Consultas Absueltas por la SPDP

Consultas absueltas por la SPDP de conformidad con el numeral 9 del artículo 76 de la LOPDP, en concordancia con el Reglamento para la atención de consultas publicado en el Suplemento del Registro Oficial N.º 683 del 14 de noviembre del 2024

Oficio N° SPDP-IGRPD-2024-001-O-C

Preguntas

1. Procedimiento formal para obtener el reconocimiento: ¿Cuál es el procedimiento aplicable para responsables y encargados del tratamiento que buscan obtener el reconocimiento por buenas prácticas determinado en la Disposición transitoria tercera?

2. Criterios de evaluación: ¿Qué metodología y qué criterios específicos se aplicarán por parte de la superintendencia para evaluar la implementación de los preceptos de la Ley?

3. Documentación y requisitos necesarios: ¿Cuáles son los documentos, evidencias y requisitos que deben presentarse para sustentar la solicitud de reconocimiento de buenas prácticas?

4. Plazos de presentación: ¿Cuáles son los plazos aplicables para la presentación de solicitudes y cuál es el plazo de revisión de cumplimiento para el otorgamiento de reconocimiento de buenas prácticas?

5. Beneficios asociados al reconocimiento: ¿Qué consecuencias concretas o beneficios tangibles se derivan de la obtención del reconocimiento de buenas prácticas por parte de una entidad, particularmente en relación con el régimen sancionatorio?

Análisis

El numeral 23 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) establece el derecho de petición, ya sea de manera individual o colectiva, ante las autoridades y recibir una respuesta fundamentada. En concordancia con lo mencionado, el artículo 32 del Código Orgánico Administrativo (“COA”) señala que “[l]as personas tienen derecho a formular peticiones, individual o colectivamente, ante las administraciones públicas y a recibir respuestas motivadas, de forma oportuna.”. Así mismo, la CRE en su artículo 226 consagra el principio de legalidad, el cual habilita y limita el alcance del ejercicio de las competencias de los servidores públicos que ejercen una potestad estatal; indicando que los mismos deberán ejercer solo aquellas competencias y facultades que estén contempladas en la Constitución y la ley. Además, se insta cumplir con el deber de “coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución.”. En concordancia con lo mencionado, el artículo 14 del COA establece el principio de juridicidad, con otro nombre, pero bajo la misma esencia, donde se menciona que las actuaciones administrativas se someten no solo a las normas jerárquicas superiores, CRE y tratados internacionales, sino también a los principios y jurisprudencia; de igual forma las administraciones públicas gozan de potestad discrecional con apego a derecho.En este mismo sentido de ideas, la CRE en su artículo 82 hace referencia al principio a la seguridad jurídica que implica la “…existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes.”; y su fundamento es el respeto a la CRE. En concordancia con esto, el COA en su artículo 22 consagra el principio de seguridad jurídica indicando que las “administraciones públicas actuarán bajo los criterios de certeza y previsibilidad.”; es decir, que el administrado sabrá previamente la forma de actuar coherente de la administración pública a través de las normas que contemplen dichas reglas. Adicionalmente, la Jueza ponente constitucional, abogada Karla Andrade Quevedo, en su Sentencia N° 2137-21-EP /21 del caso N° 2137-21-EP del 29 de septiembre del 2021, menciona respecto del artículo 82 CRE que “[d]el texto constitucional se desprende que la Constitución garantiza a las personas el derecho de contar con un ordenamiento jurídico previsible, claro, determinado, estable y coherente que le permita tener una noción razonable de las reglas de juego que le serán aplicables…”.En concordancia con lo mencionado en el párrafo anterior, el Juez ponente constitucional, abogado Enrique Herrería Bonnet, en su Sentencia N° 54-17-IN/22 del caso N° 54-17-IN del 26 de mayo del 2022, menciona que “[l]a Constitución concibe a la seguridad jurídica como un derecho-prerrogativa que ostentan las personas para exigir el respeto de la norma constitucional a través de la formulación de normas jurídicas previas, claras y públicas, obligando al órgano con potestad normativa a respetar estos requisitos.”.En este sentido, antes de que los servidores públicos realicen o ejecuten cualquier actuación administrativa, deben contar con la normativa que regule el procedimiento que permita el ejercicio de dicha actuación. Esta normativa debe ser clara y conocida por el administrado, en el marco de los principios constitucionales y administrativos de legalidad (juridicidad) y seguridad jurídica. En caso de que la norma carezca de claridad, es decir, si su articulado no ofrece el grado de certeza suficiente para que los ciudadanos puedan inferir el procedimiento, la prohibición, la permisión o la sanción correspondiente, el ciudadano tiene el derecho de solicitar a la institución pública una respuesta a una consulta sobre el texto de la misma o su aplicación. Así entonces, usted solicita información detallada y plantea varias interrogantes sobre el proceso aplicable para acceder al reconocimiento por buenas prácticas, conforme a lo establecido en la disposición transitoria tercera de la Ley Orgánica de Protección de Datos Personales (“LOPDP”). Al respecto, me permito indicar que, si bien el reconocimiento por buenas prácticas está garantizado por la LOPDP, el proceso al que hace referencia no existe en la actualidad, y por ello no podemos ofrecer información detallada sobre el mismo. Además, cabe mencionar que la Superintendencia de Protección de Datos Personales se encuentra en una etapa de arranque de sus funciones y está coordinando acciones para expedir oportunamente normativa que regule los procedimientos y procesos que garanticen el cumplimiento de sus objetivos y fines, y aseguren el goce y ejercicio efectivo de los derechos de los administrados.

Pronunciamiento

En ejercicio de la Resolución N° SPDP-SPDP-2024-0007-R de fecha 30 de septiembre, en donde en su literal c) del artículo 4, en mi calidad de delegado del Superintendente de Protección de Datos Personales, en atención a su petitorio en la consulta que versa sobre el aspecto de un proceso aplicable para acceder al reconocimiento por buenas prácticas, conforme a lo establecido en la disposición transitoria tercera de la Ley Orgánica de Protección de Datos Personales (“LOPDP”), esta autoridad no se pronuncia al respecto, toda vez que la misma es ambigua, vaga e indeterminada, ya que versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta institución pública, por lo que a la fecha no existe disposición alguna que establezca el procedimiento y requisitos para obtener tal reconocimiento, en cumplimiento del artículo 226 de la Constitución. En este sentido se da contestación a su solicitud, exhortando al consultante a que realice las consultas que sean necesarias cuando la normativa aplicable sea expedida en legal y debida forma.

Oficio N° SPDP-IGRPD-2024-002-O-C

Preguntas

1. Existencia del procedimiento: ¿Existirá un procedimiento de verificación orientado al control de cumplimiento de dicha obligación? En caso afirmativo:

2. Método de verificación: ¿Cuáles serán los métodos y procedimientos específicos que la Superintendencia empleará para verificar si una entidad ha designado a su Delegado?

3. Documentación y requisitos necesarios: ¿Cuáles son los documentos y evidencias que deberán presentarse para sustentar el cumplimiento de la obligación?

4. Plazos de presentación: ¿Cuáles son los plazos aplicables para la presentación de dichos requisitos o documentación?

Análisis

El numeral 23 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) establece el derecho de petición, ya sea de manera individual o colectiva, ante las autoridades y recibir una respuesta fundamentada. En concordancia con lo mencionado, el artículo 32 del Código Orgánico Administrativo (“COA”) señala que “[l]as personas tienen derecho a formular peticiones, individual o colectivamente, ante las administraciones públicas y a recibir respuestas motivadas, de forma oportuna.”. Así mismo, la CRE en su artículo 226 consagra el principio de legalidad, el cual habilita y limita el alcance del ejercicio de las competencias de los servidores públicos que ejercen una potestad estatal; indicando que los mismos deberán ejercer solas aquellas competencias y facultades que estén contempladas en la Constitución y la ley. Además, se insta cumplir con el deber de “coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución.”. En concordancia con lo mencionado, el artículo 14 del COA establece el principio de juridicidad, con otro nombre, pero bajo la misma esencia, donde se menciona que las actuaciones administrativas se someten no solo a las normas jerárquicas superiores, CRE y tratados internacionales, sino también a los principios y jurisprudencia; de igual forma las administraciones públicas gozan de potestad discrecional con apego a derecho.En este mismo sentido de ideas, la CRE en su artículo 82 hace referencia al principio a la seguridad jurídica que implica la “…existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes.”; y su fundamento es el respeto a la CRE.
En concordancia con esto, el COA en su artículo 22 consagra el principio de seguridad jurídica indicando que las “administraciones públicas actuarán bajo los criterios de certeza y previsibilidad.”; es decir, que el administrado sabrá previamente la forma de actuar coherente de la administración pública a través de las normas que contemplen dichas reglas. Adicionalmente, la Jueza ponente constitucional, abogada Karla Andrade Quevedo, en su Sentencia N° 2137-21-EP /21 del caso N° 2137-21-EP del 29 de septiembre del 2021, menciona respecto del artículo 82 CRE que “[d]el texto constitucional se desprende que la Constitución garantiza a las personas el derecho de contar con un ordenamiento jurídico previsible, claro, determinado, estable y coherente que le permita tener una noción razonable de las reglas de juego que le serán aplicables…”.
2 En concordancia con lo mencionado en el párrafo anterior, el Juez ponente constitucional, abogado Enrique Herrería Bonnet, en su Sentencia N° 54-17-IN/22 del caso N° 54-17-IN del 26 de mayo del 2022, menciona que “[l]a Constitución concibe a la seguridad jurídica como un derecho-prerrogativa que ostentan las personas para exigir el respeto de la norma constitucional a través de la formulación de normas jurídicas previas, claras y públicas, obligando al órgano con potestad normativa a respetar estos requisitos.”
3 En este sentido, antes de que los servidores públicos realicen cualquier actuación administrativa, deben contar con la normativa que regule el procedimiento que permita el ejercicio de dicha actuación. Esta normativa debe ser clara y conocida por el administrado, en el marco de los principios constitucionales y administrativos de legalidad (juridicidad) y seguridad jurídica. En caso de que la norma carezca de claridad, es decir, si su articulado no ofrece el grado de certeza suficiente para que los ciudadanos puedan inferir el procedimiento, la prohibición, la permisión o la sanción correspondiente, el ciudadano tiene el derecho de solicitar a la institución pública una respuesta a su consulta sobre el texto de la misma o su aplicación. Así entonces, usted solicita información y plantea varias preguntas sobre el proceso que implementará esta institución pública para verificar el cumplimiento de la obligación relativa a la contratación del Delegado de Protección de Datos Personales, conforme a lo establecido en el numeral 13 del artículo 47 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”).
Al respecto, me permito indicar que, si bien la obligación del responsable del tratamiento de designar a un Delegado de Protección de Datos Personales está establecida por la LOPDP, el proceso al que hace referencia, tal como usted refiere, no existe en la actualidad, y por ello no podemos ofrecer información sobre el mismo. Además, cabe mencionar que la Superintendencia de Protección de Datos Personales se encuentra en una etapa de arranque de sus funciones y está coordinando acciones para expedir oportunamente normativa que regule los procedimientos y procesos que garanticen el cumplimiento de sus objetivos y fines, y aseguren el goce y ejercicio efectivo de los derechos de los administrados.

Pronunciamiento

En ejercicio de la Resolución N° SPDP-SPDP-2024-0007-R de fecha 30 de septiembre, en donde en su literal c) del artículo 4, en mi calidad de delegado del Superintendente de Protección de Datos Personales, en atención a su petitorio en la consulta que guarda relación sobre el proceso que implementará esta institución para verificar el cumplimiento de la obligación relativa a la “contratación” del Delegado de Protección de Datos Personales, de conformidad a lo establecido en el numeral 13 del artículo 47 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”), esta autoridad no se pronuncia al respecto, toda vez que la misma es ambigua, vaga e indeterminada, ya que versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta entidad, por lo que a la fecha no existe disposición alguna que establezca el procedimiento para verificar el cumplimiento del numeral 13 del artículo 47 de la “LOPD”, en cumplimiento del artículo 226 de la Constitución. Sin perjuicio de lo anterior, hasta que se emita normativa aplicable a la consulta, todos los sujetos regulados SIN EXCEPCIÓN deberán cumplir en forma imperativa todo lo establecido en la LOPDP y su Reglamento en lo que se relaciona al Delegado de Protección de Datos. En este sentido se da contestación a su solicitud, exhortándolo a que realice las consultas que sean necesarias cuando la normativa aplicable sea expedida en legal y debida forma.

Oficio N° SPDP-IGRPD-2024-008-O-C

Preguntas

¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros?

Análisis

Con base en lo previamente señalado, el derecho de protección de datos personales se encuentra reconocido en la Constitución, la cual menciona que se podrán realizar tratamientos a los datos personales de los titulares solo con la autorización de estos, ya sea con el consentimiento, o por mandato legal. En este sentido la protección de la información de los titulares de datos y la garantía del derecho se ha tutelado por la LOPDP, la cual regula el mandato establecido en la norma constitucional. Es así, que la CRE delimita a que solo normas con rango de ley pueden ordenar el tratamiento de datos personales, siempre y cuando dicho tratamiento cumpla con los principios que establece la LOPDP, para que así se garantice en todo momento el derecho a la protección de datos personales de sus titulares. La normativa hace una distinción de categorías de datos personales debido a que no todo dato de una persona natural tiene la misma carga de información identificable. Por ende, los datos que se consideren especiales tienen una mayor carga de información de un titular y pertenecen a la esfera más íntima de la persona, por lo que merecen y se les debe otorgar un mayor nivel de protección y seguridad. En este sentido, la huella dactilar se considera un dato biométrico, por ende, debe tener un mayor nivel de protección y seguridad. Ahora bien, el código dactilar es la codificación de la epidermis del dedo de una persona natural la cual es única e irrepetible, por lo que el código siempre va a ser diferente para cada huella dactilar, en consecuencia, identifica directamente a un titular de datos personales por lo que el código dactilar se considera un dato biométrico. Como se ha mencionado, para poder realizar un tratamiento de datos personales se debe contar con una base legitimadora de tratamiento y, en caso de ser un tratamiento de datos sensibles, se debe contar con bases legitimadoras adicionales previstas en el artículo 26 de la LOPDP. Un tratamiento que contenga la huella dactilar, al ser un dato especial sensible, debe contar con legitimación y, adicionalmente, cumplir con los principios que establece la normativa en protección de datos personales. Es así como se debe realizar un análisis de riesgo respecto al tratamiento con la finalidad de poder identificar los riesgos a los que puede estar sometido el mismo, medidas de mitigación y, si efectivamente es viable llevarlo a cabo. En este sentido, cuando se haya identificado que el tratamiento de datos personales conlleva un alto riesgo para los derechos y libertades del titular o cumple con uno de los supuestos obligatorios mencionados en la LOPDP, se debe realizar una evaluación de impacto de tratamiento, con la finalidad de evaluar el impacto potencial del tratamiento de datos personales sobre la privacidad y los derechos de los individuos. Cabe mencionar que la normativa establece como obligatorio la evaluación de impacto cuando sea un tratamiento a gran escala de categorías especiales de datos y, el RLOPDP dispone que, entre lo que se considera gran escala, se encuentran los tratamientos que afecten a una gran cantidad de datos de varios titulares en proporción de la población correspondiente. Es necesario realizar el análisis de riesgo y la evaluación de impacto, en los casos que corresponda, debido a que se puede identificqr la proporcionalidad del tratamiento y el impacto que el mismo puede tener sobre los derechos del titular de datos. De acuerdo con la normativa antes señaladas, todas las sociedades tienen la obligación de designar un administrador que tenga la representación legal de cada sociedad y, se deberá inscribir su nombramiento con la razón de aceptación. Cabe recalcar que la aceptación que da el representante legal es sobre el cargo, y ésta no versa sobre un tratamiento de datos específico debido a que no cumple con los requisitos normativos para ser considerado como un consentimiento válido y, en el caso específico, la base legitimadora no sería el consentimiento. Adicionalmente, cabe mencionar que a los datos personales de representantes legales no les aplica la LOPDP, siempre y cuando se trate de información identificativa, de contacto o referente al giro de negocio, competencias, facultades, atribuciones o cargo; sin perjuicio de que los datos de los representantes legales que se publiquen estén sometidos a una evaluación de proporcionalidad y efectivamente sean los mínimos necesarios para cumplir con las obligaciones del negocio. Es menester mencionar que los nombramientos tienen “vocación” de publicidad por lo que se incorporan en registros públicos con la finalidad de que la sociedad pueda tener acceso a la información y así protegerse de posibles confusiones o engaños que se puedan realizar en actividades de comercio. En este sentido, la publicidad es uno de los pilares básicos de las actividades de comercio ya que la esencia de esta es que se pueda identificar a la persona del comercio correspondiente con información razonable y relevante para las actividades mercantiles. De acuerdo con lo previamente mencionado se considera una base legitimadora al mandato legal contenido en normativa que tenga el nivel jerárquico de ley el cual ordene un determinado tratamiento de datos personales. Esto, sin perjuicio que la ley que ordene el tratamiento esté de acuerdo con los principios constitucionales y los contemplados en la LOPDP, especialmente el de finalidad, pertinencia y minimización y el de proporcionalidad. La solicitud e inclusión del código dactilar en los nombramientos de representantes legales de las distintas sociedades, de acuerdo con la normativa y los criterios jurídicos presentados, tiene como finalidad la identificación inequívoca de los representantes legales para actividades de comercio. Sin embargo, al ya incluirse el número de identificación se logra cumplir con la misma finalidad, por lo que la solicitud de un dato biométrico se considera que no cumple con los principios de proporcionalidad y necesidad respecto a la finalidad determinada.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° SCVS-INC-DNCDN-2024-00125858-O del 7 de noviembre de 2024 y al análisis realizado, se concluye que la Resolución N° SCVS-INC-DNCDN-2022-0008 del 21 de junio de 2022 que solicita el código dactilar de los representantes legales de las sociedades junto con el número de cédula de identidad en los nombramiento de estos, es desproporcionado con relación a su finalidad, toda vez que se puede identificar de manera inequívoca a una persona a través del número de cédula de identidad; más aún que los nombramientos se inscriben ante la autoridad competente para que en esencia se cumpla con el principio de publicidad de la Ley de Compañía y el Código de Comercio, lo cual genera un mayor riesgo de vulneración a los derechos de los titulares de datos personales; motivos por los cuales la resolución mencionada vulnera los principios de finalidad, pertinencia y minimización de datos personales, y de proporcionalidad contemplados en los literales d., e. y f. del artículo 10 LOPDP. En respuesta a la interrogante planteada por el consultante de que si: ¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros? Determinamos que la Constitución reconoce y protege el derecho a la protección de datos personales, el cual se garantiza con los principios desarrollados en la LOPDP. Es así que, como se menciona en el párrafo anterior, al vulnerarse los principios que garantizan la protección de datos personales, este derecho se ve afectado en forma directa. El presente pronunciamiento deberá ser entendido en su integridad y se limita a la consulta específica presentada por la SCVS, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0009-O

Preguntas

En base a lo manifestado ¿En calidad de Notario Septuagésimo Octavo encargado del cantón Quito, otorgar copias, testimonios de escrituras matriz o compulsas de los documentos que se encuentran en el archivo bajo mi responsabilidad, debo entregar a cualquier persona, pero si se trata de terceras personas, las que no hayan intervenido en los actos o contratos, deberán presentar el un contrato suscrito con el titular conforme al Art. 34 de la Ley Orgánica de Protección de Datos Personales?

Análisis

Con base en la normativa previamente mencionada, todo tratamiento de datos personales debe respetar y aplicar los principios contemplados en la LOPDP para que de esta manera se garanticen los derechos e información de los titulares de datos. En este sentido, los principios que se destacan en el tratamiento son: en primer lugar, el de juridicidad que hace referencia a que todos los datos personales a los que se tenga acceso para el tratamiento deben ser tratados en estricto apego y cumplimiento a los principios, derechos y obligaciones reconocidos en la CRE e instrumentos internacionales aplicables. Este principio es fundamental para el tratamiento de datos personales debido a que exhorta a las partes a manejar los datos con un enfoque holístico, dándoles una mayor protección a los titulares de datos es así que, el Consultante, en calidad de notario, deberá en todo momento aplicar los más altos estándares de seguridad para el manejo de datos personales. En segundo lugar, el principio de lealtad, el cual establece que todas las personas que traten datos personales deben informar a los titulares respecto al tratamiento que se va a dar a la información proporcionada. Esto es fundamental, debido a que se relaciona con el derecho de información y el consentimiento que se solicita a los titulares de datos para que el mismo sea considerado válido. Es así que, en el presente caso específico, el mencionado principio se debe tomar en cuenta al momento de brindar los servicios y solicitar consentimientos a los titulares de datos personales. En tercer lugar, el principio de finalidad, el cual hace referencia a que todos los tratamientos deberán ser determinados, explícitos, legítimos y comunicados al titular. Esto significa que no se puede solicitar información a los titulares de datos personales para tratamientos que no se hayan determinado ni informado a este último. Este principio es de fundamental relevancia debido a que también se relaciona con el derecho de información, y debe ser informado al momento de solicitar el consentimiento para el tratamiento de datos a los titulares, además que se debe incluir en las políticas de privacidad de los responsables y encargados de tratamiento. En cuarto lugar, el principio de pertinencia y minimización, el cual hace referencia a que solamente se podrán solicitar los datos limitados a los estrictamente necesario, este principio tiene correlación con el previamente mencionado de finalidad, debido a que solo se deben solicitar los datos mínimos necesarios para la finalidad específica para la cual se solicita la información. Como quinto y último principio más relevante a tomar en consideración en el presente caso, es el de proporcionalidad del tratamiento, el cual hace referencia a que todo tratamiento de datos personales que se realice debe ser adecuado, necesario oportuno, relevante y no excesivo en relación a las finalidades para las cuales se solicita la información. Con base en este último principio es necesario y de suma importancia realizar el examen de proporcionalidad que se contempla en la SENTENCIA INTERPRETATIVA No. 002-10-SIC-CC CASO No. 0020-09-IC 1 y, al que se hace referencia en el RLOPDP. Es así que, el examen de proporcionalidad que se realiza a continuación analiza la colisión entre el derecho a la transparencia y acceso de las escrituras públicas de un notario, específicamente la posibilidad de que cualquier persona pueda solicitar copias o testimonio de la escritura matriz o compulsa de los documentos protocolizados, y el derecho de protección de datos personales de los titulares involucrados en dichos actos notariales. Además, se toma en cuenta el de acceso a la información pública. Para ello, aplicaremos los tres pasos del examen de proporcionalidad: adecuación, necesidad y proporcionalidad en sentido estricto. Respecto a la adecuación, se busca examinar si la medida adoptada es adecuada para alcanzar el objetivo legítimo perseguido, en el presente caso lo que se busca es que haya transparencia pero que no se vulnere el derecho a la protección de datos personales. Para lo cual es relevante señalar la importancia del derecho de transparencia y el acceso a la información pública los cuales son de suma transcendencia y aún más en Ecuador, ya que promueven la rendición de cuentas, la transparencia en la gestión pública y el acceso de los ciudadanos a la información. Por otro lado, existe el derecho a la protección de datos personales el cual busca proteger la información de la esfera íntima y privada de una persona natural, lo cual es un objetivo legítimo y forma parte de las libertades de los seres humanos. En este caso, se busca garantizar que las escrituras públicas notariales sean accesibles a cualquier persona, permitiendo la verificación de la autenticidad de documentos y la transparencia de las acciones del notario, pero limitando dicho derecho para así proteger la información de los titulares de datos personales. La medida de permitir que cualquier persona solicite copias de los archivos notariales puede ser adecuada para alcanzar el objetivo de transparencia y acceso a la información pública. Sin embargo, debe asegurarse de que no se infrinja el derecho de protección de datos personales. Si bien el derecho de acceso a la información pública es fundamental, no se puede permitir que dicho acceso vulnere la privacidad de las personas involucradas en los actos notariales.Como segundo punto, es imprescindible analizar dentro del examen de proporcionalidad, el de la necesidad. En el presente caso se analiza si es necesario el acceso a las escrituras públicas que se encuentran en el archivo de la notaría del consultante. Como se menciona anteriormente es importante el acceso debido a que la esencia de la gestión notarial es dar fe pública respecto a los actos jurídicos celebrados ante notario, en este sentido debido a que la fe es pública, esta puede ser verificada por cualquier persona, por lo tanto, estos documentos deben poder ser accesibles al público. Sin embargo, la transparencia y el derecho de acceso a la información no pueden vulnerar bajo ninguna consideración, el derecho a la protección de datos personales, por lo que es necesario que ambos derechos sean aplicados en conjunto para que puedan tener vigencia en armonía. En este punto es preciso realizar el análisis de proporcionalidad o balance donde se busca un equilibrio entre los derechos y la aplicación de ambos de una manera armónica de acuerdo con lo establecido en el bloque de constitucionalidad. En este sentido, de acuerdo con la normativa previamente citada, el artículo 40 de la LN establece que cualquier persona podrá tener acceso al archivo de los notarios, teniendo en cuenta que muchos de los documentos contienen datos personales de las partes intervinientes en los diferentes actos que se encuentran contemplados en estos. En este sentido, la LOPDP y su Reglamento protegen el tratamiento de la información de personas naturales y la misma normativa establece que la custodia y cualquier uso que se dé a la información se considera un tratamiento y, contempla como transferencia, entre varias acciones, a la entrega o consulta de dicha información. Por ende, para poder dar un tratamiento legítimo se debe cumplir con al menos una base legitimadora, las cuales se encuentran enumeradas de manera taxativa en el artículo 7 de la LOPDP. Adicionalmente, al ser considerada una transferencia o comunicación la entrega de información es aplicable el artículo 33 de la LOPDP, el cual establece como requisito para las transferencias contar con el consentimiento del titular, además de una base legitimadora, por lo que para que el consentimiento sea considerado válido deberá cumplir con lo establecido en el artículo 8 LOPDP y además con los principios previamente analizados líneas arriba. Con base en lo previamente analizado, se concluye que cualquier persona puede solicitar copias o testimonio de la escritura matriz o compulsa de los documentos protocolizados del notario debido a que se encuentra previsto en la LN; sin embargo, en cumplimiento de la LOPDP, teniendo en consideración que tutela o protege un derecho fundamental y que tiene un rango superior, de acuerdo con el artículo 425 CRE, por su condición de orgánica, se deberá cumplir con TODOS los requisitos establecidos en la misma para dar un tratamiento legítimo a los datos personales. En este sentido se deberá contar con una base legitimadora y, además, contar con el consentimiento de los titulares de datos personales o sus representantes. Adicionalmente, en miras de cumplir con las cinco medidas de seguridad contempladas en el a LOPDP las cuales son técnicas, físicas, organizativas, administrativas y legales encaminadas a proteger la información en su confidencialidad, disponibilidad e integridad se deberán implementar TODAS las medidas de seguridad que correspondan al caso específico, como por ejemplo la anonimización de datos personales especiales, que no sean necesarios para las finalidades para las cuales se solicite el acceso a determinados documentos. En este sentido se busca que el acceso a la información debe equilibrarse con la protección de datos personales, utilizando restricciones o mecanismos de seguridad que eviten el acceso innecesario a información privada.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° S/N del 10 de diciembre de 2024, al análisis realizado y dando respuesta a la consulta planteada por el consultante; “En base a lo manifestado ¿En calidad de Notario Septuagésimo Octavo encargado del cantón Quito, otorgar copias, testimonios de escrituras matriz o compulsas de los documentos que se encuentran en el archivo bajo mi responsabilidad, debo entregar a cualquier persona, pero si se trata de terceras personas, las que no hayan intervenido en los actos o contratos, deberán presentar el un contrato suscrito con el titular conforme al Art. 34 de la Ley Orgánica de Protección de Datos Personales,?...” se determina que sí se debe dar cumplimiento al artículo 40 de la Ley Notarial, respecto a la copia de una escritura matriz o compulsa de los documentos protocolizados a terceras personas que cumplan con al menos una base legitimadora de tratamiento y, adicionalmente, a fin de dar cumplimiento a la LOPDP se recomienda solicitar el consentimiento para el tratamiento de datos personales a los titulares al momento de requerir y realizar los servicios notariales correspondientes. Las terceras personas que quieran acceder escrituras públicas del notario no tienen la obligación de contar con un contrato con el titular ni con el notario, quien en el presente caso ostenta la calidad de responsable de tratamiento, debido a que el artículo aplicable NO es el 34 de la LOPDP de acuerdo con el análisis previo realizado. El presente pronunciamiento deberá ser entendido en su integridad y se limita a la consulta específica presentada por el doctor Ramiro Gonzalo Borja Borja, en calidad de Notario Septuagésimo Octavo encargado del cantón Quito, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0010-O

Preguntas

¿Cuál es el proceso de tratamiento de datos personales que deben seguir los establecimientos de salud, fabricantes, y/o titulares de registros sanitarios con respecto a la trazabilidad de las tarjetas de implante?

Análisis

Con base en la normativa previamente detallada, la CRE reconoce el derecho de protección de datos personales. De esta manera, esta garantía normativa se encuentra tutelada en la LOPDP, ley que goza con el carácter de orgánica por lo que regula el mandato constitucional em forma expresa. No obstante, previo a ejecutar un tratamiento de datos se debe contar con el habilitante que corresponda, es decir, tener una legitimación de carácter legal o disponer del consentimiento del titular de los datos. En este sentido, la CRE contempla que solo normas con rango de ley pueden ordenar el tratamiento de datos personales y de acuerdo con la misma las nomas con jerarquía de ley solo pueden ser emitidas por el poder legislativo esto es la Asamblea Nacional como se menciona en los artículos 118 y 120 CRE. Además, la LOPDP de manera expresa prevé que no todo dato personal contiene la misma carga de información identificable, por tal motivo se reconocen categorías especiales de datos, mismas que incorporan una mayor carga de información de un titular y pertenecen a la esfera más íntima de la persona, por lo cual deben recibir un mayor nivel de protección y seguridad. Es así que, con base en la ampliación de consulta presentada por CORPOMEDICA y la Resolución correspondiente del ARCSA, la tarjeta de implante contempla en su tratamiento datos de carácter básico y especial al ser de salud. Dicho dispositivo es una fuente que proporciona a los pacientes la información de la tarjeta de implante incorporada en el cuerpo humano y dependiendo del procedimiento o de la afección del paciente, este dispositivo médico tendrá información diferente según el caso clínico. En consecuencia, la tarjeta de implante identifica directamente a un titular de datos personales, y para la identificación y trazabilidad de este dispositivo se necesitan datos de categoría especial, es decir, de salud por lo que requiere un mayor de nivel de protección. Para poder realizar un tratamiento de datos personales sensibles se debe contar con una base de legitimación y, adicionalmente, se debe dar íntegro cumplimiento a lo establecido en el artículo 26 de la LOPDP. Por consiguiente, el tratamiento respecto a la fabricación, provisión y/o comercialización de tarjetas de implantes, las cuales llegan a almacenar datos de salud de un titular, deben cumplir con lo establecido en el numeral 19 del artículo 66 CRE y, contar con la debida legitimación establecida en el artículo 7 de la LOPDP junto con los principios establecidos en el artículo 10 LOPDP. Al ser un tratamiento de datos personales sensibles es necesario realizar el análisis de riesgo con la finalidad de poder identificar estos, las medidas de control aplicables y, si efectivamente es viable llevarlo a cabo. Una vez identificado que el tratamiento de datos personales conlleva un alto riesgo para los derechos y libertades del titular, es menester realizar una evaluación de impacto, puesto que así se podrá determinar la idoneidad, la necesidad, y la proporcionalidad del tratamiento como el impacto qué puede o podrá generarse a los derechos y libertades fundamentales de los titulares. En contexto con la normativa detallada, todos los establecimientos de salud, fabricantes y/o titulares de registro sanitario tienen la obligación disponer toda la información respectiva de las tarjetas de implante a fin de establecer la trazabilidad del dispositivo médico implantable para poder identificar y ejecutar las acciones necesarias en caso de presentarse los eventos adversos establecidos en el artículo 27 de la Resolución N°ARCSA-DE-2023-016-AKRG. Sin embargo, no se puede considerar que la base de legitimación para dicho tratamiento es la normativa establecida en la Resolución N° ARCSA-DE-2023-016-AKRG, ya que de acuerdo con el artículo 66.19 CRE, los tratamientos de datos personales solamente pueden estar legitimados en una norma con rango de Ley, por lo que en el presente caso concreto, si bien el ARCSA es la autoridad competente y emitió su normativa la cual es aplicable, la misma debe estar en armonía con la CRE y la LOPDP, por lo que no puede ser tomada como mandato legal por no tener dicho rango normativo, como una base de legitimación de tratamiento. Por ello, deberá cumplir con otra base que legitime el tratamiento de datos personales, el cual en el presente caso debería ser el consentimiento del titular de datos personales y, adicionalmente cumplir con los principios constitucionales y los contemplados en la LOPDP, especialmente lo relacionado a: finalidad, pertinencia y minimización; y, proporcionalidad. En atención ello, los establecimientos de salud, fabricantes y/o titulares de registro pueden realizar el tratamiento de datos personales con respecto a la trazabilidad de las tarjetas de implante de conformidad con la Resolución N°. ARCSA-DE-2023-016-AKRG, solicitando el consentimiento informado de los titulares, en vista de que deben salvaguardar la vida e integridad del paciente. No obstante, solamente se deberán tratar los datos relativos a: 1. Nombre del Establecimiento en el que se realiza el implante; 2. Identificación del paciente (nombre y apellido); 3. Fecha del implante; 4. Código ECRI o GMDN y Nombre Genérico del Dispositivo Médico de Uso Humano; 5. Nombre comercial del Dispositivo Médico de Uso Humano; 6. Número de lote o serie del Dispositivo Médico de Uso Humano; 7. Nombre y dirección del fabricante; 8. Nombre y dirección del importador; 9. Número del registro sanitario; y, 10. UDI, cuando aplique, en función a lo dispuesto mediante la Resolución N°. ARCSA-DE-2023-016-AKRG.

Pronunciamiento

Considerando la consulta presentada por COPROMEDICA mediante Oficio S/N de noviembre 28 de 2024 y dentro del contexto del análisis desarrollado, se concluye que los establecimientos de salud, fabricantes y/o titulares de registro sanitario deben cumplir con la Resolución N°. ARCSA-DE-2023-016-AKRG, sin embargo, se deberá solicitar el consentimiento de los titulares de datos personales y, deberán tratar únicamente los datos personales prescritos en el artículo 32 de la Resolución antes indicada, para lo cual se recomienda implementar las medidas de control adecuadas con el objeto de garantizar mayor nivel de protección y seguridad de los datos, y garantizar en todo momento los principios de finalidad, pertinencia y minimización de datos personales, y de proporcionalidad contemplados en los literales d., e. y f. del artículo 10 LOPDP. En atención a las consultas específicas planteadas por el consultante se contesta lo siguiente: “¿Cuál es el proceso de tratamiento de datos personales que deben seguir los establecimientos de salud, fabricantes, y/o titulares de registros sanitarios con respecto a la trazabilidad de las tarjetas de implante?”. “(…) se consulta ¿Cuál es el procedimiento de tratamiento de datos personales que deben realizar los establecimientos de salud, fabricantes y/o titulares de registros sanitarios, que manejan datos personales a través “tarjetas de implante” de los dispositivos médicos invasivos (implantes)? (…)” La SPDP determina que el ciclo de vida del dato en este tratamiento, inicia con la trazabilidad de las tarjetas de implante siempre que se solicite el consentimiento de los titulares, en este sentido la finalidad del tratamiento de acuerdo con la con la Resolución N° ARCSA-DE-2023-016-AKRG es establecer la trazabilidad del dispositivo médico implantable para identificar y ejecutar las acciones que se requieran en caso de presentarse eventos adversos que puedan afectar al paciente. Una vez terminada la finalidad para la cual se recabaron los datos personales, los mismos deberán ser conservados en otra base de datos de manera pasiva por el tiempo justificado necesario, posterior del cual los datos deberán ser eliminados. “(…) Y, de ser el caso ¿Qué finalidad del dato sería la pertinente en este caso? Esto, considerando las disposiciones previstas en la Ley Orgánica de Protección de Datos Personales y su Reglamento.” Como se mencionó anteriormente, la finalidad para tratar los datos personales de los pacientes es la mencionada en la Resolución N° ARCSA-DE-2023-016-AKRG, la cual establece la trazabilidad del dispositivo médico implantable para identificar y ejecutar las acciones que se requieran en caso de presentarse eventos adversos que puedan afectar al paciente. El presente pronunciamiento deberá ser entendido en su integridad y se limita a la consulta específica presentada por la consultante, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0017-O

Preguntas

¿Es responsabilidad de cada notaría, de forma individual, nombrar un Delegado de Protección de Datos Personales? O, en su defecto, ¿es el Consejo de la Judicatura, como institución del sector público encargado de regular y supervisar el ejercicio de la actividad notarial, la entidad competente para designar un único Delegado de Protección de Datos Personales?

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° CNP-P-HVM-2025-0001 del 24 de enero de 2025, al análisis realizado y dando respuesta a la consulta planteada por el consultante determinamos lo siguiente; “¿Es responsabilidad de cada notaría, de forma individual, nombrar un Delegado de Protección de Datos Personales? (…)” No es responsabilidad de cada notaría nombrar un DPD en virtud del artículo 49 de la LOPDP, por cuanto no ejercen las funciones de máximas autoridades de una entidad pública. “ (…) O, en su defecto, ¿es el Consejo de la Judicatura, como institución del sector público encargado de regular y supervisar el ejercicio de la actividad notarial, la entidad competente para designar un único Delegado de Protección de Datos Personales?” En relación con la segunda pregunta, ésta corresponde a una hipótesis que aún no ha sido materia de regulación por parte de la SPDP, para lo cual expedirá la normativa necesaria en el futuro, a fin de que el tratamiento de datos dentro del servicio notarial se dé en cumplimiento del régimen jurídico de la protección de datos personales vigente. Por lo tanto, la Superintendencia de Protección de Datos Personales se abstiene de responder la segunda pregunta planteada.El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0031-O

Preguntas

¿Es procedente el tratamiento de datos biométricos para el registro de Asistencia de trabajadores por parte del Empleador?, ¿es necesario el consentimiento expreso para el tratamiento de esos datos biométricos para control de asistencia?, ¿sin consentimiento es procedente el tratamiento de esos datos bajo las otras circunstancias del Art. 26, de la LOPDP?

Análisis

Con base en la normativa previamente citada, se evidencia que la CRE consagra el derecho de protección de datos personales estableciendo que para que se pueda realizar un tratamiento de datos personales, éste solamente podrá realizarse con la autorización del titular de datos personales o por mandato legal. Bajo estos lineamientos, la LOPDP y su Reglamento regulan específicamente el derecho a la protección de datos personales. En este sentido, tanto la CRE como la normativa específica de la materia establecen la obligación de los responsables de datos personales de cumplir con los principios, así como al obligación de implementar las suficientes y adecuadas medidas de seguridad que garanticen la confidencialidad, disponibilidad e integridad de la información en todo momento. En este sentido, la LOPDP distingue categorías de datos personales, dentro de las cuales se contemplan dos principales. La primera, es la de datos personales generales, la cual hace referencia a toda la información básica de una persona que no afecta a la esfera íntima de una persona ni es considerado dato especial. La segunda, es la categoría de datos personales especiales, la cual se subdivide en las siguientes: datos personales sensibles; datos de niñas, niños y adolescentes; datos de salud; datos de personas con discapacidad y, se entiende que dentro de esta categoría también se encuentran contemplados los datos crediticios y la excepcionalidad de personas fallecidas. Es así como, dentro de la categoría de datos especiales sensibles, la LOPDP incluye a los datos biométricos y los define como todo dato personal único que contiene información personalísima e íntima de una persona natural referente a características físicas o fisiológicas o conductas de una persona natural, tales como datos dactiloscópicos1. Al considerarse los datos personales especiales sensibles pertenecientes a la esfera más íntima de una persona natural, estos deben ser objeto de mayor protección y, por ende, la LOPDP como regla general prohíbe su tratamiento, sin embargo, establece un artículo específico de excepciones al tratamiento de esta categoría de datos personales, reconociendo las siguientes excepciones: por consentimiento, para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del derecho laboral y de la seguridad y protección social, para proteger intereses vitales, datos que el titular haya hecho manifiestamente públicos, por orden de autoridad juridicial, para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, los cuales deben ser proporcionales al objetivo perseguido, así como cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la presente Ley. Ahora bien, es menester analizar cada una de las excepciones mencionadas a la luz de lo consagrado en la CRE y en aplicación específica al tratamiento de datos personales biométricos como medio de registro de asistencia de los titulares a su lugar de trabajo. Respecto a la excepción contenida en el literal b del artículo 26 de la misma ley, ésta establece que se podrá tratar datos sensibles para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del derecho laboral y de la seguridad y protección social, la cual no aplica en el presente caso debido a que no hay ninguna norma expresa la cual obligue al responsable de tratamiento (empleador como personal natural o persona jurídica) a registrar la asistencia con el uso de dispositivos biométricos. Con relación a la excepción contenida en el literal c, ésta hace referencia al uso de datos sensibles de manera necesaria “para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento”, hipótesis normativa que no resulta aplicable en el supuesto propuesto debido a que las personas que registran su asistencia se entienden que son plenamente capaces. Respecto al literal d del artículo 26 de la norma analizada, contempla la excepción del uso de datos sensibles, que es el caso en el cual el titular los haya hecho manifiestamente públicos, circunstancia que no aplica en este caso debido a que se entiende que ninguna de las personas que registran su asistencia a su lugar de trabajo ha publicado en ningún portal ni red pública su huella dactilar, iris ni datos similares considerados biométricos y, en el caso excepcional de que una persona lo haya hecho correspondería a un porcentaje mínimo, casi inexistente de personas que lo hayan realizado. Con relación al literal e del mismo artículo previamente mencionado, reconoce la posibilidad de tratar datos personales sensibles por orden de autoridad judicial, lo que no aplica al presente caso debido a que ninguna autoridad judicial podría emitir una orden en dicho sentido ya que se consideraría inconstitucional con base en los artículos previamente citados de la CRE. Respecto al literal f del artículo 26 de la misma ley, contempla la excepción de tratar datos sensibles en caso de que tenga fines “de archivo en interés público, fines de investigación científica o histórica o fines estadísticos”, supuesto que no se configura en el presente caso debido a que son finalidades totalmente opuestas y distintas. En relación al literal g contenido en el mismo artículo, el cual contempla la posibilidad de tratar datos personales sensibles de salud, tampoco resulta aplicable en el supuesto consultado debido a que los datos biométricos son sensibles, pero no se consideran datos de salud. Finalmente, se ha dejado a la excepción contenida en el literal a del artículo 26 para el análisis final, toda vez que hace referencia a la posibilidad de tratar datos personales con la base legitimadora del consentimiento del titular de datos personales, que podría asumirse hipotéticamente es aplicable; sin embargo, es indispensable realizar un análisis del uso del consentimiento para legitimar el tratamiento de uso de los datos biométricos para el registro de asistencia del titular de datos personales al lugar de trabajo. En este sentido, la LOPDP establece que para que el consentimiento pueda ser considerado válido éste debe ser libre, específico, informado e inequívoco. Términos que deben ser entendidos de acuerdo con los lineamientos explicados en el mismo cuerpo legal. Empero, respecto a la característica de libre, se establece que esta libertad se entenderá así cuando “se encuentre exenta de vicios del consentimiento”2, lo que nos plantea la necesidad de revisar el artículo 1472 del CC, el cual consagra como uno de los vicios del consentimiento a la fuerza, la cual vicia el consentimiento cuando es “capaz de producir una impresión fuerte en una persona de sano juicio, tomando en cuenta su edad, sexo y condición. Se mira como fuerza de este género todo acto que infunde a una persona justo temor de verse expuestos ella, su cónyuge o alguno de sus ascendientes o descendientes, a un mal irreparable y grave.” Adicionalmente, dentro del mismo artículo se hace referencia al temor reverencial concepto al cual lo define como “el solo temor de desagradar a las personas a quienes se debe sumisión y respeto” e indica que dicho concepto no basta para viciar el consentimiento. Es sobre este concepto donde se ha ejemplificado por la doctrina3 como la relación que puede existir entre un trabajador frente a su empleador, debido a que el trabajador le debe sumisión y respeto, dentro del ámbito laboral, por la naturaleza de su relación. Sin embargo, el temor reverencial debe ser analizado en el contexto de las situaciones en las que se aplica y en relación y armonía con el ordenamiento jurídico ecuatoriano, los principios que consagra y los tratados internacionales. En este sentido, también se ha mencionado que “(…) el temor reverencial es un tipo de emoción que afecta el consentimiento, dado que el tipo de relaciones que dependen de ese temor son valiosas (jefes, superiores jerárquicos, autoridades familiares, eclesiásticas o políticas)”4 (énfasis agregado), es así que se entiende al temor reverencial como un temor dado por respeto a una persona que ostenta un cargo de poder frente a otra. Una vez aclarado el concepto de temor reverencial, es imperioso precisar los límites de éste, los cuales se identifican cuando se analiza éste en conjunto con el bloque de constitucionalidad, toda vez que en relación con la aplicación de temor reverencial, éste no puede ir en contra de los principios reconocidos en la constitución, en los tratados internacionales, ni de la normativa vigente debido a que se incurriría en la vulneración de derechos de una persona. En este sentido, se menciona que “(…) el consentimiento para que los mismos se desconozcan ante escenarios por ejemplo de temor reverencial que se traslada a esta pérdida de derechos para no perder su trabajo, o tener algún tipo de ingreso, gozan de total invalidez jurídica y en cualquier momento pueden ser tutelados por el trabajador”5 (énfasis agregado). Es así que se debe entender al temor reverencial aplicable en órdenes, disposiciones y/o actividades relacionadas al trabajo específico que se presta, pero bajo ningún concepto puede ser aplicado a situaciones donde se pida al trabajador, como persona que está bajo una relación de poder o subordinación, que consienta o realice alguna actividad que afecten su esfera íntima y/o sus derechos. Al solicitar el consentimiento para el registro de la asistencia laboral en una relación de trabajador y empleador o, de manera general, de una persona la cual reciba ordenes o realice un trabajo por prestación de servicios y/o tenga una persona un cargo de mayor jerarquía demuestra un claro desequilibro de condiciones entre las partes y, efectivamente genera un temor real (que traspasa los límites propios del temor reverencial) relacionado no solamente al desagrado sino que va mucho más allá e infunde a una persona de sano juicio con plenas capacidades un temor real grave e irreparable de poder perder su trabajo por no firmar un consentimiento que busca acceder a información íntima de la persona. En este sentido, se recalcan los artículos previamente citados de la CRE los cuales reconocen la vida digna de las personas, la cual incluye ente otros, contar con un trabajo/empleo justo que respete los derechos de las personas sin violentar su esfera de privacidad ni intimidad en ningún ámbito ni grado. Por lo tanto, el hecho de usar la base legitimadora del consentimiento para el tratamiento de datos personales biométricos con finalidades de registro de asistencia laboral en cualquiera de sus ámbitos, se considera que hay un temor real a la pérdida de trabajo (que no configura el temor reverencial) y, por ende, la posibilidad de no alcanzar una vida digna; por lo que se considera la configuración de la existencia de una fuerza real que desborda la esfera del temor reverencial debido a que se busca consentimiento para acceso y uso de información privada e íntima de una persona natural, lo que no se relaciona en lo absoluto con las condiciones propias de una relación laboral o de trabajo; menos resulta aplicable en ninguna situación donde exista una relación de poder, lo cual justifique tal invasión. En este sentido, el hecho de solicitar un consentimiento ilegitimo no solamente genera afectación al derecho de protección de datos personales, sino que al crear un temor en el no acceso o la pérdida de trabajo también se vulneraría el derecho a la libertad de trabajo, el derecho a una vida digna, al desarrollo personal y el derecho al proyecto de vida el cual ha sido reconocido por la Corte Interamericana de DDHH.6 Una vez que se ha analizado y concluido que el registro de datos biométricos para efectos del registro de asistencia no puede ni debe aplicarse bajo ninguna consideración bajo ninguna de las bases legitimadoras, cabe mencionar que la LOPDP reconoce principios básicos los cuales deben ser aplicados en todos los tratamientos de datos personales de manera adicional y conjunta con las bases legitimadoras. En este sentido se hace mención y especial énfasis a dos principios. El primero, de Pertinencia y minimización de datos personales, el cual hace referencia a que todos los datos personales que se soliciten para una finalidad específica deben ser los adecuados, pertinentes y mínimos necesarios los cuales permitan al responsable o encargado de tratamiento cumplir con la finalidad específica para la cual se solicitó la información. El segundo, es el de Proporcionalidad del tratamiento, el cual busca que el tratamiento de datos personales sea adecuado, necesario, oportuno, relevante y no excesivo respecto a las finalidades. Con base en lo mencionado, la finalidad de registro de asistencia puede cumplirse a través de diferentes medios y formas que no se sean tan invasivas como, por ejemplo, el uso de tarjetas magnéticas, registro manual de asistencia, registro en ordenadores verificando el IP al momento del ingreso y salida, entre otras. Es así que el uso de datos biométricos para el registro de asistencia no es ni proporcional ni necesario y, por ende, es excesivo al poderse cumplir con la misma finalidad a través de otros medios menos invasivos y reconocidos y aceptados en el régimen laboral vigente. Finalmente, cabe mencionar que es necesario realizar un análisis de riesgos previo a cualquier tratamiento de datos personales y, en los tratamientos que se identifique y tengan un riesgo alto se debe llevar a cabo una evaluación de impacto con la finalidad de implementar medidas adecuadas de seguridad para mitigar los riesgos y obtener un riesgo residual que sea manejable y prudente que no afecte los derechos de los titulares de datos personales. En este sentido se recomienda que previo a la posibilidad de aplicación de tratamientos de datos biométricos se realice una evaluación de impacto para el cumplimiento de la LOPDP.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN del 21 de enero de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante determinamos lo siguiente: “ ¿Es procedente el tratamiento de datos biométricos para el registro de Asistencia de trabajadores por parte del Empleador? (…)” Entendiendo a la palabra “procedente” como aplicable y, con base en el análisis previo realizado se determina que no se debe usar dicho método para el registro de asistencia ya que, el uso de datos biométricos para registro de asistencia es desproporcionado e impertinente, por lo que no se recomienda su aplicación. “(…) ¿es necesario el consentimiento expreso para el tratamiento de esos datos biométricos para control de asistencia? (…)” De acuerdo con el análisis previo no es necesario solicitar consentimiento ya que no se considera un consentimiento libre. “(…) ¿sin consentimiento es procedente el tratamiento de esos datos bajo las otras circunstancias del Art. 26, de la LOPDP?” No se considera justificado bajo ninguna base legitimadora del art 26 ni cumple con los principios consagrados en la LOPDP. El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la persona consultante su aplicación.

Oficio N° SPDP-IRD-2025-0036-O

Preguntas

¿Las Cooperativas de Ahorro y Crédito deben designar un Delegado de Protección de Datos Personales?
En caso de requerirlo, ¿La designación del Delegado de Protección de Datos Personales que deben realizar las cooperativas de ahorro y crédito debe efectuarse una vez cuando sea requerido por la Superintendencia de Protección de Datos Personales o ya se debe contar con un Delegado dentro de la institución?

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° FECOAC-GG2025-023 del 12 de febrero de 2025, al análisis realizado y dando respuesta a la consulta planteada por el consultante determinamos lo siguiente;

¿Las Cooperativas de Ahorro y Crédito deben designar un Delegado de Protección de Datos Personales?

Sí, ya que son parte del sector financiero popular y solidario.

En caso de requerirlo, ¿La designación del Delegado de Protección de Datos Personales que deben realizar las cooperativas de ahorro y crédito debe efectuarse una vez cuando sea requerido por la Superintendencia de Protección de Datos Personales o ya se debe contar con un Delegado dentro de la institución?

La LOPDP se encuentra vigente desde el año 2021 y el régimen sancionatorio desde el año 2023, por lo que la obligación de designarlo nace desde la vigencia de la LOPDP y el RLOPDP por lo que desde su vigencia las cooperativas de ahorro y crédito deben contar con un DPD.
El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0065-O

Preguntas

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN del 25 de marzo de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“¿Es aplicable el tratamiento de datos biométricos para el registro de asistencia de servidores públicos en función del interés general? En caso de ser procedente, ¿Bajo qué circunstancias del Art. 26, de la LOPDP sería aplicable?”

El tratamiento de datos biométricos, en el presente caso planteado, puede aplicarse siempre y cuando pase el test de proporcionalidad, no emita un riesgo alto ni crítico posterior al análisis de riesgos realizados, y cuente con una evaluación de impacto que establezca las medidas de mitigación de riesgo adecuadas, pertinentes, proporcionales y necesarias al tratamiento de datos específicos. Una vez que cuente con todos los pasos anteriores y no haya un riesgo alto ni crítico, se deberá contar con el consentimiento de los titulares; consentimiento que, para tenérselo por libre, específico, informado e inequívoco, deberá permitirle al titular disponer de la posibilidad real de escoger entre varias alternativas para el control de su asistencia. Por lo tanto, el interés general no es una base legitimadora reconocida en la CRE ni en el artículo 26 de la LOPDP, por lo que no aplica en el presente caso planteado.

“¿Es procedente que un trabajador o ex trabajador solicite, en virtud de su derecho de acceso (Art. 13 de la LOPDP), sus documentos que fueron generados durante la relación laboral (contratos de trabajo, avisos de entrada y salida a la seguridad social, roles de pago, renuncias, entre otros), mismos que contienen información personal?”

Sí es procedente que un trabajador o extrabajador solicite el acceso total a documentos que contienen sus datos personales que haya otorgado como trabajador y los que se hayan generado y contengan información que identifiquen o le hagan identificable.

“En caso de detectarse información errónea o desactualizada sobre la forma de terminación de la relación laboral, como una supuesta renuncia voluntaria o abandono cuando en realidad se trató de otra causal, ¿Es válido solicitar la rectificación de dicha información conforma al Art. 14 de la LOPDP?”

Por tratarse de una cuestión de hecho, la causal de terminación de la relación laboral se podrá rectificar siempre y cuando una autoridad judicial la hubiese declarado en su sentencia, que, tal cual está apuntado, deberá estar ejecutoriada y pasada en autoridad de cosa juzgada. Cumplido lo anterior, el titular de datos personales podrá ejercer su derecho de rectificación ante el responsable de tratamiento.
El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la persona consultante su aplicación.

Oficio N° SPDP-IRD-2025-0089-O

Preguntas

“1.¿Cuál es la figura jurídica adecuada para designar al Delegado de Protección de Datos  Personales (DPDP) en una institución del sector público, considerando que el artículo 49 inciso segundo del RGLOPDP únicamente nos indica que lo designa la máxima autoridad? 
¿Es necesario que este cargo conste previamente en el orgánico estructural y funcional de la entidad de conformidad con la LOSEP y demás normativa que regula el desempeño de un puesto público, o basta con su designación mediante resolución administrativa por parte de la máxima autoridad institucional que explique una toma de responsabilidad y figura jurídica? 
2. ¿Puede un funcionario público asumir simultáneamente el rol de DPDP y otras funciones dentro de la entidad, o se requiere que esta función se ejerza con dedicación exclusiva? 
3. ¿Qué nivel jerárquico o funcional mínimo debe tener el DPDP dentro de una entidad pública para que se asegure su autonomía, autoridad técnica y cumplimiento efectivo de sus responsabilidades según la LOPDP?”

Análisis

De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la Superintendencia de Protección de Datos Personales en el siguiente sentido: 

El numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:  
“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado). 

En concordancia con el artículo previamente citado, el artículo 4 y 5 de la LOPDP establecen:  
“Art. 4.- (…) Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.” 
“Art. 5.- Integrantes del sistema de protección de datos personales.- Son parte del sistema de protección de datos personales, los siguientes: 

1) Titular; 
2) Responsable del tratamiento; 
3) Encargado del tratamiento; 
4) Destinatario; 
5) Autoridad de Protección de Datos Personales; y, 
6) Delegado de protección de datos personales.” (énfasis agregado). 

En este contexto se menciona dentro del derecho a la información lo siguiente en el artículo 12 LOPDP:  
“Art. 12.- Derecho a la información.- El titular de datos personales tiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre: (…) 9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;” (énfasis agregado). 

Como obligaciones el artículo 47 y 48 de la LOPDP disponen lo siguiente:  
“Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a: (…) 13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;” (énfasis agregado). 
“Art. 48.- Delegado de protección de datos personales.- Se designará un delegado de protección de datos personales en los siguientes casos: 
1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República; 
2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales; 
3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y, 
4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia. 
La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.” (énfasis agregado). 
El artículo 49 de la LOPDP dispone:  
“Art. 49.- Funciones del delegado de protección de datos personales.- El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones: 
1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales; 
2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales; 
3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación; 
4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y, 
5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales. 

En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.” 
“Art. 50.- Consideraciones especiales para el delegado de protección de datos personales.- Para la ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de tratamiento de datos personales, deberán observar lo siguiente: 
1) Garantizar que la participación del delegado de protección de datos personales, en todas las cuestiones relativas a la protección de datos personales, sea apropiada y oportuna; 
2) Facilitar el acceso a los datos personales de las operaciones de tratamiento, así como todos los recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones; 
3) Capacitar y actualizar en la materia al delegado de protección de datos personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales; 
4) No podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones; 
5) El delegado de protección de datos personales mantendrá relación directa con el más alto nivel ejecutivo y de decisión del responsable y con el encargado; 
6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; y, 
7) El delegado de protección de datos personales estará obligado a mantener la más estricta confidencialidad respecto a la ejecución de sus funciones. 

Siempre que no exista conflicto con las responsabilidades establecidas en la presente Ley, su reglamento, directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales, el delegado de protección, de datos personales podrá desempeñar otras funciones dispuestas por el responsable o el encargado del tratamiento de datos personales.” (énfasis agregado). 
Respecto a la infracción y sanción de no contar con un DPD los artículos 68 y 76 disponen lo siguiente:  
“Art. 68.- Infracciones graves del Responsable de protección de datos.- Se consideran infracciones graves las siguientes: (…) 12) No designar al delegado de protección de datos personales cuando corresponda; (…)” 
“Art. 76.- Funciones atribuciones y facultades.- La Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades: (…) 2) Ejercer la potestad sancionadora respecto de responsables, delegados, encargados y terceros, conforme a lo establecido en la presente Ley; (…)”(énfasis agregado). 

En alcance a los artículos previamente citado el RLOPDP dispone los siguientes artículos:  
“Art. 48 .- Delegado de protección de datos - El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales. 

Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas. 

El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado. 

Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.” 
Art. 49.- Tipo de contratación.- El delegado de protección de datos podrá ser contratado por el responsable del tratamiento de datos personales, bajo la figura de relación de dependencia o a través de un contrato de prestación de servicios. Sin perjuicio de lo indicado, en cualquiera de los casos, deberá respetar y garantizar que se presten los servicios de manera independiente. 

Tratándose de las instituciones del sector público, el delegado de protección de datos será designado por la máxima autoridad institucional.  (…) 
Art. 51.- Prohibición de sanción al delegado de protección de datos.- El responsable y el encargado del tratamiento de datos personales deberán respetar el trabajo que ejecute el delegado de protección de datos personales, y no se aplicarán sanciones por el hecho de desempeñar y cumplir sus funciones. En caso que el delegado sea sancionado o removido por motivo de la ejecución de sus funciones, podrá poner este hecho en conocimiento de la Autoridad de Protección de Datos Personales, que valorará las circunstancias en las que se produjo la desvinculación o sanción y validará las sanciones que correspondan, sin perjuicio de las acciones legales o judiciales a que hubiere a lugar por parte del delegado perjudicado. 

La Autoridad de Protección de Datos Personales establecerá el procedimiento de denuncia y las sanciones correspondientes para los casos de remoción o sanción injustificadas del delegado de protección de datos. 
Art. 52.- Buenas prácticas.- Los responsables o encargados del tratamiento de datos personales, que no se encuentren dentro de las categorías de obligados a designar un delegado de protección de datos, podrán hacerlo de manera voluntaria como un mecanismo de buena práctica y como parte de las medidas de responsabilidad proactiva a adoptar. 

En atención a sus necesidades institucionales, los responsables y encargados del tratamiento de datos personales podrán designar un delegado suplente, que actuará en caso de ausencia o impedimento temporal o definitivo del primero.” 
El artículo 55 y 56 del RLOPDP, establecen los requisitos e impedimentos para ser DPD disponiendo lo siguiente:  
“Art. 55.- Requisitos para ser delegado.- Sin perjuicio de otros requisitos que establezca la Autoridad de Protección de Datos Personales, para ser delegado de protección de datos personales, se requerirá: 
1. Estar en goce de los derechos políticos; 
2. Ser mayor de edad; 
3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y, 
4. Acreditar experiencia profesional de por lo menos cinco años. 
Art. 56.- Impedimento para ser delegado.- Sin perjuicio de otras que defina la Autoridad de Protección de Datos Personales, no podrán ser delegados de protección de datos personales las siguientes personas: 
1. Quienes formen parte de los órganos de administración y control del responsable y encargado; 
2. Los socios o accionistas del responsable y encargado; 
3. Los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y, 
4. Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales emitirá la normativa correspondiente en la que se establecerán los supuestos específicos que darían lugar a dicho conflicto de intereses. 

Tratándose de las instituciones del sector público, la Autoridad de Protección de Datos Personales definirá las incompatibilidades para ser delegado de protección de datos personales para cada caso en particular.” (énfasis agregado). 

El artículo 57 del RLOPDP dispone lo siguiente:  
“Art. 57.- Acuerdos de Confidencialidad.- El delegado de protección de datos personales suscribirá un acuerdo de confidencialidad respecto de la información que llegase a conocer o respecto de la cual pueda llegar a tener acceso por el desempeño de su cargo. Las partes acordarán, libremente, los términos y condiciones del acuerdo, pero en ningún caso tales documentos podrán limitar el acceso del delegado a la información que estime necesaria para el desempeño de su función. 

El incumplimiento de los acuerdos de confidencialidad estará sujeto a las responsabilidades civiles y penales a las que hubiere lugar. 

Este deber de guardar confidencialidad subsistirá incluso una vez que haya concluido la relación jurídica con el responsable o encargado.” (énfasis agregado). 

En concordancia con lo previamente mencionado, el artículo 47 del Código Orgánico Administrativo (“COA”) establece lo siguiente:  
“Art. 47.- Representación legal de las administraciones públicas. La máxima autoridad administrativa de la correspondiente entidad pública ejerce su representación para intervenir en todos los actos, contratos y relaciones jurídicas sujetas a su competencia. Esta autoridad no requiere delegación o autorización alguna de un órgano o entidad superior, salvo en los casos expresamente previstos en la ley.” (énfasis agregado). 

Asimismo, el artículo 17 de la Ley Orgánica de Servicio Público (“LOSEP”) dispone:  
“Art. 17.- Clases de Nombramiento.- Para el ejercicio de la función pública los nombramientos podrán ser:
a) Permanentes: Aquellos que se expiden para llenar vacantes mediante el sistema de selección previstos en esta Ley;
b) Provisionales, aquellos que se expiden para ocupar:
b.1) El puesto de un servidor que ha sido suspendido en sus funciones o destituido, hasta que se produzca el fallo de la Sala de lo Contencioso Administrativo u otra instancia competente para este efecto;
b.2) El puesto de una servidora o servidor que se hallare en goce de licencia sin remuneración. Este nombramiento no podrá exceder el tiempo determinado para la señalada licencia;
b.3) Para ocupar el puesto de la servidora o servidor que se encuentre en comisión de servicios sin remuneración o vacante. Este nombramiento no podrá exceder el tiempo determinado para la señalada comisión;
b.4) Quienes ocupen puestos comprendidos dentro de la escala del nivel jerárquico superior; y,
b.5) De prueba, otorgado a la servidora o servidor que ingresa a la administración pública o a quien fuere ascendido durante el periodo de prueba. El servidor o servidora pública se encuentra sujeto a evaluación durante un periodo de tres meses, superado el cual, o, en caso de no haberse practicado, se otorgará el nombramiento definitivo; si no superare la prueba respectiva, cesará en el puesto. De igual manera se otorgará nombramiento provisional a quienes fueron ascendidos, los mismos que serán evaluados dentro de un periodo máximo de seis meses, mediante una evaluación técnica y objetiva de sus servicios y si se determinare luego de ésta que no califica para el desempeño del puesto se procederá al reintegro al puesto anterior con su remuneración anterior;
c) De libre nombramiento y remoción; y,
d) De período fijo. Los nombramientos provisionales señalados en los literales b.1) y b.2) podrán ser otorgados a favor de servidoras o servidores públicos de carrera que prestan servicios en la misma institución; o a favor de personas que no tengan la calidad de servidores públicos.” (énfasis agregado). 

El artículo 56 de la LOSEP establece:  
“Art. 56.- De la planificación institucional del talento humano.- Las Unidades de Administración del Talento Humano estructurarán, elaborarán y presentarán la planificación del talento humano, en función de los planes, programas, proyectos y procesos a ser ejecutados. Las Unidades de Administración del Talento Humano de las Entidades del Sector Público, enviarán al Ministerio del Trabajo, la planificación institucional del talento humano para el año siguiente para su aprobación, la cual se presentará treinta días posteriores a la expedición de las Directrices Presupuestarias para la Proforma Presupuestaria del año correspondiente. Esta norma no se aplicará a los miembros activos de las Fuerzas Armadas y Policía Nacional, Universidades y Escuelas Politécnicas Públicas y a las entidades sujetas al ámbito de la Ley Orgánica de Empresas Públicas. Los Gobiernos Autónomos Descentralizados, sus entidades y regímenes especiales, obligatoriamente tendrán su propia planificación anual del talento humano, la que será sometida a su respectivo órgano legislativo.” (énfasis agregado). 

El artículo 58 de la LOSEP establece:  
“Art. 58.- De los contratos de servicios ocasionales.- La suscripción de contratos de servicios ocasionales será autorizada de forma excepcional por la autoridad nominadora, para satisfacer necesidades institucionales no permanentes, previo el informe motivado de la Unidad de Administración del Talento Humano, siempre que exista la partida presupuestaria y disponibilidad de los recursos económicos para este fin. La contratación de personal ocasional para la ejecución de actividades no permanentes, no podrá sobrepasar el veinte por ciento de la totalidad del personal de la entidad contratante; en caso de que se superare dicho porcentaje, deberá contarse con la autorización previa del Ministerio de Trabajo. Se exceptúa de este porcentaje a las personas con discapacidad, debidamente calificadas por la Autoridad Sanitaria Nacional a través del Sistema Nacional de Salud; personas contratadas bajo esta modalidad en instituciones u organismos de reciente creación, hasta que se realicen los correspondientes concursos de selección de méritos y oposición, en el caso de puestos que correspondan a proyectos de inversión o comprendidos en la escala del nivel jerárquico superior; y el de las mujeres embarazadas. Por su naturaleza, este tipo de contratos no generan estabilidad, en el caso de las mujeres embarazadas la vigencia del contrato durará "hasta el fin del período fiscal en que concluya su período de lactancia", de acuerdo con la ley. El personal que labora en el servicio público bajo esta modalidad tendrá relación de dependencia y derecho a todos los beneficios económicos contemplados para el personal de nombramiento permanente, con excepción de las indemnizaciones por supresión de puesto o partida o incentivos para jubilación. Las servidoras o servidores públicos sujetos a este tipo de contrato no ingresarán a la carrera del servicio público, mientras dure su contrato. Nada impedirá a una persona con un contrato ocasional presentarse a un concurso público de méritos y oposición mientras dure su contrato. Para las y los servidores que tuvieran suscritos este tipo de contratos, no se concederá licencias y comisiones de servicios con o sin remuneración para estudios regulares o de postgrados dentro de la jornada de trabajo, ni para prestar servicios en otra institución del sector público. Las y los servidores que tienen suscritos este tipo de contratos tendrán derecho a los permisos mencionados en el artículo 33 de esta Ley. Este tipo de contratos, por su naturaleza, de ninguna manera representará estabilidad laboral en el mismo, ni derecho adquirido para la emisión de un nombramiento permanente, pudiendo darse por terminado en cualquier momento por alguna de las causales establecidas en la presente ley y su reglamento. La remuneración mensual unificada para este tipo de contratos será la fijada conforme a los valores y requisitos determinados para los puestos o grados establecidos en las Escalas de Remuneraciones fijadas por el Ministerio de Trabajo, el cual expedirá la normativa correspondiente. El contrato de servicios ocasionales que no se sujete a los términos de esta Ley será causal para la conclusión automática del mismo y originará, en consecuencia, la determinación de las responsabilidades administrativas, civiles o penales de conformidad con la ley. Cuando la necesidad institucional pasa a ser permanente, la Unidad Administrativa de Talento Humano planificará la creación del puesto el cual será ocupado agotando el concurso de méritos y oposición, previo al cumplimiento de los requisitos y procesos legales correspondientes. Se considerará que las necesidades institucionales pasan a ser permanentes cuando luego de un año de contratación ocasional se mantenga a la misma persona o se contrate a otra, bajo esta modalidad, para suplir la misma necesidad, en la respectiva institución pública. La Unidad Administrativa de Talento Humano bajo sanción en caso de incumplimiento tendrá la obligación de iniciar el concurso de méritos y oposición correspondiente, tiempo en el cual se entenderá prorrogado el contrato ocasional hasta la finalización del concurso y la designación de la persona ganadora. Los servidores responsables determinados en los artículos 56 y 57 de esta ley, deberán, presentar las planificaciones, solicitudes, aprobaciones e informes que se necesitan para poder convocar a concurso de méritos y oposición, inmediatamente a partir de la fecha de terminación del contrato ocasional; caso contrario será causal de remoción o destitución del cargo según corresponda. Las servidoras o servidores públicos responsables de la Unidad Administrativa de Talento Humano que contravengan con lo dispuesto en este artículo serán sancionados por la autoridad nominadora o su delegado, con la suspensión o destitución del cargo previo el correspondiente sumario administrativo, proceso disciplinario que será vigilado por el Ministerio de Trabajo. En todos los casos, se dejará constancia por escrito de la sanción impuesta en el expediente personal de la servidora o servidor.” (énfasis agregado). 

El artículo 65 de la LOSEP dispone:  
“Art. 65.- Del ingreso a un puesto público.- El ingreso a un puesto público será efectuado mediante concurso de merecimientos y oposición, que evalúe la idoneidad de los interesados y se garantice el libre acceso a los mismos. El ingreso a un puesto público se realizará bajo los preceptos de justicia, transparencia y sin discriminación alguna. Respecto de la inserción y accesibilidad en igualdad de condiciones al trabajo remunerado de las personas con discapacidad y de las comunidades, pueblos y nacionalidades, se aplicarán acciones afirmativas. El Ministerio del Trabajo implementará normas para facilitar su actividad laboral. La calificación en los concursos de méritos y oposición debe hacerse con parámetros objetivos, y en ningún caso, las autoridades nominadoras podrán intervenir de manera directa, subjetiva o hacer uso de mecanismos discrecionales. Este tipo de irregularidades invalidarán los procesos de selección de personal. Durante la calificación de los concursos de méritos y oposiciones, se otorgará un puntaje adicional a los aspirantes que demuestren haber sido acreedores a un reconocimiento dentro del Programa Nacional de Reconocimientos a la Excelencia Académica o que hubieren alcanzado algún reconocimiento a la excelencia en el ámbito de la formación técnica, tecnológica o su equivalente, reconocida por el ente rector de la Educación Superior, Ciencia, Tecnología e Innovación.” 

El artículo 85 de la LOSEP indica:  
“Art. 85.- Servidoras y servidores públicos de libre nombramiento y remoción.- Las autoridades nominadoras podrán designar, previo el cumplimiento de los requisitos previstos para el ingreso al servicio público, y remover libremente a las y los servidores que ocupen los puestos señalados en el literal a) y el literal h) del Artículo 83 de esta Ley. La remoción así efectuada no constituye destitución ni sanción disciplinaria de ninguna naturaleza.” 

Asimismo, el artículo 16 y 17 del Reglamento General a la Ley Orgánica del Servicio Público (“RLOSEP”) menciona:  
“Art. 16.- Nombramiento.- Entiéndase por nombramiento el acto unilateral del poder público expedido por autoridad competente o autoridad nominadora mediante la expedición de un decreto, acuerdo, resolución, acta o acción de personal, que otorga capacidad para el ejercicio de un puesto en el servicio público.  
Art. 17.- Clases de nombramientos.- Los nombramientos extendidos para el ejercicio de un puesto en la función pública pueden ser: a) Permanentes: El que se otorga a la o el ganador del concurso de méritos y oposición, una vez que haya aprobado el período de prueba; b) Provisionales: Aquellos otorgados para ocupar temporalmente los puestos determinados en el literal b) del artículo 17 de la LOSEP; no generarán derecho de estabilidad a la o el servidor; c) De libre nombramiento y remoción: Los expedidos a favor de personas que van a ocupar puestos de dirección política, estratégica o administrativa en las instituciones del Estado; y, d) De período fijo: Aquellos cuyos titulares son nombrados para ejercer un puesto en el servicio público por un período determinado por mandato legal.” 

El artículo 141 del RLOSEP indica:  
“Art. 141.- De la planificación institucional del talento humano.- Sobre la base de las políticas, normas e instrumentos del Ministerio de Relaciones Laborales, las UATH, de conformidad con el plan estratégico institucional, portafolio de productos, servicios, procesos, y procedimientos diseñarán los lineamientos en que se fundamentarán las diferentes unidades o procesos administrativos, para la elaboración de la planificación del talento humano necesario en cada una de ellas. Posteriormente las UATH deberán remitir la información en el término señalado en el segundo inciso del artículo 56 de la LOSEP, para la aprobación del Ministerio de Relaciones Laborales. La planificación del talento humano se constituirá en un referente para los procesos de creación de puestos, la contratación de servicios ocasionales, contratos civiles de servicios profesionales, los convenios o contratos de pasantías o prácticas laborales, la supresión de puestos y demás movimientos de personal, y se registrarán en el sistema de información que el Ministerio de Relaciones Laborales determine. (…)” 

El artículo 143 del RLOSEP establece:  
“Art. 143.- De los contratos de servicios ocasionales.- La autoridad nominadora, podrá suscribir contratos para la prestación de servicios ocasionales, previo informe favorable de la UATH. El informe justificará la necesidad de trabajo ocasional, certificará el cumplimiento de los requisitos previstos en la LOSEP y este Reglamento General para el ingreso ocasional al servicio público por parte de la persona a ser contratada; para el efecto se contará con la certificación de que existen los recursos económicos disponibles en la correspondiente partida presupuestaria y se observará que la contratación no implique aumento en la masa salarial aprobada; en caso de que esta contratación implique aumento de la masa salarial aprobada, deberá obtenerse en forma previa las respectivas autorizaciones favorables. El plazo máximo de duración del contrato de servicios ocasionales será de hasta doce meses o hasta finalizar el ejercicio fiscal en curso, y podrá ser renovado por única vez hasta por doce meses adicionales en el siguiente ejercicio fiscal, en cuyo caso no será necesaria la suscripción de un nuevo contrato por el transcurso del nuevo ejercicio fiscal, bastando la decisión administrativa que en tal sentido expida la autoridad nominadora o su delegado la cual se incorporará al expediente respectivo al igual que la certificación presupuestaria que expida la unidad financiera de la institución. Se podrán suscribir varios contratos de servicios ocasionales entre la misma institución y la o el mismo servidor, durante un ejercicio fiscal en curso, que se pueden renovar dentro del consecutivo ejercicio fiscal, por necesidad institucional solo hasta 12 meses adicionales. Superado este plazo ya no se podrán contratar con la o el mismo servidor; y, pasado un ejercicio fiscal se podrá contratar nuevamente. Cuando las instituciones del Estado hayan contratado personal hasta el lapso de tiempo que permite el artículo 58 de la LOSEP, en el que se incluye la renovación, de persistir la necesidad de cumplimiento de actividades permanentes, la UATH planificará la creación del puesto el cual será ocupado agotando el concurso de méritos y oposición. En caso de proceder a la renovación del contrato de servicios ocasionales, no se suspende la relación entre la o el servidor y la institución contratante. El personal sujeto a contratos de servicios ocasionales, podrá subrogar o encargarse de un puesto de aquellos comprendidos dentro de la escala del nivel jerárquico superior o de la escala nacional de remuneraciones mensuales unificadas de los servidores públicos, para lo cual deberá cumplir con los requisitos y perfiles para el puesto a subrogar o encargarse. La UATH en el informe previo a la contratación deberá incorporar dicha posibilidad, la cual constará de manera expresa como cláusula en el contrato a suscribirse. Si se requiere que la servidora o servidor contratado ejecute parcial o totalmente actividades o funciones distintas a las determinadas en el contrato, se podrá realizar un adendum al mismo en acuerdo entre las partes, o se deberá dar por terminado el contrato, previo al cumplimiento de las disposiciones establecidas en la LOSEP y este Reglamento General, y este último caso celebrar un nuevo contrato. Por su naturaleza, este tipo de contratos no genera estabilidad laboral alguna, no son sujetos de indemnización por supresión de puestos o partidas, incentivos para la jubilación, planes de retiro voluntario con indemnización, compras de renuncias, compensaciones por renuncia voluntaria, licencias sin remuneración y comisiones de servicio con remuneración para estudios regulares de postgrado, no ingresarán a la carrera del servicio público mientras dure la relación contractual; sin embargo, las personas contratadas deberán cumplir con todos los requisitos y el perfil del puesto exigido en los manuales institucionales y en el Manual Genérico de Puestos. La UATH a fin de propender a una efectiva realización de sus actividades, desde el primer momento, será responsable de la implementación de mecanismos de inducción para las y los servidores con contratos de servicios ocasionales. Todos los contratos de servicios ocasionales celebrados por las instituciones comprendidas en el artículo 3 de la LOSEP, deberán ser registrados en el Sistema Informático Integrado del Talento Humano que implemente el Ministerio de Relaciones Laborales para el efecto. Para efectos presupuestarios y de pago, las instituciones deberán registrar estos contratos en el eSIPREN con la finalidad de expedir los distributivos de remuneraciones correspondientes y de ser el caso las respectivas reformas. Para las instituciones de la Función Ejecutiva, el Ministerio de Relaciones Laborales controlará los procedimientos de contratación utilizados por la UATH de cada institución, y verificará el cumplimiento de las políticas, normas e instrumentos de contratación ocasional; y, de su incumplimiento comunicará a la autoridad nominadora para la aplicación del régimen disciplinario, sin perjuicio de someter a conocimiento de la Contraloría General del Estado, para la determinación de responsabilidades a que hubiere lugar.” 

Asimismo, el artículo 148 del RLOSEP dispone:  
“Art. 148.- De los contratos civiles de servicios.- La autoridad nominadora podrá suscribir contratos civiles de servicios profesionales o contratos técnicos especializados sin relación de dependencia, siempre y cuando la UATH justifique que la labor a ser desarrollada no puede ser ejecutada por personal de su propia entidad u organización, fuere insuficiente el mismo o se requiera especialización en trabajos específicos a ser desarrollados, que existan recursos económicos disponibles en una partida para tales efectos, que no implique aumento en la masa salarial aprobada, y que cumpla con los perfiles establecidos para los puestos institucionales y genéricos correspondientes. Estos contratos se suscribirán para puestos comprendidos en todos los grupos ocupacionales y se pagarán mediante honorarios mensualizados. Las personas a contratarse bajo esta modalidad no deberán tener inhabilidades, prohibiciones e impedimentos establecidos para las y los servidores públicos. Tratándose de personas que hayan recibido indemnización o compensación económica por compra de renuncia, retiro voluntario, venta de renuncia u otras figuras similares, no constituirá impedimento para suscribir un contrato civil de servicios, conforme lo establece la LOSEP y este Reglamento General. Las personas extranjeras, podrán prestar sus servicios al Estado Ecuatoriano, mediante la suscripción de contratos civiles de servicios profesionales o de servicios técnicos especializados para lo cual se estará a lo que establece para estas personas en la LOSEP, en este Reglamento General y las normas legales aplicables.” 

Con base en la normativa previamente citada, pueden ser designados como Delegados de Protección de Datos Personales aquellas personas naturales que cumplan con los requisitos establecidos en el artículo 55 del RLOPDP. En tal sentido, el DPD deberá estar en pleno goce de sus derechos políticos, ser mayor de edad, poseer un título de tercer nivel en las áreas de derecho, sistemas de información, comunicación o tecnologías, así como acreditar una experiencia profesional mínima de cinco años en la carrera profesional que ostente de las previamente mencionadas. Estos requisitos buscan garantizar que quien asuma este rol cuente con el conocimiento necesario para asesorar, supervisar y velar por el cumplimiento de la normativa en materia de protección de datos personales, en concordancia con lo establecido en el artículo 4 de la LOPDP.  

Respecto a la forma de contratación del DPD, se ha evidenciado que ni la Ley Orgánica de Protección de Datos Personales (LOPDP) ni su Reglamento (RLOPDP) establecen una modalidad específica de contratación en el sector público. Lo único que se dispone al respecto es que la designación debe ser realizada por la máxima autoridad, en concordancia con lo establecido en el COA, el cual señala que dicha autoridad ejerce la representación legal e institucional, con facultad para intervenir en todos los contratos que suscriba la entidad. En este marco, la LOSEP contempla varias modalidades de contratación en el sector público, las cuales se agrupan en tres categorías generales: La primera, los Contratos de Servicios Ocasionales, esta modalidad se utiliza para atender necesidades institucionales específicas y temporales. Los contratos son autorizados por la autoridad nominadora, previo informe favorable de la Unidad de Administración del Talento Humano (UATH), y están sujetos a la existencia de una partida presupuestaria y disponibilidad de recursos económicos. De acuerdo con la LOSEP, la contratación de personal bajo esta figura no podrá exceder el 20% del total de personal de la entidad; en caso de superar dicho porcentaje, se requerirá autorización previa del Ministerio de Trabajo. Además, la duración máxima del contrato será de 12 meses, o hasta la finalización del ejercicio fiscal correspondiente. 
La segunda modalidad es por nombramientos, según el artículo 17 de la LOSEP, los nombramientos pueden clasificarse en: 
Nombramientos provisionales, otorgados en los siguientes casos: 
Cuando un servidor ha sido suspendido o destituido, mientras se resuelve su situación legal en sede administrativa o judicial. 
Cuando el servidor titular del puesto se encuentra en licencia sin remuneración. 
Para cubrir vacantes temporales por comisión de servicios sin remuneración o cuando el puesto se encuentra vacante. 
Para el ejercicio de funciones en puestos correspondientes al nivel jerárquico superior. 
Durante el período de prueba para servidores de nuevo ingreso o ascendidos, con evaluación obligatoria al cabo de tres meses (o seis en caso de ascensos). 
Cabe señalar que los nombramientos provisionales señalados en los literales b.1) y b.2) pueden otorgarse tanto a servidores públicos de carrera como a personas externas sin dicha calidad. 
Nombramientos de libre nombramiento y remoción y 
Nombramientos de período fijo, aplicables según las características del puesto. 
Finalmente, se encuentra la contratación por servicios profesionales la cual no establece relación de dependencia. Esta modalidad se utiliza para actividades específicas y determinadas, conforme a la normativa legal vigente. 

En este contexto, la contratación del DPD podrá ejecutarse bajo relación de dependencia o mediante contrato de prestación de servicios, conforme a los criterios establecidos por el área de talento humano de cada institución. En todos los casos, se deberá garantizar el cumplimiento de funciones y la independencia de sus funciones de acuerdo con lo mencionado en la normativa de protección de datos personales. 

No obstante, existen impedimentos expresamente previstos por la normativa que deben ser observados con rigurosidad al momento de la designación. El artículo 56 del RLOPDP prohíbe que ejerzan funciones como DPD las personas que formen parte de los órganos de administración y control del responsable o encargado del tratamiento, sus socios o accionistas, los cónyuges o parientes cercanos de estos, o quienes mantengan conflictos de intereses con dichas entidades. Estas disposiciones buscan garantizar la independencia, imparcialidad y objetividad del DPD, condición fundamental para el ejercicio eficaz de sus funciones. De manera particular, en el sector público, esta Superintendencia podrá establecer incompatibilidades específicas, a fin de asegurar que el DPD no se encuentre condicionado por jerarquías o intereses institucionales que comprometan su labor. En suma, solo aquellas personas naturales que cumplan con los requisitos formales, así como cuenten con experiencia acreditada y no se encuentren incursas en causales de incompatibilidad, pueden ser legítimamente designadas como DPD en el marco del sistema ecuatoriano de protección de datos personales. 

En el sector público, la prohibición de que el DPD forme parte de los órganos de administración y control del responsable o encargado del tratamiento debe entenderse como una garantía esencial para preservar su independencia funcional, integridad y objetividad en el ejercicio de sus atribuciones. Esta restricción, cobra especial relevancia en la administración pública, donde las estructuras jerárquicas y las responsabilidades administrativas pueden generar presiones o interferencias en el desempeño del DPD. Así, estar desvinculado de los órganos que adoptan decisiones operativas, presupuestarias o de supervisión interna como por ejemplo direcciones, subsecretarías, unidades administrativas, comités institucionales de control o de auditoría interna. Esto permite al DPD ejercer su función de asesorar, velar y supervisar el cumplimiento de la normativa sin que exista parcialidad o conflicto de intereses, garantizando en todo momento una independencia y autonomía funcional concreta y real. Esta separación orgánica y funcional también fortalece la percepción de imparcialidad del DPD ante la ciudadanía, lo que resulta indispensable para consolidar la confianza en las instituciones públicas y para asegurar que las recomendaciones y advertencias del DPD no sean desestimadas o ignoradas por razones jerárquicas o institucionales.  

Conforme a lo dispuesto en los artículos previamente citados de la LOPDP y del RLOPDP, las funciones del DPD se estructuran en torno a tres verbos rectores: asesorar, velar y supervisar. Esta delimitación funcional implica que el DPD NO es el encargado de ejecutar directamente las obligaciones legales que corresponden al responsable o al encargado del tratamiento de datos, sino que debe guiar, acompañar y verificar que dichas obligaciones se cumplan adecuadamente. En consecuencia, no le corresponde elaborar ni implementar políticas, procedimientos, registros, evaluaciones de impacto, ni ningún otro instrumento de cumplimiento normativo; estas son responsabilidades que recaen exclusivamente sobre los sujetos obligados. La labor del DPD consiste, más bien, en asesorar técnica y jurídicamente sobre la correcta aplicación de la normativa, alertar sobre riesgos, formular observaciones preventivas y supervisar que las medidas adoptadas por el responsable o encargado se ajusten a la ley. Esta separación de funciones es esencial para preservar su objetividad e independencia, evitando que el DPD se convierta en juez de su propia actuación. En esta misma línea, el artículo 48 del RLOPDP refuerza esta función diferenciada al establecer que, si bien el DPD puede realizar otras actividades relacionadas con la protección de datos personales, dichas tareas no deben exigir una preparación ajena a su perfil ni generar conflictos con sus funciones principales. Esto implica que cualquier encargo adicional debe estar subordinado al principio de independencia funcional y no puede tener como efecto la asunción de obligaciones propias del responsable o encargado, pues hacerlo desnaturalizaría el rol del DPD y podría comprometer su imparcialidad y su capacidad para ejercer un control efectivo sobre el cumplimiento normativo. Bajo este mismo argumento el DPD puede ejecutar otras actividades siempre y cuando no afecten a la imparcialidad y correcto desempeño de sus funciones como DPD.  

Adicionalmente, la SPDP, emitió la Resolución N° SPDP-SPD-2025-0002-R, donde se aprobó el Plan Regulatorio Institucional del año 2025 donde se incluyó como uno de los proyectos normativos a expedirse en este ejercicio económico, el “Estatuto de los Delegados de Protección de Datos Personales”, el cual a la fecha se encuentra en proceso de revisión de las observaciones emitidas por la ciudadanía durante su proceso de socialización, por lo que aún se encuentra en trámite de aprobación, por lo que a la fecha no es una normativa aplicable. Dicho estatuto busca esclarecer y ampliar varios supuestos que no han sido especificados en la LOPDP ni en el RLOPDP y, que en dichas normativas se ha remitido a la SPDP para que regule dichos temas. En este mismo sentido de ideas, la CRE en su artículo 82 hace referencia al principio a la seguridad jurídica que implica la “…existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes.”; y su fundamento es el respeto a la CRE. En concordancia con esto, el Código Orgánico Administrativo (“COA”) en su artículo 22 consagra el principio de seguridad jurídica indicando que las “administraciones públicas actuarán bajo los criterios de certeza y previsibilidad.”; es decir, que el administrado sabrá previamente la forma de actuar coherente de la administración pública a través de las normas que contemplen dichas reglas. 

Adicionalmente, la Jueza ponente constitucional, abogada Karla Andrade Quevedo, en su Sentencia N° 2137-21-EP /21 del caso N° 2137-21-EP del 29 de septiembre del 2021, menciona respecto del artículo 82 CRE que “[d]el texto constitucional se desprende que la Constitución garantiza a las personas el derecho de contar con un ordenamiento jurídico previsible, claro, determinado, estable y coherente que le permita tener una noción razonable de las reglas de juego que le serán aplicables…”.1 En concordancia con lo mencionado en el párrafo anterior, el Juez ponente constitucional, abogado Enrique Herrería Bonnet, en su Sentencia N° 54-17-IN/22 del caso N° 54-17-IN del 26 de mayo del 2022, menciona que “[l]a Constitución concibe a la seguridad jurídica como un derecho-prerrogativa que ostentan las personas para exigir el respeto de la norma constitucional a través de la formulación de normas jurídicas previas, claras y públicas, obligando al órgano con potestad normativa a respetar estos requisitos.”.2  

En este sentido se ha identificado que el consultante solicita información y plantea varias preguntas sobre el proceso que implementará esta institución pública para verificar el cumplimiento de la obligación relativa a la contratación del Delegado de Protección de Datos Personales, conforme a lo establecido en el numeral 13 del artículo 47 de la LOPDP. Al respecto, me permito indicar que, si bien la obligación del responsable del tratamiento de designar a un Delegado de Protección de Datos Personales está establecida por la LOPDP, el proceso no está condicionado a ninguna circunstancia específica, lo cual no obsta o impide su designación en cumplimiento de la ley vigente, por ello no podemos ofrecer información sobre el mismo. Además, cabe mencionar que la SPDP, como se ha mencionado anteriormente, se encuentra gestionando las acciones necesarias para expedir el “Estatuto de los Delegados de Protección de Datos Personales” el cual aclarará algunas de las dudas de los administrados en caso de que sean de su competencia.  

Cabe mencionar que cada institución pública cuenta con una estructura específica y única de acuerdo con sus necesidades y obligaciones normativas, por lo que cada una, de manera independiente, debe analizar su estructura para poder establecer al DPD en el cargo adecuado y correspondiente que cumpla con los requisitos establecidos por la normativa en protección de datos personales y, que en su esencia no haya ningún conflicto de intereses y se garantice su independencia en el actuar del mismo.  

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN del 25 de marzo de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente: 

“1.¿Cuál es la figura jurídica adecuada para designar al Delegado de Protección de Datos  Personales (DPDP) en una institución del sector público, considerando que el artículo 49 inciso segundo del RGLOPDP únicamente nos indica que lo designa la máxima autoridad? 

Con base en el análisis previamente realizado y en concordancia con la normativa citada, esta Autoridad no puede establecer cuál es la figura jurídica adecuada para designar al DPD en vista de que la normativa en protección de datos personales solamente dispone que deberá ser nombrado por la máxima autoridad y, a la fecha no se ha emitido ninguna normativa adicional que regule la designación del mismo. En este sentido, se podrá contratar un DPD siempre que sea designado por la máxima autoridad bajo cualquiera de las modalidades contempladas por la LOSEP siempre y cuando sus funciones no se contrapongan a las obligaciones que debe cumplir ni se encuentre en ninguna de las causales de impedimentos contemplados en la normativa de protección de datos personales. 

¿Es necesario que este cargo conste previamente en el orgánico estructural y funcional de la entidad de conformidad con la LOSEP y demás normativa que regula el desempeño de un puesto público, o basta con su designación mediante resolución administrativa por parte de la máxima autoridad institucional que explique una toma de responsabilidad y figura jurídica? 

Por el momento esta autoridad no se pronuncia al respecto, toda vez que la pregunta realizada versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta Autoridad a la fecha. Sin embargo, se aclara que la designación de un DPD al no haber una especificación de formas, a la fecha se considerarán válidas todas las designaciones que cumplan con el requisito establecido por la normativa en protección de datos personales, esto es, que sean designados por la máxima autoridad y que se encuentre bajo una de las formas de contratación establecidas en la LOSEP.   

2. ¿Puede un funcionario público asumir simultáneamente el rol de DPDP y otras funciones dentro de la entidad, o se requiere que esta función se ejerza con dedicación exclusiva? 
Sí, siempre y cuando pueda ejercer sus funciones como DPD de manera correcta, se cumpla con el principio de independencia de sus funciones, no asuma obligaciones propias del responsable o encargado, no comprometa su imparcialidad y su capacidad para ejercer un control efectivo sobre el cumplimiento normativo. 

3. ¿Qué nivel jerárquico o funcional mínimo debe tener el DPDP dentro de una entidad pública para que se asegure su autonomía, autoridad técnica y cumplimiento efectivo de sus responsabilidades según la LOPDP?” 

Por el momento esta Autoridad no se pronuncia al respecto, toda vez que la pregunta realizada versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta entidad a la fecha. Sin embargo, a la fecha, cada institución al tener su propia organización interna deberá evaluar internamente el cargo a otorgarle al DPD para que pueda cumplir con los requisitos normativos previamente analizados, especialmente garantizar la independencia en las funciones de este.  

El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la persona consultante su aplicación.

Oficio N° SPDP-IRD-2025-0090-O

Preguntas

“2. CONSULTA: ¿Se debe considerar que las COMPAÑÍAS DE SEGUROS son ENCARGADAS DE DATOS PEROSNALES al tenor de lo dispuesto en el artículo 34 de la LOPDP cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”

Criterios jurídicos

1.1.La Pontificia Universidad Católica del Ecuador (PUCE) ha manifestado lo siguiente:

“ I. INTRODUCCIÓN Este documento tiene como objetivo determinar en qué circunstancias una compañía de seguros puede ser calificada como encargada del tratamiento de datos personales, en particular cuando accede a información médica de pacientes transmitida por establecimientos de salud, considerando que dicha transmisión se realiza por solicitud y consentimiento del titular, y no existe una relación contractual entre el establecimiento de salud y la aseguradora.

II. ANÁLISIS JURÍDICO CONSULTA: ¿Se debe considerar que las COMPAÑIÁS DE SEGUROS son ENCARGAS DE DATOS PERSONALES al tenor de lo dispuesto en el artículo 34 de la LOPDP cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?

¿Qué determina la calidad de responsable o encargado del tratamiento de datos personales? Según la Ley Orgánica de Protección de Datos (LOPDP) y, el Reglamento a la Ley Orgánica de Protección de Datos (RLOPDP), el criterio esencial para determinar el rol de responsable o encargado de datos es la autonomía de decisión de los fines y medios del propósito del tratamiento.

Si la persona natural o jurídica define para qué y cómo usar los datos, es responsable. De otra parte, si ejecuta instrucciones establecidas se la debe considerar como encargado del tratamiento.

Si una entidad define “para qué” (fines) y “cómo” (medios esenciales) se tratan los datos, debe ser considerada responsable del tratamiento. Si se limita a tratar los datos conforme a las instrucciones contractuales de otro sujeto, sin autonomía decisoria, será considerado encargado del tratamiento.

Escenario 1: La Compañía de Seguros recibe datos personales por solicitud del paciente contratante del seguro. En la consulta planteada por la Superintendencia de Datos Personales (SPDP), en el que un paciente solicita a un hospital que solicita que se remita su historia clínica a una aseguradora para, por ejemplo, tramitar un reembolso, se analiza que la compañía de seguros actúa como responsable del tratamiento de datos personales. Esta calificación se sustenta en que no existe una relación contractual entre el hospital y la aseguradora que configure un encargo de tratamiento conforme a los artículos 34 y 41 de la LOPDP y el RLOPDP respectivamente.

Además, la aseguradora determina de forma autónoma los fines del tratamiento (como verificación de cobertura, análisis de riesgo, índice de siniestralidad, detección de fraude, etc.) y los medios utilizados, lo que cumple con el criterio de autonomía establecido en el artículo 4 de la LOPDP de la definición de responsable. El tratamiento de los datos se realiza en virtud de la relación contractual entre el titular y la aseguradora, no por cuenta de un particular, por lo que no corresponde calificarla como encargada del tratamiento en el contexto planteado.

En consecuencia, la aseguradora asume la calidad de responsable del tratamiento, en virtud de la relación contractual que mantiene directamente con el paciente, quien es el titular de los datos personales.

III. CONCLUSIONES 1. La aseguradora no es encargada del tratamiento cuando trata datos personales de pacientes por solicitud del titular y con fines propios, aunque la información provenga de un establecimiento de salud. En tal caso, es responsable receptor del tratamiento.

2. Solo será encargada del tratamiento si: ✓ Existe una relación contractual con un responsable ✓ El tratamiento es por cuenta e instrucciones del responsable ✓ No se utilizan los datos para fines propios, ✓ Se suscribe un contrato conforme al art. 34 de la LOPDP y del artículo 24 del RLOPD.

3. El consentimiento del titular de datos personales (paciente) habilita la transferencia, pero no configura una relación de encargo entre el establecimiento de salud y la compañía de seguro.

4. El consentimiento del titular no convierte automáticamente a un receptor de datos en encargado. La relación jurídica subyacente y el propósito del tratamiento son claves. ”

1.2. La Universidad de Guayaquil (UG) ha manifestado lo siguiente:

“Por medio del presente, traslado para su conocimiento y atención pertinente, el contenido del Memorando No. UG-PS-2025-0499-M, emitido por la Procuraduría Síndica de la Universidad de Guayaquil, en atención al Oficio N.º SPDP-IRD-2025-0075-O, del 28 de mayo de 2024, suscrito por la abogada Camila Valdez González, Intendente General de Regulación de Protección de Datos Personales (Subrogante), que en su parte pertinente expresa lo siguiente:

“En virtud de lo establecido en el Artículo 7 de la Resolución N.º SPDP-SPDP-2024-0012-R, que faculta a la autoridad competente a solicitar criterio jurídico de personas jurídicas de derecho público relacionadas con el tema consultado, consideramos necesario realizar las siguientes precisiones:

Si bien la Universidad de Guayaquil constituye una persona jurídica de derecho público, es preciso señalar que no mantiene relación directa con la materia objeto de consulta, específicamente en lo que respecta a temas de salud y seguros privados, ni posee atribuciones legales, competencias técnicas o conocimiento especializado en el ámbito de la protección de datos personales en dichos contextos.

En este sentido, emitir un pronunciamiento jurídico sobre esta materia implicaría actuar fuera del ámbito de competencias institucionales que rigen a esta entidad de educación superior, lo cual contraviene que las entidades públicas deben actuar exclusivamente dentro del marco de las funciones y finalidades que la ley les ha asignado.

La finalidad de la Universidad de Guayaquil se encuentra claramente establecida en el Artículo 350 de la Constitución de la República del Ecuador, que dispone: “El sistema de educación superior tiene como finalidad la formación académica y profesional con visión científica y humanista; la investigación científica y tecnológica; la innovación, promoción, desarrollo y difusión de los saberes y las culturas; la construcción de soluciones para los problemas del país, en relación con los objetivos del régimen de desarrollo.

De igual manera, el Artículo 13 de la Ley Orgánica de Educación Superior (LOES) manifiesta las Funciones del Sistema de Educación Superior.

Así mismo el Artículo 1 del Estatuto Universitario define como misión de esta institución la formación de profesionales mediante las funciones sustantivas de docencia, investigación, vinculación con la sociedad y gestión, promoviendo el desarrollo sostenible del país. A ello se suma lo dispuesto en el Artículo 2 del Reglamento Orgánico de Gestión Organizacional por Procesos de la Universidad de Guayaquil, el cual enumera los fines institucionales, orientados a la generación del conocimiento, la formación académica y el aporte al desarrollo científico, tecnológico y social del país.

Por tanto, y en cumplimiento de las disposiciones constitucionales, legales y reglamentarias que rigen el accionar de la Universidad de Guayaquil, así como en observancia del principio de legalidad y el principio de eficacia, los cuales exigen que las entidades públicas actúen únicamente dentro del marco de la ley y sus competencias, nos abstenemos de emitir el criterio jurídico solicitado, al no encontrarse esta materia dentro de nuestra esfera de competencias ni cumplir con los requisitos establecidos en el Artículo 7 de la Resolución N.º SPDP-SPDP-2024- 0012-R.

Finalmente, esta decisión responde a la necesidad de evitar un pronunciamiento que pudiera resultar impreciso o inadecuado, dada la falta de atribuciones y conocimientos técnicos específicos en el ámbito consultado, salvaguardando así la responsabilidad institucional y el respeto al marco normativo vigente. (...)".

En atención al o expuesto en líneas precedentes, esta Procuraduría Síndica se abstiene de emitir el criterio jurídico solicitado, al no encontrarse esta materia dentro de nuestra esfera de competencias ni cumplir con los requisitos establecidos en el Artículo 7 de la Resolución Nº SPDP-SPDP-2024-0012-R.

Finalmente, esta decisión responde a la necesidad de evitar un pronunciamiento que pudiera resultar impreciso o inadecuado, dada la falta de atribuciones y conocimientos técnicos específicos en el ámbito consultado, salvaguardando así la responsabilidad institucional y el respeto al marco normativo vigente.

Sin otro particular, reitero nuestra disposición para colaborar en todo aquello que se enmarque dentro de nuestras competencias institucionales y áreas de conocimiento.”

En mérito de la recomendación emitida por la Procuraduría Síndica, en mi calidad de Rector de esta institución de educación superior, de conformidad a las atribuciones contempladas en el Estatuto de la Universidad de Guayaquil, me permito señalar que esta institución no mantiene relación directa con la materia objeto de consulta, específicamente en lo que respecta a temas de salud y seguros privados, ni posee atribuciones legales, competencias técnicas o conocimiento especializado en el ámbito de la protección de datos personales en dichos contextos. En este sentido, emitir un pronunciamiento jurídico sobre esta materia implicaría actuar fuera del ámbito de competencias institucionales que rigen a esta entidad de educación superior, lo cual contraviene que las entidades públicas deben actuar exclusivamente dentro del marco de las funciones y finalidades que la ley les ha asignado.

Particular que comunico para los fines pertinentes, con sentimientos de distinguida consideración.”

1.3. La Fundación Ciudadanía y Desarrollo (FCD) ha manifestado lo siguiente:

“En atención a su oficio SPDP-IRD-2025-0072-O, mediante el cual se solicita a la Fundación Ciudadanía y Desarrollo (FCD) un criterio jurídico no vinculante respecto a la consulta elevada por el Hospital de los Valles S.A. (HODEVALLES), nos permitimos remitir el presente pronunciamiento, elaborado con base en el artículo 34 de la Ley Orgánica de Protección de Datos Personales (LOPDP), así como en normativa comparada, criterios doctrinales y pronunciamientos de autoridades de protección de datos de jurisdicciones relevantes.

FORMULACIÓN DEL PROBLEMA La consulta planteada gira en torno a la determinación del rol que corresponde asumir a una compañía de seguros que accede a datos personales de salud transmitidos por un establecimiento sanitario, a solicitud del titular de los datos, sin que medie una relación contractual directa entre dicho establecimiento y la aseguradora. Específicamente, se pregunta si, en virtud del artículo 34 de la Ley Orgánica de Protección de Datos Personales (en adelante, “LOPDP”), la aseguradora debe ser considerada un "encargado del tratamiento" cuando recibe y utiliza los datos del paciente con el propósito de cumplir con sus obligaciones contractuales frente al asegurado.

MARCO NORMATIVO NACIONAL La LOPDP, en su artículo 34, establece las categorías de "responsable del tratamiento" y "encargado del tratamiento", las cuales constituyen pilares fundamentales del régimen de protección de datos personales vigente en el Ecuador. Así, el responsable del tratamiento es definido como la persona natural o jurídica, pública o privada, que "decide sobre la finalidad y los medios del tratamiento de datos personales", mientras que el encargado es "la persona natural o jurídica, pública o privada, que trata datos personales por cuenta del responsable del tratamiento".

De esta definición se desprende un criterio funcional, conforme al cual lo determinante para calificar a un sujeto como responsable o encargado no es la denominación formal que se le otorgue, sino su grado de autonomía en la toma de decisiones respecto del tratamiento. En efecto, el elemento definitorio del encargado del tratamiento es su carácter subordinado a las instrucciones del responsable, en el marco de una relación jurídica que, conforme al artículo 35 de la LOPDP, deberá constar en un contrato u otro acto jurídico vinculante. Este contrato debe establecer expresamente que el encargado actuará "únicamente siguiendo instrucciones documentadas del responsable", así como prever cláusulas específicas sobre confidencialidad, seguridad, conservación, y demás garantías.

De manera adicional, debe considerarse que el tratamiento de datos personales relativos a la salud reviste carácter especialmente sensible, conforme lo dispone el artículo 25 de la LOPDP, por lo que su tratamiento está sujeto a un régimen reforzado de protección. La transmisión de este tipo de datos entre un prestador de salud y un tercero —como una aseguradora— requiere, en principio, una base de licitud específica, que puede encontrarse en el consentimiento expreso del titular o en otras causales habilitantes previstas en la ley, como la ejecución de un contrato en el que el titular sea parte, siempre que se observen los principios de finalidad, proporcionalidad, necesidad y minimización de datos (art. 8 de la LOPDP).

ANÁLISIS JURÍDICO 1. Autonomía funcional de los establecimientos de salud y de las compañías de seguros

El tratamiento de datos personales por parte de los establecimientos de salud se enmarca dentro de su función legal y constitucional de prestar servicios médicos, lo cual implica la recopilación, almacenamiento y uso de datos sensibles, tales como antecedentes médicos, diagnósticos y tratamientos. En ese sentido, la legislación sanitaria ecuatoriana —en especial la Ley Orgánica de Salud y la Ley Orgánica de Derechos y Amparo al Paciente— impone al prestador de salud obligaciones legales específicas, incluyendo la custodia de la historia clínica, la confidencialidad de la información y el uso restringido de dichos datos exclusivamente para fines asistenciales. Esta normativa sectorial robustece la calificación del establecimiento de salud como responsable del tratamiento, en tanto define de forma autónoma los fines (prestación del servicio sanitario) y los medios (procesos, tecnologías y mecanismos de archivo) del tratamiento.

Cuando, en virtud de su derecho a la autodeterminación informativa, el titular de los datos (paciente) solicita o consiente la transferencia de cierta información médica a su aseguradora para efectos de gestión de cobertura o reembolso, se configura una situación en la que la compañía de seguros accede a datos personales sensibles generados inicialmente por el prestador. Sin embargo, dicho acceso no implica que la aseguradora actúe en nombre o por cuenta del establecimiento sanitario. Muy por el contrario, la aseguradora recibe y trata la información con base en una relación contractual independiente con el titular y para fines propios —como la verificación del siniestro, la autorización de procedimientos, o la determinación de indemnizaciones— que escapan al control y dirección del prestador de salud. Esta autonomía decisoria respecto de los fines y medios del tratamiento excluye la figura de encargado y permite calificar a la aseguradora como responsable del tratamiento.

Este razonamiento encuentra respaldo en la doctrina y jurisprudencia comparada, que, como se expondrá infra, coincide en identificar a hospitales y aseguradoras como responsables diferenciados cuando ambos actúan con finalidades autónomas.

2. Inexistencia de relación de encargaduría

Para que pueda configurarse una relación de encargaduría del tratamiento, la normativa ecuatoriana requiere, además del elemento funcional de subordinación a las instrucciones del responsable, la existencia de un contrato o acto jurídico vinculante que regule expresamente dicha relación. Este contrato, conforme al artículo 35 de la LOPDP, debe contener disposiciones relativas a las instrucciones documentadas, confidencialidad, medidas de seguridad, devolución o supresión de datos, entre otras. En el caso bajo análisis, no existe vínculo contractual entre el establecimiento de salud y la aseguradora que permita sustentar una relación de encargaduría. La transferencia de información ocurre exclusivamente por mandato o autorización del titular, lo que implica una cesión de datos entre dos responsables que actúan con base en sus propias competencias y finalidades legales. La aseguradora no está sometida a las directrices del prestador de salud, ni ejecuta tratamientos por encargo de éste; por el contrario, la aseguradora define sus propios criterios de gestión y conservación de la información recibida, en ejercicio de su rol de financiador o garantizador de servicios médicos.

3. Análisis comparado: armonización con estándares internacionales

La interpretación expuesta se encuentra en línea con los criterios adoptados por diversas jurisdicciones con regímenes normativos consolidados en materia de protección de datos personales: • En Brasil, la Ley General de Protección de Datos (LGPD) y los pronunciamientos de la Autoridade Nacional de Proteção de Dados (ANPD) establecen que hospitales y aseguradoras actúan como responsables independientes. El tratamiento de datos de salud por parte de una aseguradora exige una base legal específica, como el consentimiento del titular o el cumplimiento de una obligación legal derivada del contrato de seguro. • En Argentina, la Ley Nº 25.326 tampoco contempla la figura del encargado de manera expresa, pero la doctrina local ha interpretado que los prestadores de salud y las aseguradoras actúan como responsables autónomos, dado que cada uno determina los fines y medios de sus respectivos tratamientos, conforme a la relación jurídica que mantienen con el titular. • En Colombia, la Ley 1581 de 2012 y la jurisprudencia de la Corte Constitucional reconocen la historia clínica como un documento reservado, y a las entidades prestadoras de salud y a las aseguradoras como responsables independientes. La entrega de información médica está condicionada al consentimiento del paciente o a una habilitación legal específica. • En España, la Agencia Española de Protección de Datos ha establecido que los centros sanitarios que atienden a asegurados no son encargados del tratamiento de las aseguradoras, sino responsables del tratamiento conforme a la Ley 41/2002 y al Reglamento General de Protección de Datos (RGPD). A su vez, la aseguradora es responsable del tratamiento por los datos que recibe y gestiona para fines contractuales. • En el marco de la Unión Europea, conforme a los artículos 4, 26 y 28 del RGPD, se distingue entre responsables y encargados según el criterio de autonomía decisoria. El Comité Europeo de Protección de Datos ha reiterado que, en ausencia de instrucciones vinculantes, cada entidad que determine los fines del tratamiento actúa como responsable. La transferencia de información entre un hospital y una aseguradora, mediando consentimiento del titular o una base legal suficiente, constituye una cesión entre responsables y no una relación de encargaduría.

Estas coincidencias refuerzan la validez del enfoque propuesto para el caso ecuatoriano, en tanto privilegian la función sustantiva y no la mera formalidad del flujo de datos para determinar los roles y responsabilidades de los actores involucrados.

CONCLUSIÓN

En virtud de los fundamentos expuestos, este criterio estima que, en el escenario consultado, no se configura una relación de encargaduría entre el establecimiento de salud y la compañía de seguros. Por el contrario, ambas entidades deben ser consideradas responsables del tratamiento de datos personales dentro del ámbito de sus respectivas competencias y finalidades. El establecimiento de salud es responsable del tratamiento de los datos clínicos generados durante la atención sanitaria, conforme a las disposiciones legales y éticas aplicables al ejercicio profesional y a la gestión de la historia clínica. La aseguradora, por su parte, actúa como responsable respecto de los datos que recibe y trata para verificar siniestros, gestionar coberturas y ejecutar el contrato de seguro suscrito con el titular.

La base de licitud para la transferencia de datos entre ambas entidades podrá encontrarse en el consentimiento expreso, libre, informado y específico del titular de los datos, o en otras causales habilitantes conforme al artículo 7 de la LOPDP, tales como la ejecución del contrato de seguro en el que el titular sea parte. En cualquier caso, el tratamiento deberá observar los principios rectores del régimen de protección de datos personales, especialmente los de finalidad, minimización, proporcionalidad, integridad y confidencialidad.

Finalmente, se resalta que esta interpretación se encuentra alineada con estándares normativos internacionales y con el enfoque adoptado por autoridades de protección de datos en jurisdicciones comparables, lo que refuerza su validez como parámetro técnico y jurídico para la elaboración de criterios generales por parte de esa Superintendencia.

Sin otro particular, reiteramos nuestra disposición para ampliar o complementar el presente criterio, en caso de ser requerido, y aprovechamos la ocasión para saludarle con la consideración más distinguida.”

1.4. El Hospital Metropolitano S.A.S. (HM) ha manifestado lo siguiente:

“Por medio de la presente, me permito extenderle un cordial saludo. Desde el sector empresarial, le deseamos éxito en el desarrollo de sus funciones.

En relación con el criterio jurídico no vinculante solicitado al Hospital-Metropolitano S.A.S. con respecto de una consulta de protección de datos personales realizada por otra institución hospitalaria y actuando en virtud de la consulta remitida a través del Oficio No. SPDP-IRD-2025-0071-O, notificado el 28 de mayo de 2025 a través de correo electrónico, por encargo del Gerente General de la Institución, procedemos a dar respuesta.

La consulta realizada menciona lo siguiente:

“¿Se debe considerar que las COMPAÑIÁS DE SEGUROS son ENCARGADAS DE DATOS PERSONALES, al tenor de lo dispuesto en el artículo 34 de la LOPDP, cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”

Hemos revisado detalladamente su consulta y, tras un análisis minucioso, consideramos que las compañías de seguros no pueden ser consideradas encargadas del tratamiento de datos personales al tenor del artículo 34 de la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, incluso cuando acceden a información de pacientes recolectada y transmitida por un establecimiento de salud a pedido de los propios pacientes asegurados, y sin que exista una relación contractual directa entre el establecimiento de salud y la aseguradora.

Nuestra posición se fundamenta en los siguientes puntos clave, tomando en consideración que su pregunta establece que no existe relación contractual entre el establecimiento y la aseguradora:

1. El titular (asegurado) tiene derecho a conocer y a obtener, gratuitamente, del responsable de tratamiento (establecimiento de salud) acceso a todos sus datos personales y a la información sensible, sin necesidad de presentar justificación alguna, como lo establece el artículo 13 de la Ley Orgánica de Protección de Datos Personales.

2.En el presente caso, el rol de la compañía de seguros se ajusta a la definición de un "tercero" establecida en el artículo 4, numeral 6, del Reglamento a la Ley Orgánica de Protección de Datos Personales. Dicho reglamento lo define como tercero a: "toda persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable".

3. Esta clasificación se fundamenta en que las aseguradoras actúan como responsables del tratamiento respecto de dichos datos, operando de manera independiente al responsable original (el establecimiento de salud), en virtud de su propia relación contractual con el asegurado y las instrucciones de éste.

4. Por otro lado, cuando la solicitud de datos personales se realice directamente entre un establecimiento de salud (como responsable del tratamiento) y una compañía de seguros (como tercero), resulta fundamental que exista un contrato de cesión o comunicación de datos personales para instrumentar dicha solicitud, regulando un tratamiento adecuado.

5. Bajo esta perspectiva, consideramos que resulta fundamental haber obtenido el consentimiento previo, explícito e informado del titular de los datos para la cesión de su información personal a un tercero (aseguradora). Esto implica que la aseguradora debe estar en capacidad de demostrar fehacientemente que cuenta con dicho consentimiento.

6. Es preciso señalar que la comunicación de los datos deberá respetar el principio de proporcionalidad, consagrado por el artículo 10 literal f) de la Ley Orgánica de Protección de Datos Personales. En consecuencia, no podrán ser comunicados, ni solicitados por la compañía de seguros, más datos que los que resulten adecuados, pertinentes y no excesivos para determinar la cobertura que habrá de ser satisfecha en virtud del contrato que se mantenga.

Para optimizar y transparentar los roles dentro de nuestro giro de negocio, sería sumamente útil que la Superintendencia de Protección de Datos Personales proponga y desarrolle una guía integral donde se clarifiquen los roles. Para esta iniciativa, recomendamos se busque la participación activa de todos los actores relevantes: establecimientos de salud (considerando que hospitales, clínicas y centros de salud), compañías de seguros y corredores de seguros (brokers).

Con esta iniciativa se podrá, de una manera objetiva, esclarecer y definir con precisión las responsabilidades, roles y participación que tiene cada uno dentro de su giro de negocio. Al hacerlo, no solo fortaleceremos la coordinación y eficiencia, sino que también garantizaremos una mayor calidad y seguridad en la atención a los pacientes, eliminando cualquier confusión.

Esperamos que nuestra respuesta permita avanzar en la adecuada regulación de los roles para el tratamiento de datos personales en el sector de la Salud.

Cualquier requerimiento adicional o clarificación, la recibiré en el correo electrónico XXXX”

1.5. La Federación Ecuatoriana de Empresas de Seguros (FEDESEG) ha manifestado lo siguiente:

“1. ANTECEDENTES

a) Mediante oficio No. SPDP-IRD-2025-0073-O de 28 de mayo de 2025 y notificado el 29 de los mismos mes y año, la Superintendencia de Protección de Datos Personales, puso en conocimiento de FEDESEG la consulta formulada por HDV, quien en lo principal del texto puesto en nuestro conocimiento, dice:

“1. ASUNTO: Determinación del REPONSABLE (SIC) y el ENCARGADO DE DATOS en el manejo de datos de pacientes entre los ESTABLECIMIENTOS DE SALUD y COMPAÑÍAS DE SEGUROS, conforme el Artículo 34 de la Ley Orgánica de Protección de Datos Personales. 2. CONSULTA: ¿Se debe considerar que las COMPAÑIÁS DE SEGUROS son ENCARGAS DE DAROS PERSNALES (SIC) al tenor de lo dispuesto en el artículo 34 de la LOPDP cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”

b) Conforme se desprende del texto, no se ha puesto en conocimiento de esta Federación ningún otro antecedente que pueda arrojar hechos o situaciones jurídicas que puedan ser de especial consideración para nuestras agremiadas; en consecuencia, este documento plasma una posición netamente jurídica construida sobre las premisas constantes en el requerimiento de Su Autoridad y no son aplicables a un caso específico.

2. ANÁLISIS JURÍDICO

2.1. PRESTACIÓN DE UN SERVICIO DEL ENCARGADO AL RESPONSABLE

El contenido del artículo 34 de la Ley Orgánica de Protección de Datos Personales - en adelante, LOPDP- establece en su parte pertinente:

“Art. 34.-Acceso a datos personales por parte del encargado.- No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido legítimamente a datos personales en estas consideraciones será considerado encargado del tratamiento.

El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales. El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley.”

De la norma transcrita y que ha sido invocada por el consultante, se identifica una serie de presupuestos jurídicos para la existencia de un encargo de tratamiento de datos personales. En este sentido, se tendrá lo siguiente:

a) En primer lugar, necesariamente deberá existir un acceso a datos personales que se encuentran bajo tratamiento de un responsable de aquellos.

b) En segundo lugar, quien accede debe necesariamente hacerlo a título de una PRESTACIÓN DE UN SERVICIO al responsable de tratamiento de datos personales.

c) Para los efectos del tratamiento, además del contrato civil o mercantil existente y que justifique la prestación de un servicio al responsable, debe también existir un contrato que regule tanto el tratamiento, la finalidad, conservación y ciclo de vida del dato personal que se está transmitiendo/accediendo.

Bajo lo anotado, se ha de evidenciar dos aristas de trascendental importancia: (a) por una parte, la prestación de un servicio hace presuponer justamente la necesidad de regular aspectos contractuales de esa relación biyectiva, incluyendo el tratamiento de datos; y, (b) la necesidad de que el encargado de tratamiento de datos -como consecuencia de la relación- se adhiera tanto a las directrices que para el efecto emita el responsable, como a las condiciones técnicas de tratamiento de esos datos.

En este contexto, de los presupuestos de la consulta, no se evidencia la existencia de un contrato o convenio comercial o civil suscrito entre HDV (o cualquier otro establecimiento de salud en general) y las aseguradoras; por el contrario, la misma consulta es clara al establecer como condición preexistente “el pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora.”, afirmación que abordaremos más adelante.

COROLARIO 1: La inexistencia de una prestación de servicios de la aseguradora al establecimiento de salud, hace imposible la configuración de un encargo de tratamiento de datos.

2.2. CONSENTIMIENTO

Conforme se ha establecido de la misma estructura de la consulta, se reconoce la existencia de una relación contractual entre la aseguradora y el asegurado ya establecida al momento de generar el acceso a datos personales, esto es, el contrato de seguros.

Bajo esta relación, el asegurado ha solicitado al establecimiento de salud que le permita a la aseguradora acceder a sus datos; en consecuencia, el acceso al que se refiere la consulta se da en el seno de una relación contractual aseguradoraasegurado y no aseguradora-hospital. Ahora bien, el vehículo procedimental que permite ejecutar precisamente ese acceso a datos personales por parte de la aseguradora es la propia solicitud del asegurado, por lo que, cuando el establecimiento transfiere dichos datos a la aseguradora, está cumpliendo la orden expresa del titular de datos.

COROLARIO 2: El acceso de la aseguradora a los datos personales de un contratante de seguro, en el caso planteado, se daría en virtud de la petición del asegurado (titular de datos); evidenciándose así, además, la causal de legitimación contenida en el artículo 7.1. de la LOPDP en concordancia con el art. 8 íbidem.

3. CRITERIO

Del análisis efectuado, FEDESEG emite el siguiente criterio:

3.1. Las aseguradoras no son encargadas de tratamiento de datos personales cuando estas acceden a petición del asegurado, a los datos que están en tratamiento por parte de un establecimiento de salud, por cuanto: 3.1.1. No existe una relación contractual de prestación de servicio entre las aseguradoras y los establecimientos de salud; puesto que el servicio de las aseguradoras se presta directamente al asegurado. 3.1.2. El acceso a los datos se da como consecuencia de la solicitud/autorización otorgada por el titular de los datos personales. 3.1.3. El acceso a los datos personales se efectúa como una consecuencia de la ejecución contractual abordada en el numeral 3.1.1. de esta misma sección.”

Análisis

Es así que, como se detalla anteriormente, en el caso concreto planteado por el consultante, a la empresa de seguros y/o asesora y productora de seguros se los considera un destinatario en el momento de la transferencia de la información por parte del establecimiento de salud. Esto, debido a que el hospital realiza la entrega de información, la cual es una forma de transferencia según la LOPDP, sin embargo, al momento que la empresa de seguros y/o la empresa asesora y productora de seguros destina la información que recibió para sus propias finalidades asume la calidad de responsable del tratamiento para estas finalidades específicas propias de su giro de negocio. Distinto sería si la empresa aseguradora o asesora de seguros tiene un contrato directo con el establecimiento de salud donde tenga acceso a datos personales, lo que debería analizarse de manera específica en cada caso concreto.

Para mayor claridad se detalla el flujo de datos a continuación:
ES: establecimiento de salud
SB: seguros y bróker
RT: responsable de tratamiento
D: destinatario
Imagen del sol

Adicionalmente, cabe señalar que, al tratarse de datos personales sensibles de salud, estos son objeto de una mayor protección ya que pertenecen a la esfera íntima de la persona, por lo que tanto el hospital como las empresas de seguros deben cumplir con todos los requisitos que establecen la LOPDP respecto a la legitimación que se debe tener para tratar los mismos, tanto desde su recolección, su procesamiento, conservación hasta la eliminación. En este sentido se debe proteger los mismos en su confidencialidad, integridad y disponibilidad implementando medidas de seguridad orientadas a garantizar estos tres aspectos de los datos personales. Es así que, el Reglamento de Información Confidencial en Sistema Nacional de Salud, debe aplicarse de manera concordante con la LOPDP, en este sentido este menciona que “[l]a autorización para el uso de estos documentos antes señalados, es potestad privativa del/a usuario/a o representante legal (…)” por lo que es necesario que previo al envío de datos personales por parte de un hospital a una empresa de seguros o asesora y productora de seguros se deberá cumplir con todos los requisitos de transferencia de datos personales establecidos en el Capítulo V de la LOPDP y, además, con lo establecido en el Reglamento previamente citado.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN del 25 de marzo de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“¿Se debe considerar que las COMPAÑÍAS DE SEGUROS son ENCARGADAS DE DATOS PERSONALES al tenor de lo dispuesto en el artículo 34 de la LOPDP cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”

No. Las compañías de seguros y/o productoras y asesoras de seguros, en el momento en el que se les entrega información por parte de un establecimiento de salud, reciben los datos personales de titulares en calidad de destinatarias. Sin embargo, cuando estas mismas compañías de seguros y/o productoras y asesoras de seguros dan una finalidad propia a su giro de negocio a dichos datos, es decir, realizan un tratamiento a la información recibida para realizar sus propias finalidades, detentan la calidad de responsables de tratamiento.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad del Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.

Oficio N° SPDP-IRD-2025-0096-O

Preguntas

“Sobre la base de lo señalado, Veris solicita a la SPDP que aclare la forma de interpretación y aplicación de los artículos 34 y 35 de la LOPDP, en junto con el alcance jurídico del artículo 43 del RLOPDP.”

Análisis

Como se puede observar en el gráfico anterior, el ciclo de vida del dato personal comprende las distintas fases por las que atraviesa desde el momento en que es recolectado hasta su eliminación o anonimización. Cada una de estas fases debe estar sujeta al cumplimiento de los principios rectores del tratamiento y a la implementación de medidas de seguridad, transparencia y licitud, que aseguren el respeto de los derechos de los titulares y la legitimidad del tratamiento. El proceso inicia con la captación o recolección del dato personal, momento en el cual el responsable del tratamiento debe contar con una de las bases legitimadoras que se establecen en el artículo 7 de la LOPDP. Asimismo, debe informar de manera clara al titular sobre las finalidades del tratamiento y garantizar que la información sea obtenida de forma lícita, leal y transparente.

La segunda etapa se da una vez recolectados los datos, éstos pasan al registro y almacenamiento, sea en formato físico o digital, fase en la que se debe asegurar la integridad, confidencialidad y disponibilidad de la información mediante la adopción de medidas técnicas, físicas, legales, administrativas y organizativas apropiadas. El almacenamiento debe ajustarse a los principios de minimización, proporcionalidad y limitación temporal, evitando la conservación excesiva e innecesaria de datos, solamente conservándolos para la finalidad que motivó su recolección. En la tercera etapa, los datos personales ingresan en la fase de uso o tratamiento activo, que abarca cualquier operación que se realice sobre ellos, incluyendo su análisis, modificación, procesamiento, entre otras. En esta etapa, el tratamiento debe responder exclusivamente a la finalidad declarada y contar con controles efectivos que permitan garantizar la trazabilidad. Es en esta etapa donde el responsable del tratamiento puede realizar un encargo de tratamiento de datos personales.

La cuarta etapa, que no se da ni es obligatoria para todos los tratamientos, es la de transferencia o comunicación a terceros. Dicha transferencia deberá contar con las bases legitimadoras correspondientes y, contar con garantías suficientes que aseguren un nivel adecuado de protección de la información tanto en almacenamiento del responsable del tratamiento como en tránsito. Toda comunicación de datos debe documentarse y estar debidamente respaldada por contratos u otros instrumentos que regulen el acceso y uso de la información por parte del tercero que recibe la información.

Superada la fase activa del tratamiento, se pasa a la quinta etapa que es la de conservación. Los datos deben ser conservados únicamente durante el tiempo estrictamente necesario para el cumplimiento de la finalidad que justificó su recolección. Concluido dicho plazo, corresponde al responsable proceder a su eliminación o a su anonimización irreversible, salvo que exista una obligación legal o contractual de conservación posterior. La conservación debe regirse por el principio de proporcionalidad, evitando la retención indefinida de datos que no responden a una finalidad actual, y aplicando técnicas como la seudonimización cuando corresponda. Finalmente, la sexta etapa corresponde a la eliminación del dato personal, que implica su destrucción definitiva o, alternativamente, su anonimización irreversible, de modo que no pueda ser reidentificado por ningún medio razonablemente disponible. Esta etapa puede ser activada por el cumplimiento de los plazos legales de conservación, por el ejercicio del derecho de eliminación del titular, o por el cese de la finalidad del tratamiento. En todos los casos, el procedimiento de eliminación debe garantizar que la información no pueda ser recuperada ni expuesta posteriormente.

Se enfatiza que el enfoque por ciclo de vida del dato personal permite adoptar una visión integral del tratamiento, identificar riesgos en cada etapa y aplicar medidas de seguridad diferenciadas de protección que respondan al nivel de sensibilidad de los datos y a la naturaleza de la operación que se realiza. En dicho sentido es fundamental que durante todo el ciclo de vida del dato se debe mantener una supervisión constante, debido a que el tratamiento de datos personales es dinámico por lo que la mera implementación no implica un cumplimiento total, sino que se debe mantener una auditoría y actualización constante para poder monitorear el flujo de los datos personales.

Ahora bien, habiendo analizado las diferentes figuras y como éstas se ubican en el ciclo de vida del dato, es menester analizar de manera desglosada los artículos 34 y 35 de la LOPDP, previamente citados. Iniciamos con el artículo 34, del cual se obtienen los siguientes elementos:

a)No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales”.

b)Prestación de servicio al responsable: “para la prestación de un servicio al responsable del tratamiento de datos personales”.

c)Acceso legítimo: “El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.”.

d)Contrato de encargo: “tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato (…) en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.

e)Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.”.

f)Responsabilidad: “El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento (…)”.

En este sentido a continuación se procede a realizar el mismo ejercicio con el artículo 35:

a)No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero”.

b)Prestación de servicio al responsable: “sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales”.

c)Acceso legítimo: “El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.”.

d)Contrato de encargo: “El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento (…) conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.

e)Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.”.

f)Responsabilidad: “El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.”.

Es así como, se evidencian varias similitudes entre ambos artículos, de las cuales se destaca que si bien, el primer artículo está dirigido al encargado directamente; y, el segundo, a la figura del tercero, ambos terminan regulando en ambos casos un encargo de tratamiento que es dado por “la prestación de un servicio” al responsable del tratamiento, elemento clave el cual convierte a la relación de las partes en un encargo de tratamiento. De esta manera, se deriva la obligación de eliminación y devolución de los datos personales al responsable del tratamiento una vez finalizada la prestación del servicio, entendiéndose que la supervisión por parte de la autoridad como la posibilidad de desplegar el aparataje institucional en caso de incumplimiento. Consecuentemente se establece la responsabilidad en caso de incumplimiento de las condiciones contractuales establecidas. En este sentido la diferencia de los artículos radica en el momento inicial respecto a quien está dirigido y, del análisis previo se evidencian los siguientes elementos diferenciadores:
Imagen del sol

Con base en lo previamente señalado, el artículo 35 de la LOPDP debe ser interpretado como una cláusula de reconducción jurídica, en tanto constituye un mecanismo normativo que permite determinar cuándo un tercero que accede a datos personales, en el contexto de la prestación de un servicio al responsable del tratamiento, deja de ser tercero y se convierte en un encargado del tratamiento. Mediante este mecanismo, se busca evitar vacíos de responsabilidad o zonas grises en el tratamiento de datos por parte de sujetos que, si bien formalmente pueden ser considerados terceros, en la práctica brindan un servicio al responsable de tratamiento, convirtiendo el mero acceso a datos personales de dicho responsable del tratamiento, en un encargo de tratamiento. En efecto, el artículo 35 establece un criterio técnico que reconduce la situación jurídica del tercero hacia la figura del encargado cuando concurren determinados elementos: (i) el acceso a los datos personales se produce en virtud de una prestación de servicios a favor del responsable; y, (ii) dicho acceso es necesario para la ejecución del servicio.

Ahora bien, cabe analizar el artículo 43 del RLOPDP el cual establece:

“Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.”

En este sentido se destacan los siguientes elementos claves:

a)“Responsabilidad del encargado”: el primer requisito para que se pueda aplicar este artículo es que debe tener la calidad de encargado. Tanto en los artículos 34 y 35, se constituye un encargo de tratamiento; y, por lo tanto, el artículo 43 del RLOPDP es aplicable.

b)“El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento”: de acuerdo con este elemento, en el caso que el encargado por cualquier causa - la cual en TODO momento debe ser legítima - decida sobre los fines y medios de un nuevo tratamiento, se considerará responsable para dichas finalidades. Sin embargo, en este punto cabe recalcar que, al ostentar la calidad de responsable de tratamiento para dichas finalidades, éste deberá necesariamente contar con una de las bases legitimadoras establecidas en el artículo 7 para que se considere legítimo y legal dicho tratamiento.

c)“En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas.”: este elemento debe entenderse en armonía con las definiciones dadas por la normativa y el artículo 34, 35 de la LOPDP, en este sentido se entiende que todos los artículos están en armonía debido a que el tratar los datos personales en nombre y cuenta de implica que debe haber una relación contractual entre las partes. Por ende, el que el artículo 34 y 35 mencionen que se configura un encargo al prestar un servicio al responsable del tratamiento por parte del encargado comprende que en la acción de prestar el servicio lo hace a nombre y por cuenta del responsable del tratamiento, debido a que este último le contrata para que le dé un servicio específico sobre la base de datos propia que tiene en posición y usa para sus propias finalidades. De igual manera, se entiende que, si el responsable de tratamiento no contrata al encargado del tratamiento, este último no podría acceder a dicha base de datos por lo que depende del responsable del tratamiento para poder acceder a la misma y poder cumplir con las finalidades para las cuales se le contrata. En este punto se cita la consulta absuelta en el Oficio N° SPDP-IRD-2025-0090-O donde se menciona que “se convierta en un encargado del tratamiento debido a que pasa a realizar un tratamiento de datos personales que fue solicitado – contratado- por parte del responsable del tratamiento, y tiene acceso a datos personales a los cuales, en ciertos casos, por sí solo no hubiera podido obtener.”

Con base en el análisis previamente realizado se establece que tanto las definiciones establecidas por la normativa como los artículos 34 y 35 de la LOPDP y el 43 del RLOPDP, no se contradicen y se entienden de manera armónica, donde se señala que el artículo 34, como lo mencionó una de las personas jurídicas a quien se solicitó criterio jurídico es, “la columna vertebral de la regulación para definir a un encargado del tratamiento”. Mientras que el artículo 35 es el artículo que busca evitar vacíos de responsabilidad en casos donde terceros, que acceden a datos personales en el marco de un servicio al responsable, configurando en la práctica una relación de encargo. En este sentido, se establece que los artículos se relacionan y, como mencionaba una de las personas jurídicas a quien se le solicitó opinión jurídica, el artículo 43 del RLOPDP complementa la relación jurídica entre el responsable y el encargado del tratamiento.

Sin embargo, se aclara que una misma persona natural o jurídica, pública o privada, autoridad pública u otro organismo puede ostentar la figura de responsable del tratamiento frente a unas finalidades específicas y de encargado del tratamiento frente a otras finalidades específicas. Es así que, en ocasiones puede ostentar la calidad de encargado del tratamiento para datos personales que ha tenido acceso por prestar un servicio a un responsable del tratamiento, pero se considerará responsable del tratamiento de esos mismos datos personales para otra finalidad legítima a la cual destine los mismos. Por ejemplo, en el caso de que, por una obligación legal, deba conservar dicha información, caso en el cual inicia su propio ciclo de vida del dato. Empero, en dicha relación en ningún momento se pierde la calidad de encargado del tratamiento frente al responsable del tratamiento inicial quien lo contrató para que preste un servicio específico determinado, teniendo que cumplir con todas las disposiciones normativas de protección de datos personales. Es así que, se deberá devolver los datos personales que le hayan sido proporcionados relativos a las finalidades del encargo, pero los datos personales legitimados para sus finalidades propias que ya constan en su propio ciclo de vida del dato pueden ser conservados hasta cumplir con la finalidad de ese ciclo de vida específico.

Adicionalmente, esta Autoridad recalca y enfatiza los siguientes puntos: primero, que la “prestación de un servicio” comprende la acción de realizar dicho servicio a nombre y cuenta del responsable del tratamiento. Segundo, que el encargado del tratamiento que es contratado por el responsable del tratamiento, la mayoría de las veces –si no es en todas- se dedica a un giro de negocio distinto, por esto mismo es contratado; sin embargo, el hecho de que este preste sus servicios que evidentemente son propios, no se puede interpretar como sus propias finalidades. Por lo tanto, el encargado que sea contratado para dar un servicio no puede absorber la base de datos del responsable del tratamiento para intereses propios como, por ejemplo, alimentar su propia base de datos para generar prospección. Tercero, en caso de que, por “cualquier causa” el encargado determine los fines y medios del tratamiento, este último deberá ser legítimo, esto es que debe cumplir con una base legitimadora y demás obligaciones establecidas en la normativa de protección de datos personales para el responsable del tratamiento.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN el 14 de mayo de 2025, y debidamente subsanada el 04 de junio de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“Sobre la base de lo señalado, Veris solicita a la SPDP que aclare la forma de interpretación y aplicación de los artículos 34 y 35 de la LOPDP, en junto con el alcance jurídico del artículo 43 del RLOPDP.”

Con base en el análisis previamente expuesto, se propone la siguiente interpretación armónica de los artículos 34 y 35 de la LOPDP: el artículo 34 resulta aplicable a los encargados del tratamiento debidamente identificados y formalizados, esto es, aquellos que, por disposición del responsable, tratan datos personales bajo una relación contractual claramente definida.

Por su parte, el artículo 35 debe aplicarse a los casos en los que una persona natural o jurídica, pública o privada, autoridad pública u otro organismo inicie su relación como tercero, pero cuya participación consista, en esencia, en la prestación de un servicio al responsable del tratamiento que implique el tratamiento de datos personales a los que se accede y tiene conocimiento por dicha prestación. En tales circunstancias, el tercero se convierte en un encargado del tratamiento, por lo que estará sujeto a las obligaciones y responsabilidades que la normativa impone a dicha figura.

Esta interpretación debe aplicarse en conjunto con lo previsto en el artículo 43 del RLOPDP, el cual permite clarificar el alcance de la relación entre el responsable y el encargado. En particular, se establece que, cuando un encargado del tratamiento destine los datos personales a finalidades propias —distintas de aquellas que motivaron su encargo—, deberá contar con una base de legitimación válida, y será considerado responsable del tratamiento respecto de dichas finalidades específicas, sin que ello implique la pérdida de su calidad de encargado respecto de las finalidades originales para las cuales fue contratado.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad del Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales..