente en este punto donde el solo hecho de tratar datos identificativos y de contacto de manera continua o recurrente no resulta suficiente, ya que no demuestra por sí sola sistematización ni demuestra que el volumen de datos, la naturaleza de los mismos, el alcance geográfico o las finalidades perseguidas afecten los derechos y libertades de titulares de datos personales para que se justifique la necesidad de designación de un DPD.
En consecuencia, el tratamiento de datos personales identificativos y de contacto que se realiza de manera continua o recurrente, por el solo hecho de ser necesario para la ejecución de obligaciones legales o contractuales derivadas de normativa sectorial, no configura por sí mismo un supuesto de “control permanente” que obligue a la designación de un DPD. Para que dicha obligación nazca, no basta con acreditar que el tratamiento es continuado o recurrente; es necesario verificar, en cada caso concreto, que exista un control permanente y sistematizado, comprendido de manera conjunta, y que ello obedezca además al volumen, naturaleza, alcance o finalidades del tratamiento, sin que pueda presumirse automáticamente que todo tratamiento continuo o recurrente constituye un tratamiento de designación obligatoria del delegado.
De acuerdo a la segunda pregunta realizada en la consulta, corresponde determinar si el tratamiento de datos personales que se encuentra preestablecido y organizado en función de procedimientos administrativos regulados por normativa especial puede ser considerado automáticamente como un “control sistematizado”, en los términos del artículo 53 del RGLOPDP. En primer lugar, es preciso recordar que el artículo 53 del RGLOPDP exige la concurrencia de un control permanente y sistematizado, lo cual, conforme se ha desarrollado previamente, constituye una condición conjunta que no puede analizarse de manera aislada ni presumirse automáticamente, sino que requiere verificar la existencia de una estructura real de tratamiento de datos personales.
Ahora bien, en relación con los procedimientos administrativos, el COA establece en su artículo 11 el principio de planificación, conforme al cual las actuaciones administrativas se desarrollan sobre la base de la definición de objetivos, la ordenación de recursos y la determinación de métodos y mecanismos de organización. De esta disposición se desprende que la actividad administrativa no es espontánea ni improvisada, sino que responde a una estructura previamente definida, en la que existen métodos, etapas y formas de organización establecidas normativamente. En este sentido, los procedimientos administrativos pueden calificarse como preestablecidos y organizados desde una perspectiva formal de manera general pero no sobre un tratamiento de datos personales específico y, esto no implica que en si el responsable del tratamiento que tiene dicha obligación normativa ya haya implementado un procedimiento preestablecido o, organizado o, metódico o, que tenga un plan de recogida de datos o, que es parte de una estrategia.
No obstante, esta característica propia del derecho administrativo no permite concluir automáticamente que el tratamiento de datos personales que se realiza en su marco constituya un “control sistematizado” en los términos del artículo 53 del RGLOPDP. En efecto, el carácter “sistematizado” debe analizarse en sentido material, esto es, atendiendo a la forma en que el tratamiento de datos personales se ejecuta en la práctica, su estructura operativa, sus reglas de funcionamiento y su finalidad, y no únicamente a su configuración formal dentro de un procedimiento administrativo.
Bajo este enfoque, para que un tratamiento pueda ser considerado sistematizado debe cumplirse con al menos una de las siguientes:
- Una secuencia procedimental preestablecida o, organizada o, metódica lo que implica una lógica estructurada propia y previa del responsable del tratamiento; o,
- La existencia de un plan general de recogida de datos personales, que denote una captación deliberada, organizada y no meramente incidental dentro del trámite administrativo; o,
- La aplicación de una estrategia de tratamiento, es decir, el uso de criterios, reglas o metodologías predefinidas para el manejo, análisis o utilización de los datos personales.
Adicionalmente, este análisis no puede realizarse de manera aislada, sino que debe considerar los criterios técnicos desarrollados previamente, tales como la frecuencia del tratamiento, la permanencia, el volumen de datos, el número de titulares, el alcance del tratamiento y las finalidades del tratamiento, los cuales permiten determinar la intensidad y características del mismo. Estos elementos evidencian que la sistematicidad es una cualidad que requiere una evaluación integral y contextual del tratamiento, y no puede presumirse por la sola existencia de un procedimiento normado ya que este nace de la norma más no del propio responsable o encargado del tratamiento.
Por tanto, únicamente cuando el tratamiento, además de insertarse en un procedimiento administrativo, responda a una lógica operativa propia de responsable del tratamiento de datos, ya sea preestablecida, organizada, metódica, de un plan general de recogida de datos o como parte de una estrategia de este, se podría considerar que cumple con la característica de sistematizado.
La tercera pregunta realizada en la consulta, corresponde determinar si el concepto de “control permanente y sistematizado”, previsto en el numeral 2 del artículo 48 de la LOPDP, implica necesariamente la existencia de actividades de monitoreo, evaluación o seguimiento del comportamiento de los titulares, o si basta con que el tratamiento de datos personales sea habitual dentro del giro ordinario de la actividad del responsable. En primer lugar, es preciso partir del contenido del numeral 2 del artículo 48 de la LOPDP, el cual establece la obligación de designar un DPD cuando el responsable realice tratamientos que impliquen un control permanente y sistematizado de los titulares. Esta disposición introduce un estándar cualificado que no se satisface con cualquier tratamiento, sino que exige la concurrencia de elementos que evidencien el cumplimiento de la característica de permanencia y de sistematizado de acuerdo con lo analizado en las preguntas precedentes.
En este sentido, tal como se ha desarrollado en las preguntas anteriores, el carácter permanente se refiere a la continuidad o regularidad en el tiempo del tratamiento, mientras que el carácter sistematizado implica la existencia de una estructura organizada, metódica y predefinida del tratamiento de datos personales por parte del responsable del tratamiento, analizada en el funcionamiento real del tratamiento y no únicamente a su configuración formal.
Ahora bien, la expresión “control” utilizada por la norma resulta determinante para delimitar el alcance del supuesto. Desde una interpretación sistemática, el término “control” no puede entenderse como cualquier tratamiento de datos personales, sino como una actividad que supone cierto grado de supervisión, observación o influencia sobre un determinado tratamiento de datos personales que este a cargo del responsable o encargado del tratamiento, el cual debe cumplir con las características de manera conjunta de ser permanente y sistematizado.
En este sentido, el término “control permanente y sistematizado” no es excluyente ni modifica el análisis efectuado en las dos preguntas anteriores. Por tanto, para que un tratamiento sea calificado bajo dicha categoría, es necesario que cumpla, por una parte, con al menos una de las características que determinan su carácter permanente y, por otra, con al menos una de las características que permiten considerarlo sistemático, de conformidad con el artículo 53 del RGLOPDP.
Asimismo, cabe precisar que el numeral 2 del artículo 48 de la LOPDP no establece, en ningún caso, que el tratamiento de datos personales deba referirse al comportamiento de los titulares. En consecuencia, corresponde al responsable o encargado del tratamiento, según el caso, realizar un análisis individualizado para determinar si la actividad que ejecuta —incluyendo, de ser pertinente, tratamientos relacionados con el comportamiento de los titulares— se enmarca en las características de permanencia y sistematicidad, así como en los demás criterios previstos en la normativa aplicable, los cuales han sido previamente analizados.
En atención a la cuarta pregunta planteada en la consulta, corresponde analizar si el tratamiento de datos personales de carácter identificativo y de contacto, necesarios para la prestación de servicios regulados por normativa sectorial, puede equipararse a los supuestos de tratamiento a gran escala previstos en el numeral 3 del artículo 48 de la LOPDP y desarrollados de manera ejemplificativa en el RGLOPDP.
El numeral 3 del artículo 48 de la LOPDP establece la obligación de designar un DPD cuando se realicen tratamientos a gran escala, lo cual responde a un criterio vinculado a la magnitud, el alcance y el impacto del tratamiento. En esta línea, el numeral 7 del artículo 4 del RGLOPDP define el tratamiento a gran escala como aquel que afecta a una cantidad considerable de datos, relativos a un elevado número de titulares, con una diversidad geográfica significativa y vocación de permanencia. Asimismo, incorpora supuestos específicos, como los tratamientos realizados por instituciones financieras, compañías de seguros, prestadores de servicios de telecomunicaciones o entidades del sistema nacional de salud.
De igual manera, la SPDP ha desarrollado el concepto de “gran escala” en ejercicio de sus facultades mediante la resolución N° SPDP-SPD-2026-0005-R, en la que se establecen casos taxativos que califican como tales. Para aquellos supuestos que no hayan sido clasificados de manera expresa en el RGLOPDP, ni en la referida resolución, y respecto de los cuales exista duda sobre su calificación, se ha previsto una fórmula específica que deberá ser aplicada al caso concreto por el responsable o encargado del tratamiento, según corresponda.
Por tanto, en atención a la pregunta formulada, esta Autoridad aclara que corresponde al responsable o encargado del tratamiento, según el caso, realizar un análisis en cada situación concreta, considerando los supuestos taxativos previstos en el RGLOPDP y en la Resolución N° SPDP-SPD-2026-0005-R. En consecuencia, esta Autoridad no puede emitir un pronunciamiento categórico en sentido afirmativo o negativo, en tanto la determinación dependerá de la adecuada subsunción de los hechos a la normativa de protección de datos personales aplicable.
En relación con la quinta pregunta formulada, donde se plantea la interrogante de si el tratamiento de datos personales de carácter identificativo y de contacto, que no constituyen categorías especiales de datos, aun cuando se realice de forma habitual dentro del giro ordinario de una actividad económica, puede considerarse comprendido dentro del supuesto previsto en el numeral 3 del artículo 48 de la LOPDP. En atención a lo señalado, esta Autoridad remite al Consultante a la respuesta emitida en la cuarta pregunta, toda vez que no se ha planteado una nueva cuestión jurídica ni un elemento adicional de análisis, sino que la consulta recae sobre el mismo numeral y artículos previamente examinados.
En este sentido, se precisa que no corresponde a esta Autoridad emitir una respuesta categórica en sentido afirmativo o negativo respecto del supuesto planteado, pues ello implicaría un pronunciamiento inadecuado. En efecto, aun cuando el tratamiento involucre datos identificativos y de contacto de titulares de datos personales, la determinación de si dicho tratamiento se configura como realizado a gran escala deberá efectuarse caso por caso.
En consecuencia, corresponde al responsable o encargado del tratamiento evaluar, en el contexto específico, si el tratamiento se enmarca en el supuesto previsto en el numeral 3 del artículo 48 de la LOPDP, conforme a los criterios establecidos en el RGLOPDP y en la resolución N ° SPDP-SPD-2026-0005-R emitida por la SPDP.
Pronunciamiento
En atención a los términos de la consulta realizada mediante Oficio S/N de 21 de enero de 2026 y debidamente subsanada el 2 de febrero del 2026, del análisis realizado y dando respuesta a la consulta planteada por la Consultante se determina lo siguiente:
1. “¿De conformidad con el numeral 2 del artículo 48 de la LOPDP y el artículo 53 del RGLOPDP, ¿el tratamiento de datos personales identificativos y de contacto que se realiza de manera continua o recurrente, por el solo hecho de ser necesario para la ejecución de obligaciones legales o contractuales derivadas de normativa sectorial, configura por sí mismo un ‘control permanente’ que obligue a la designación de un DPD?”
De conformidad con el numeral 2 del artículo 48 de la LOPDP y el artículo 53 del RGLOPDP, el tratamiento de datos personales identificativos y de contacto realizado de manera continua o recurrente, por el solo hecho de ser necesario para la ejecución de obligaciones legales o contractuales derivadas de normativa sectorial, no configura por sí mismo un “control permanente” que obligue a la designación de un DPD. En efecto, la obligación prevista en la norma no se activa únicamente por la frecuencia o continuidad del tratamiento, sino por la concurrencia conjunta de un control permanente y sistematizado que, además, se justifique por el volumen, la naturaleza, el alcance o las finalidades del tratamiento; elementos que deben ser evaluados de manera integral en cada caso concreto. Por tanto, la sola recurrencia o continuidad en el tratamiento no resulta suficiente para configurar el supuesto legal, siendo necesario verificar los otros parámetros mencionados para evaluar si dicho tratamiento alcanza un nivel que justifique la designación obligatoria del Delegado de Protección de Datos.
2. ¿En aplicación del artículo 53 del Reglamento General a la LOPDP, ¿el tratamiento de datos personales que se encuentra preestablecido y organizado en función de procedimientos administrativos regulados por normativa especial puede considerarse automáticamente como un “control sistematizado”, o debe analizarse adicionalmente la existencia de un plan general de recogida de datos, estrategia de tratamiento o finalidad autónoma distinta del cumplimiento normativo?
En aplicación del artículo 53 del RGLOPDP, el tratamiento de datos personales que se encuentra preestablecido y organizado en función de procedimientos administrativos regulados por normativa especial no puede considerarse automáticamente como un “control sistematizado”. Si bien los procedimientos administrativos, conforme a su propia naturaleza, responden a una estructura planificada y ordenada, ello no implica por sí mismo que el tratamiento de datos personales posea una sistematicidad en sentido material. En consecuencia, es necesario realizar un análisis que permita verificar si el tratamiento responde a una lógica operativa propia del responsable del tratamiento, esto es, si cuenta con una estructura preestablecida, organizada o metódica en el tratamiento de datos, o si se enmarca en un plan general de recogida de datos, una estrategia de tratamiento o una finalidad que evidencie una gestión deliberada y no meramente incidental. Por tanto, la sistematicidad no se da por la sola existencia de un procedimiento normado, sino que debe determinarse en cada caso concreto a partir de una evaluación integral de las características y ejecución efectiva del tratamiento.
3. Para efectos de lo previsto en el numeral 2 del artículo 48 de la LOPDP, ¿el concepto de “control permanente y sistematizado” implica necesariamente la existencia de monitoreo, evaluación o seguimiento de comportamiento de los titulares, o basta con que el tratamiento sea habitual dentro del giro ordinario de la actividad del responsable?
Para efectos de lo previsto en el numeral 2 del artículo 48 de la LOPDP, el concepto de “control permanente y sistematizado” no implica necesariamente la existencia de actividades de monitoreo, evaluación o seguimiento del comportamiento de los titulares, pero tampoco se satisface por el solo hecho de que el tratamiento sea habitual dentro del giro ordinario de la actividad del responsable. En efecto, la noción de “control” supone un nivel cualificado de supervisión u observación en el marco de un tratamiento que, además, debe ser concurrentemente permanente y, conforme a los criterios desarrollados en el artículo 53 del RGLOPDP. Por tanto, ni el seguimiento del comportamiento constituye un requisito indispensable, ni la mera habitualidad del tratamiento resulta suficiente, siendo necesario, en cada caso concreto, verificar la concurrencia conjunta de estos elementos y las demás condiciones previstas en la normativa aplicable.
4. Conforme al numeral 3 del artículo 48 de la LOPDP y a los supuestos ejemplificativos establecidos en el Reglamento General, ¿el tratamiento de datos personales de carácter identificativo y de contacto que permiten la identificación o comunicación con el titular, necesarios para la prestación de servicios regulados por normativa sectorial, puede equipararse a los supuestos de tratamiento a gran escala previstos en el Reglamento (tales como instituciones financieras, aseguradoras, servicios de telecomunicaciones o sistemas de salud)?
De conformidad con el numeral 3 del artículo 48 de la LOPDP y los supuestos taxativos previstos en el RGLOPDP, el tratamiento de datos personales de carácter identificativo y de contacto, necesario para la prestación de servicios regulados por normativa sectorial, debe ser analizado por el responsable o encargado del tratamiento, según corresponda. En tal sentido, este deberá verificar, en cada caso concreto, si dicho tratamiento se subsume en alguno de los supuestos taxativos previstos en el Reglamento o en la resolución N° SPDP-SPD-2026-0005-R, o si, mediante la aplicación de la fórmula establecida en esta última, puede calificarse como un tratamiento a gran escala. En consecuencia, esta Autoridad no puede emitir una respuesta categórica en abstracto, en tanto la determinación dependerá de las características específicas de cada tratamiento.
5. El tratamiento de datos personales de carácter identificativo y de contacto que permiten la identificación o comunicación con el titular, que no constituyen categorías especiales de datos, aun cuando se realice de forma habitual dentro del giro ordinario de una actividad económica, puede considerarse comprendido dentro del supuesto del numeral 3 del artículo 48 de la LOPDP?
En relación con el numeral 3 del artículo 48 de la LOPDP, el tratamiento de datos personales de carácter identificativo y de contacto —que no constituyen categorías especiales—, aun cuando se realice de forma habitual dentro del giro ordinario de una actividad económica, no puede considerarse comprendido automáticamente dentro del supuesto de tratamiento a gran escala. En atención a ello, esta Autoridad remite a lo señalado en la respuesta anterior, por cuanto no se introduce un nuevo elemento jurídico que amerite un análisis distinto. En consecuencia, la determinación de si dicho tratamiento se configura como realizado a gran escala deberá efectuarse caso por caso, correspondiendo al responsable o encargado del tratamiento evaluar si se cumplen los criterios establecidos en el RGLOPDP y en la resolución N° SPDP-SPD-2026-0005-R emitida por la SPDP, en función de las características específicas del tratamiento.
Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.