Consultas Absueltas por la SPDP

Consultas absueltas por la SPDP de conformidad con el numeral 9 del artículo 76 de la LOPDP, en concordancia con el Reglamento para la atención de consultas publicado en el Suplemento del Registro Oficial N.º 683 del 14 de noviembre del 2024

Oficio N° SPDP-IGRPD-2024-001-O-C

Preguntas

1. Procedimiento formal para obtener el reconocimiento: ¿Cuál es el procedimiento aplicable para responsables y encargados del tratamiento que buscan obtener el reconocimiento por buenas prácticas determinado en la Disposición transitoria tercera?

2. Criterios de evaluación: ¿Qué metodología y qué criterios específicos se aplicarán por parte de la superintendencia para evaluar la implementación de los preceptos de la Ley?

3. Documentación y requisitos necesarios: ¿Cuáles son los documentos, evidencias y requisitos que deben presentarse para sustentar la solicitud de ¿Necesitas ayuda? reconocimiento de buenas prácticas?

4. Plazos de presentación: ¿Cuáles son los plazos aplicables para la presentación de solicitudes y cuál es el plazo de revisión de cumplimiento para el otorgamiento de reconocimiento de buenas prácticas?

5. Beneficios asociados al reconocimiento: ¿Qué consecuencias concretas o beneficios tangibles se derivan de la obtención del reconocimiento de buenas prácticas por parte de una entidad, particularmente en relación con el régimen sancionatorio?

Análisis

El numeral 23 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) establece el derecho de petición, ya sea de manera individual o colectiva, ante las autoridades y recibir una respuesta fundamentada. En concordancia con lo mencionado, el artículo 32 del Código Orgánico Administrativo (“COA”) señala que “[l]as personas tienen derecho a formular peticiones, individual o colectivamente, ante las administraciones públicas y a recibir respuestas motivadas, de forma oportuna.”. Así mismo, la CRE en su artículo 226 consagra el principio de legalidad, el cual habilita y limita el alcance del ejercicio de las competencias de los servidores públicos que ejercen una potestad estatal; indicando que los mismos deberán ejercer solo aquellas competencias y facultades que estén contempladas en la Constitución y la ley. Además, se insta cumplir con el deber de “coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución.”. En concordancia con lo mencionado, el artículo 14 del COA establece el principio de juridicidad, con otro nombre, pero bajo la misma esencia, donde se menciona que las actuaciones administrativas se someten no solo a las normas jerárquicas superiores, CRE y tratados internacionales, sino también a los principios y jurisprudencia; de igual forma las administraciones públicas gozan de potestad discrecional con apego a derecho.En este mismo sentido de ideas, la CRE en su artículo 82 hace referencia al principio a la seguridad jurídica que implica la “…existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes.”; y su fundamento es el respeto a la CRE. En concordancia con esto, el COA en su artículo 22 consagra el principio de seguridad jurídica indicando que las “administraciones públicas actuarán bajo los criterios de certeza y previsibilidad.”; es decir, que el administrado sabrá previamente la forma de actuar coherente de la administración pública a través de las normas que contemplen dichas reglas. Adicionalmente, la Jueza ponente constitucional, abogada Karla Andrade Quevedo, en su Sentencia N° 2137-21-EP /21 del caso N° 2137-21-EP del 29 de septiembre del 2021, menciona respecto del artículo 82 CRE que “[d]el texto constitucional se desprende que la Constitución garantiza a las personas el derecho de contar con un ordenamiento jurídico previsible, claro, determinado, estable y coherente que le permita tener una noción razonable de las reglas de juego que le serán aplicables…”.En concordancia con lo mencionado en el párrafo anterior, el Juez ponente constitucional, abogado Enrique Herrería Bonnet, en su Sentencia N° 54-17-IN/22 del caso N° 54-17-IN del 26 de mayo del 2022, menciona que “[l]a Constitución concibe a la seguridad jurídica como un derecho-prerrogativa que ostentan las personas para exigir el respeto de la norma constitucional a través de la formulación de normas jurídicas previas, claras y públicas, obligando al órgano con potestad normativa a respetar estos requisitos.”.En este sentido, antes de que los servidores públicos realicen o ejecuten cualquier actuación administrativa, deben contar con la normativa que regule el procedimiento que permita el ejercicio de dicha actuación. Esta normativa debe ser clara y conocida por el administrado, en el marco de los principios constitucionales y administrativos de legalidad (juridicidad) y seguridad jurídica. En caso de que la norma carezca de claridad, es decir, si su articulado no ofrece el grado de certeza suficiente para que los ciudadanos puedan inferir el procedimiento, la prohibición, la permisión o la sanción correspondiente, el ciudadano tiene el derecho de solicitar a la institución pública una respuesta a una consulta sobre el texto de la misma o su aplicación. Así entonces, usted solicita información detallada y plantea varias interrogantes sobre el proceso aplicable para acceder al reconocimiento por buenas prácticas, conforme a lo establecido en la disposición transitoria tercera de la Ley Orgánica de Protección de Datos Personales (“LOPDP”). Al respecto, me permito indicar que, si bien el reconocimiento por buenas prácticas está garantizado por la LOPDP, el proceso al que hace referencia no existe en la actualidad, y por ello no podemos ofrecer información detallada sobre el mismo. Además, cabe mencionar que la Superintendencia de Protección de Datos Personales se encuentra en una etapa de arranque de sus funciones y está coordinando acciones para expedir oportunamente normativa que regule los procedimientos y procesos que garanticen el cumplimiento de sus objetivos y fines, y aseguren el goce y ejercicio efectivo de los derechos de los administrados.

Pronunciamiento

En ejercicio de la Resolución N° SPDP-SPDP-2024-0007-R de fecha 30 de septiembre, en donde en su literal c) del artículo 4, en mi calidad de delegado del Superintendente de Protección de Datos Personales, en atención a su petitorio en la consulta que versa sobre el aspecto de un proceso aplicable para acceder al reconocimiento por buenas prácticas, conforme a lo establecido en la disposición transitoria tercera de la Ley Orgánica de Protección de Datos Personales (“LOPDP”), esta autoridad no se pronuncia al respecto, toda vez que la misma es ambigua, vaga e indeterminada, ya que versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta institución pública, por lo que a la fecha no existe disposición alguna que establezca el procedimiento y requisitos para obtener tal reconocimiento, en cumplimiento del artículo 226 de la Constitución. En este sentido se da contestación a su solicitud, exhortando al consultante a que realice las consultas que sean necesarias cuando la normativa aplicable sea expedida en legal y debida forma.

Oficio N° SPDP-IGRPD-2024-002-O-C

Preguntas

1. Existencia del procedimiento: ¿Existirá un procedimiento de verificación orientado al control de cumplimiento de dicha obligación? En caso afirmativo:

2. Método de verificación: ¿Cuáles serán los métodos y procedimientos específicos que la Superintendencia empleará para verificar si una entidad ha designado a su Delegado?

3. Documentación y requisitos necesarios: ¿Cuáles son los documentos y evidencias que deberán presentarse para sustentar el cumplimiento de la obligación?

4. Plazos de presentación: ¿Cuáles son los plazos aplicables para la presentación de dichos requisitos o documentación?

Análisis

El numeral 23 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) establece el derecho de petición, ya sea de manera individual o colectiva, ante las autoridades y recibir una respuesta fundamentada. En concordancia con lo mencionado, el artículo 32 del Código Orgánico Administrativo (“COA”) señala que “[l]as personas tienen derecho a formular peticiones, individual o colectivamente, ante las administraciones públicas y a recibir respuestas motivadas, de forma oportuna.”. Así mismo, la CRE en su artículo 226 consagra el principio de legalidad, el cual habilita y limita el alcance del ejercicio de las competencias de los servidores públicos que ejercen una potestad estatal; indicando que los mismos deberán ejercer solas aquellas competencias y facultades que estén contempladas en la Constitución y la ley. Además, se insta cumplir con el deber de “coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución.”. En concordancia con lo mencionado, el artículo 14 del COA establece el principio de juridicidad, con otro nombre, pero bajo la misma esencia, donde se menciona que las actuaciones administrativas se someten no solo a las normas jerárquicas superiores, CRE y tratados internacionales, sino también a los principios y jurisprudencia; de igual forma las administraciones públicas gozan de potestad discrecional con apego a derecho.En este mismo sentido de ideas, la CRE en su artículo 82 hace referencia al principio a la seguridad jurídica que implica la “…existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes.”; y su fundamento es el respeto a la CRE.
En concordancia con esto, el COA en su artículo 22 consagra el principio de seguridad jurídica indicando que las “administraciones públicas actuarán bajo los criterios de certeza y previsibilidad.”; es decir, que el administrado sabrá previamente la forma de actuar coherente de la administración pública a través de las normas que contemplen dichas reglas. Adicionalmente, la Jueza ponente constitucional, abogada Karla Andrade Quevedo, en su Sentencia N° 2137-21-EP /21 del caso N° 2137-21-EP del 29 de septiembre del 2021, menciona respecto del artículo 82 CRE que “[d]el texto constitucional se desprende que la Constitución garantiza a las personas el derecho de contar con un ordenamiento jurídico previsible, claro, determinado, estable y coherente que le permita tener una noción razonable de las reglas de juego que le serán aplicables…”.
2 En concordancia con lo mencionado en el párrafo anterior, el Juez ponente constitucional, abogado Enrique Herrería Bonnet, en su Sentencia N° 54-17-IN/22 del caso N° 54-17-IN del 26 de mayo del 2022, menciona que “[l]a Constitución concibe a la seguridad jurídica como un derecho-prerrogativa que ostentan las personas para exigir el respeto de la norma constitucional a través de la formulación de normas jurídicas previas, claras y públicas, obligando al órgano con potestad normativa a respetar estos requisitos.”
3 En este sentido, antes de que los servidores públicos realicen cualquier actuación administrativa, deben contar con la normativa que regule el procedimiento que permita el ejercicio de dicha actuación. Esta normativa debe ser clara y conocida por el administrado, en el marco de los principios constitucionales y administrativos de legalidad (juridicidad) y seguridad jurídica. En caso de que la norma carezca de claridad, es decir, si su articulado no ofrece el grado de certeza suficiente para que los ciudadanos puedan inferir el procedimiento, la prohibición, la permisión o la sanción correspondiente, el ciudadano tiene el derecho de solicitar a la institución pública una respuesta a su consulta sobre el texto de la misma o su aplicación. Así entonces, usted solicita información y plantea varias preguntas sobre el proceso que implementará esta institución pública para verificar el cumplimiento de la obligación relativa a la contratación del Delegado de Protección de Datos Personales, conforme a lo establecido en el numeral 13 del artículo 47 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”).
Al respecto, me permito indicar que, si bien la obligación del responsable del tratamiento de designar a un Delegado de Protección de Datos Personales está establecida por la LOPDP, el proceso al que hace referencia, tal como usted refiere, no existe en la actualidad, y por ello no podemos ofrecer información sobre el mismo. Además, cabe mencionar que la Superintendencia de Protección de Datos Personales se encuentra en una etapa de arranque de sus funciones y está coordinando acciones para expedir oportunamente normativa que regule los procedimientos y procesos que garanticen el cumplimiento de sus objetivos y fines, y aseguren el goce y ejercicio efectivo de los derechos de los administrados.

Pronunciamiento

En ejercicio de la Resolución N° SPDP-SPDP-2024-0007-R de fecha 30 de septiembre, en donde en su literal c) del artículo 4, en mi calidad de delegado del Superintendente de Protección de Datos Personales, en atención a su petitorio en la consulta que guarda relación sobre el proceso que implementará esta institución para verificar el cumplimiento de la obligación relativa a la “contratación” del Delegado de Protección de Datos Personales, de conformidad a lo establecido en el numeral 13 del artículo 47 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”), esta autoridad no se pronuncia al respecto, toda vez que la misma es ambigua, vaga e indeterminada, ya que versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta entidad, por lo que a la fecha no existe disposición alguna que establezca el procedimiento para verificar el cumplimiento del numeral 13 del artículo 47 de la “LOPD”, en cumplimiento del artículo 226 de la Constitución. Sin perjuicio de lo anterior, hasta que se emita normativa aplicable a la consulta, todos los sujetos regulados SIN EXCEPCIÓN deberán cumplir en forma imperativa todo lo establecido en la LOPDP y su Reglamento en lo que se relaciona al Delegado de Protección de Datos. En este sentido se da contestación a su solicitud, exhortándolo a que realice las consultas que sean necesarias cuando la normativa aplicable sea expedida en legal y debida forma.

Oficio N° SPDP-IGRPD-2024-008-O-C

Preguntas

¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros?

Análisis

Con base en lo previamente señalado, el derecho de protección de datos personales se encuentra reconocido en la Constitución, la cual menciona que se podrán realizar tratamientos a los datos personales de los titulares solo con la autorización de estos, ya sea con el consentimiento, o por mandato legal. En este sentido la protección de la información de los titulares de datos y la garantía del derecho se ha tutelado por la LOPDP, la cual regula el mandato establecido en la norma constitucional. Es así, que la CRE delimita a que solo normas con rango de ley pueden ordenar el tratamiento de datos personales, siempre y cuando dicho tratamiento cumpla con los principios que establece la LOPDP, para que así se garantice en todo momento el derecho a la protección de datos personales de sus titulares. La normativa hace una distinción de categorías de datos personales debido a que no todo dato de una persona natural tiene la misma carga de información identificable. Por ende, los datos que se consideren especiales tienen una mayor carga de información de un titular y pertenecen a la esfera más íntima de la persona, por lo que merecen y se les debe otorgar un mayor nivel de protección y seguridad. En este sentido, la huella dactilar se considera un dato biométrico, por ende, debe tener un mayor nivel de protección y seguridad. Ahora bien, el código dactilar es la codificación de la epidermis del dedo de una persona natural la cual es única e irrepetible, por lo que el código siempre va a ser diferente para cada huella dactilar, en consecuencia, identifica directamente a un titular de datos personales por lo que el código dactilar se considera un dato biométrico. Como se ha mencionado, para poder realizar un tratamiento de datos personales se debe contar con una base legitimadora de tratamiento y, en caso de ser un tratamiento de datos sensibles, se debe contar con bases legitimadoras adicionales previstas en el artículo 26 de la LOPDP. Un tratamiento que contenga la huella dactilar, al ser un dato especial sensible, debe contar con legitimación y, adicionalmente, cumplir con los principios que establece la normativa en protección de datos personales. Es así como se debe realizar un análisis de riesgo respecto al tratamiento con la finalidad de poder identificar los riesgos a los que puede estar sometido el mismo, medidas de mitigación y, si efectivamente es viable llevarlo a cabo. En este sentido, cuando se haya identificado que el tratamiento de datos personales conlleva un alto riesgo para los derechos y libertades del titular o cumple con uno de los supuestos obligatorios mencionados en la LOPDP, se debe realizar una evaluación de impacto de tratamiento, con la finalidad de evaluar el impacto potencial del tratamiento de datos personales sobre la privacidad y los derechos de los individuos. Cabe mencionar que la normativa establece como obligatorio la evaluación de impacto cuando sea un tratamiento a gran escala de categorías especiales de datos y, el RLOPDP dispone que, entre lo que se considera gran escala, se encuentran los tratamientos que afecten a una gran cantidad de datos de varios titulares en proporción de la población correspondiente. Es necesario realizar el análisis de riesgo y la evaluación de impacto, en los casos que corresponda, debido a que se puede identificqr la proporcionalidad del tratamiento y el impacto que el mismo puede tener sobre los derechos del titular de datos. De acuerdo con la normativa antes señaladas, todas las sociedades tienen la obligación de designar un administrador que tenga la representación legal de cada sociedad y, se deberá inscribir su nombramiento con la razón de aceptación. Cabe recalcar que la aceptación que da el representante legal es sobre el cargo, y ésta no versa sobre un tratamiento de datos específico debido a que no cumple con los requisitos normativos para ser considerado como un consentimiento válido y, en el caso específico, la base legitimadora no sería el consentimiento. Adicionalmente, cabe mencionar que a los datos personales de representantes legales no les aplica la LOPDP, siempre y cuando se trate de información identificativa, de contacto o referente al giro de negocio, competencias, facultades, atribuciones o cargo; sin perjuicio de que los datos de los representantes legales que se publiquen estén sometidos a una evaluación de proporcionalidad y efectivamente sean los mínimos necesarios para cumplir con las obligaciones del negocio. Es menester mencionar que los nombramientos tienen “vocación” de publicidad por lo que se incorporan en registros públicos con la finalidad de que la sociedad pueda tener acceso a la información y así protegerse de posibles confusiones o engaños que se puedan realizar en actividades de comercio. En este sentido, la publicidad es uno de los pilares básicos de las actividades de comercio ya que la esencia de esta es que se pueda identificar a la persona del comercio correspondiente con información razonable y relevante para las actividades mercantiles. De acuerdo con lo previamente mencionado se considera una base legitimadora al mandato legal contenido en normativa que tenga el nivel jerárquico de ley el cual ordene un determinado tratamiento de datos personales. Esto, sin perjuicio que la ley que ordene el tratamiento esté de acuerdo con los principios constitucionales y los contemplados en la LOPDP, especialmente el de finalidad, pertinencia y minimización y el de proporcionalidad. La solicitud e inclusión del código dactilar en los nombramientos de representantes legales de las distintas sociedades, de acuerdo con la normativa y los criterios jurídicos presentados, tiene como finalidad la identificación inequívoca de los representantes legales para actividades de comercio. Sin embargo, al ya incluirse el número de identificación se logra cumplir con la misma finalidad, por lo que la solicitud de un dato biométrico se considera que no cumple con los principios de proporcionalidad y necesidad respecto a la finalidad determinada.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° SCVS-INC-DNCDN-2024-00125858-O del 7 de noviembre de 2024 y al análisis realizado, se concluye que la Resolución N° SCVS-INC-DNCDN-2022-0008 del 21 de junio de 2022 que solicita el código dactilar de los representantes legales de las sociedades junto con el número de cédula de identidad en los nombramiento de estos, es desproporcionado con relación a su finalidad, toda vez que se puede identificar de manera inequívoca a una persona a través del número de cédula de identidad; más aún que los nombramientos se inscriben ante la autoridad competente para que en esencia se cumpla con el principio de publicidad de la Ley de Compañía y el Código de Comercio, lo cual genera un mayor riesgo de vulneración a los derechos de los titulares de datos personales; motivos por los cuales la resolución mencionada vulnera los principios de finalidad, pertinencia y minimización de datos personales, y de proporcionalidad contemplados en los literales d., e. y f. del artículo 10 LOPDP. En respuesta a la interrogante planteada por el consultante de que si: ¿Se afecta el derecho a la protección de datos de carácter personal, previsto en el artículo 66, numeral 19 de la Constitución de la República, por la disposición reglamentaria del uso del código dactilar junto al número de cédula de ciudadanía para la emisión de nombramientos de representantes legales de las sociedades controladas por la Superintendencia de Compañías, Valores y Seguros? Determinamos que la Constitución reconoce y protege el derecho a la protección de datos personales, el cual se garantiza con los principios desarrollados en la LOPDP. Es así que, como se menciona en el párrafo anterior, al vulnerarse los principios que garantizan la protección de datos personales, este derecho se ve afectado en forma directa. El presente pronunciamiento deberá ser entendido en su integridad y se limita a la consulta específica presentada por la SCVS, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0009-O

Preguntas

En base a lo manifestado ¿En calidad de Notario Septuagésimo Octavo encargado del cantón Quito, otorgar copias, testimonios de escrituras matriz o compulsas de los documentos que se encuentran en el archivo bajo mi responsabilidad, debo entregar a cualquier persona, pero si se trata de terceras personas, las que no hayan intervenido en los actos o contratos, deberán presentar el un contrato suscrito con el titular conforme al Art. 34 de la Ley Orgánica de Protección de Datos Personales?

Análisis

Con base en la normativa previamente mencionada, todo tratamiento de datos personales debe respetar y aplicar los principios contemplados en la LOPDP para que de esta manera se garanticen los derechos e información de los titulares de datos. En este sentido, los principios que se destacan en el tratamiento son: en primer lugar, el de juridicidad que hace referencia a que todos los datos personales a los que se tenga acceso para el tratamiento deben ser tratados en estricto apego y cumplimiento a los principios, derechos y obligaciones reconocidos en la CRE e instrumentos internacionales aplicables. Este principio es fundamental para el tratamiento de datos personales debido a que exhorta a las partes a manejar los datos con un enfoque holístico, dándoles una mayor protección a los titulares de datos es así que, el Consultante, en calidad de notario, deberá en todo momento aplicar los más altos estándares de seguridad para el manejo de datos personales. En segundo lugar, el principio de lealtad, el cual establece que todas las personas que traten datos personales deben informar a los titulares respecto al tratamiento que se va a dar a la información proporcionada. Esto es fundamental, debido a que se relaciona con el derecho de información y el consentimiento que se solicita a los titulares de datos para que el mismo sea considerado válido. Es así que, en el presente caso específico, el mencionado principio se debe tomar en cuenta al momento de brindar los servicios y solicitar consentimientos a los titulares de datos personales. En tercer lugar, el principio de finalidad, el cual hace referencia a que todos los tratamientos deberán ser determinados, explícitos, legítimos y comunicados al titular. Esto significa que no se puede solicitar información a los titulares de datos personales para tratamientos que no se hayan determinado ni informado a este último. Este principio es de fundamental relevancia debido a que también se relaciona con el derecho de información, y debe ser informado al momento de solicitar el consentimiento para el tratamiento de datos a los titulares, además que se debe incluir en las políticas de privacidad de los responsables y encargados de tratamiento. En cuarto lugar, el principio de pertinencia y minimización, el cual hace referencia a que solamente se podrán solicitar los datos limitados a los estrictamente necesario, este principio tiene correlación con el previamente mencionado de finalidad, debido a que solo se deben solicitar los datos mínimos necesarios para la finalidad específica para la cual se solicita la información. Como quinto y último principio más relevante a tomar en consideración en el presente caso, es el de proporcionalidad del tratamiento, el cual hace referencia a que todo tratamiento de datos personales que se realice debe ser adecuado, necesario oportuno, relevante y no excesivo en relación a las finalidades para las cuales se solicita la información. Con base en este último principio es necesario y de suma importancia realizar el examen de proporcionalidad que se contempla en la SENTENCIA INTERPRETATIVA No. 002-10-SIC-CC CASO No. 0020-09-IC 1 y, al que se hace referencia en el RLOPDP. Es así que, el examen de proporcionalidad que se realiza a continuación analiza la colisión entre el derecho a la transparencia y acceso de las escrituras públicas de un notario, específicamente la posibilidad de que cualquier persona pueda solicitar copias o testimonio de la escritura matriz o compulsa de los documentos protocolizados, y el derecho de protección de datos personales de los titulares involucrados en dichos actos notariales. Además, se toma en cuenta el de acceso a la información pública. Para ello, aplicaremos los tres pasos del examen de proporcionalidad: adecuación, necesidad y proporcionalidad en sentido estricto. Respecto a la adecuación, se busca examinar si la medida adoptada es adecuada para alcanzar el objetivo legítimo perseguido, en el presente caso lo que se busca es que haya transparencia pero que no se vulnere el derecho a la protección de datos personales. Para lo cual es relevante señalar la importancia del derecho de transparencia y el acceso a la información pública los cuales son de suma transcendencia y aún más en Ecuador, ya que promueven la rendición de cuentas, la transparencia en la gestión pública y el acceso de los ciudadanos a la información. Por otro lado, existe el derecho a la protección de datos personales el cual busca proteger la información de la esfera íntima y privada de una persona natural, lo cual es un objetivo legítimo y forma parte de las libertades de los seres humanos. En este caso, se busca garantizar que las escrituras públicas notariales sean accesibles a cualquier persona, permitiendo la verificación de la autenticidad de documentos y la transparencia de las acciones del notario, pero limitando dicho derecho para así proteger la información de los titulares de datos personales. La medida de permitir que cualquier persona solicite copias de los archivos notariales puede ser adecuada para alcanzar el objetivo de transparencia y acceso a la información pública. Sin embargo, debe asegurarse de que no se infrinja el derecho de protección de datos personales. Si bien el derecho de acceso a la información pública es fundamental, no se puede permitir que dicho acceso vulnere la privacidad de las personas involucradas en los actos notariales.Como segundo punto, es imprescindible analizar dentro del examen de proporcionalidad, el de la necesidad. En el presente caso se analiza si es necesario el acceso a las escrituras públicas que se encuentran en el archivo de la notaría del consultante. Como se menciona anteriormente es importante el acceso debido a que la esencia de la gestión notarial es dar fe pública respecto a los actos jurídicos celebrados ante notario, en este sentido debido a que la fe es pública, esta puede ser verificada por cualquier persona, por lo tanto, estos documentos deben poder ser accesibles al público. Sin embargo, la transparencia y el derecho de acceso a la información no pueden vulnerar bajo ninguna consideración, el derecho a la protección de datos personales, por lo que es necesario que ambos derechos sean aplicados en conjunto para que puedan tener vigencia en armonía. En este punto es preciso realizar el análisis de proporcionalidad o balance donde se busca un equilibrio entre los derechos y la aplicación de ambos de una manera armónica de acuerdo con lo establecido en el bloque de constitucionalidad. En este sentido, de acuerdo con la normativa previamente citada, el artículo 40 de la LN establece que cualquier persona podrá tener acceso al archivo de los notarios, teniendo en cuenta que muchos de los documentos contienen datos personales de las partes intervinientes en los diferentes actos que se encuentran contemplados en estos. En este sentido, la LOPDP y su Reglamento protegen el tratamiento de la información de personas naturales y la misma normativa establece que la custodia y cualquier uso que se dé a la información se considera un tratamiento y, contempla como transferencia, entre varias acciones, a la entrega o consulta de dicha información. Por ende, para poder dar un tratamiento legítimo se debe cumplir con al menos una base legitimadora, las cuales se encuentran enumeradas de manera taxativa en el artículo 7 de la LOPDP. Adicionalmente, al ser considerada una transferencia o comunicación la entrega de información es aplicable el artículo 33 de la LOPDP, el cual establece como requisito para las transferencias contar con el consentimiento del titular, además de una base legitimadora, por lo que para que el consentimiento sea considerado válido deberá cumplir con lo establecido en el artículo 8 LOPDP y además con los principios previamente analizados líneas arriba. Con base en lo previamente analizado, se concluye que cualquier persona puede solicitar copias o testimonio de la escritura matriz o compulsa de los documentos protocolizados del notario debido a que se encuentra previsto en la LN; sin embargo, en cumplimiento de la LOPDP, teniendo en consideración que tutela o protege un derecho fundamental y que tiene un rango superior, de acuerdo con el artículo 425 CRE, por su condición de orgánica, se deberá cumplir con TODOS los requisitos establecidos en la misma para dar un tratamiento legítimo a los datos personales. En este sentido se deberá contar con una base legitimadora y, además, contar con el consentimiento de los titulares de datos personales o sus representantes. Adicionalmente, en miras de cumplir con las cinco medidas de seguridad contempladas en el a LOPDP las cuales son técnicas, físicas, organizativas, administrativas y legales encaminadas a proteger la información en su confidencialidad, disponibilidad e integridad se deberán implementar TODAS las medidas de seguridad que correspondan al caso específico, como por ejemplo la anonimización de datos personales especiales, que no sean necesarios para las finalidades para las cuales se solicite el acceso a determinados documentos. En este sentido se busca que el acceso a la información debe equilibrarse con la protección de datos personales, utilizando restricciones o mecanismos de seguridad que eviten el acceso innecesario a información privada.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° S/N del 10 de diciembre de 2024, al análisis realizado y dando respuesta a la consulta planteada por el consultante; “En base a lo manifestado ¿En calidad de Notario Septuagésimo Octavo encargado del cantón Quito, otorgar copias, testimonios de escrituras matriz o compulsas de los documentos que se encuentran en el archivo bajo mi responsabilidad, debo entregar a cualquier persona, pero si se trata de terceras personas, las que no hayan intervenido en los actos o contratos, deberán presentar el un contrato suscrito con el titular conforme al Art. 34 de la Ley Orgánica de Protección de Datos Personales,?...” se determina que sí se debe dar cumplimiento al artículo 40 de la Ley Notarial, respecto a la copia de una escritura matriz o compulsa de los documentos protocolizados a terceras personas que cumplan con al menos una base legitimadora de tratamiento y, adicionalmente, a fin de dar cumplimiento a la LOPDP se recomienda solicitar el consentimiento para el tratamiento de datos personales a los titulares al momento de requerir y realizar los servicios notariales correspondientes. Las terceras personas que quieran acceder escrituras públicas del notario no tienen la obligación de contar con un contrato con el titular ni con el notario, quien en el presente caso ostenta la calidad de responsable de tratamiento, debido a que el artículo aplicable NO es el 34 de la LOPDP de acuerdo con el análisis previo realizado. El presente pronunciamiento deberá ser entendido en su integridad y se limita a la consulta específica presentada por el doctor Ramiro Gonzalo Borja Borja, en calidad de Notario Septuagésimo Octavo encargado del cantón Quito, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0010-O

Preguntas

¿Cuál es el proceso de tratamiento de datos personales que deben seguir los establecimientos de salud, fabricantes, y/o titulares de registros sanitarios con respecto a la trazabilidad de las tarjetas de implante?

Análisis

Con base en la normativa previamente detallada, la CRE reconoce el derecho de protección de datos personales. De esta manera, esta garantía normativa se encuentra tutelada en la LOPDP, ley que goza con el carácter de orgánica por lo que regula el mandato constitucional em forma expresa. No obstante, previo a ejecutar un tratamiento de datos se debe contar con el habilitante que corresponda, es decir, tener una legitimación de carácter legal o disponer del consentimiento del titular de los datos. En este sentido, la CRE contempla que solo normas con rango de ley pueden ordenar el tratamiento de datos personales y de acuerdo con la misma las nomas con jerarquía de ley solo pueden ser emitidas por el poder legislativo esto es la Asamblea Nacional como se menciona en los artículos 118 y 120 CRE. Además, la LOPDP de manera expresa prevé que no todo dato personal contiene la misma carga de información identificable, por tal motivo se reconocen categorías especiales de datos, mismas que incorporan una mayor carga de información de un titular y pertenecen a la esfera más íntima de la persona, por lo cual deben recibir un mayor nivel de protección y seguridad. Es así que, con base en la ampliación de consulta presentada por CORPOMEDICA y la Resolución correspondiente del ARCSA, la tarjeta de implante contempla en su tratamiento datos de carácter básico y especial al ser de salud. Dicho dispositivo es una fuente que proporciona a los pacientes la información de la tarjeta de implante incorporada en el cuerpo humano y dependiendo del procedimiento o de la afección del paciente, este dispositivo médico tendrá información diferente según el caso clínico. En consecuencia, la tarjeta de implante identifica directamente a un titular de datos personales, y para la identificación y trazabilidad de este dispositivo se necesitan datos de categoría especial, es decir, de salud por lo que requiere un mayor de nivel de protección. Para poder realizar un tratamiento de datos personales sensibles se debe contar con una base de legitimación y, adicionalmente, se debe dar íntegro cumplimiento a lo establecido en el artículo 26 de la LOPDP. Por consiguiente, el tratamiento respecto a la fabricación, provisión y/o comercialización de tarjetas de implantes, las cuales llegan a almacenar datos de salud de un titular, deben cumplir con lo establecido en el numeral 19 del artículo 66 CRE y, contar con la debida legitimación establecida en el artículo 7 de la LOPDP junto con los principios establecidos en el artículo 10 LOPDP. Al ser un tratamiento de datos personales sensibles es necesario realizar el análisis de riesgo con la finalidad de poder identificar estos, las medidas de control aplicables y, si efectivamente es viable llevarlo a cabo. Una vez identificado que el tratamiento de datos personales conlleva un alto riesgo para los derechos y libertades del titular, es menester realizar una evaluación de impacto, puesto que así se podrá determinar la idoneidad, la necesidad, y la proporcionalidad del tratamiento como el impacto qué puede o podrá generarse a los derechos y libertades fundamentales de los titulares. En contexto con la normativa detallada, todos los establecimientos de salud, fabricantes y/o titulares de registro sanitario tienen la obligación disponer toda la información respectiva de las tarjetas de implante a fin de establecer la trazabilidad del dispositivo médico implantable para poder identificar y ejecutar las acciones necesarias en caso de presentarse los eventos adversos establecidos en el artículo 27 de la Resolución N°ARCSA-DE-2023-016-AKRG. Sin embargo, no se puede considerar que la base de legitimación para dicho tratamiento es la normativa establecida en la Resolución N° ARCSA-DE-2023-016-AKRG, ya que de acuerdo con el artículo 66.19 CRE, los tratamientos de datos personales solamente pueden estar legitimados en una norma con rango de Ley, por lo que en el presente caso concreto, si bien el ARCSA es la autoridad competente y emitió su normativa la cual es aplicable, la misma debe estar en armonía con la CRE y la LOPDP, por lo que no puede ser tomada como mandato legal por no tener dicho rango normativo, como una base de legitimación de tratamiento. Por ello, deberá cumplir con otra base que legitime el tratamiento de datos personales, el cual en el presente caso debería ser el consentimiento del titular de datos personales y, adicionalmente cumplir con los principios constitucionales y los contemplados en la LOPDP, especialmente lo relacionado a: finalidad, pertinencia y minimización; y, proporcionalidad. En atención ello, los establecimientos de salud, fabricantes y/o titulares de registro pueden realizar el tratamiento de datos personales con respecto a la trazabilidad de las tarjetas de implante de conformidad con la Resolución N°. ARCSA-DE-2023-016-AKRG, solicitando el consentimiento informado de los titulares, en vista de que deben salvaguardar la vida e integridad del paciente. No obstante, solamente se deberán tratar los datos relativos a: 1. Nombre del Establecimiento en el que se realiza el implante; 2. Identificación del paciente (nombre y apellido); 3. Fecha del implante; 4. Código ECRI o GMDN y Nombre Genérico del Dispositivo Médico de Uso Humano; 5. Nombre comercial del Dispositivo Médico de Uso Humano; 6. Número de lote o serie del Dispositivo Médico de Uso Humano; 7. Nombre y dirección del fabricante; 8. Nombre y dirección del importador; 9. Número del registro sanitario; y, 10. UDI, cuando aplique, en función a lo dispuesto mediante la Resolución N°. ARCSA-DE-2023-016-AKRG.

Pronunciamiento

Considerando la consulta presentada por COPROMEDICA mediante Oficio S/N de noviembre 28 de 2024 y dentro del contexto del análisis desarrollado, se concluye que los establecimientos de salud, fabricantes y/o titulares de registro sanitario deben cumplir con la Resolución N°. ARCSA-DE-2023-016-AKRG, sin embargo, se deberá solicitar el consentimiento de los titulares de datos personales y, deberán tratar únicamente los datos personales prescritos en el artículo 32 de la Resolución antes indicada, para lo cual se recomienda implementar las medidas de control adecuadas con el objeto de garantizar mayor nivel de protección y seguridad de los datos, y garantizar en todo momento los principios de finalidad, pertinencia y minimización de datos personales, y de proporcionalidad contemplados en los literales d., e. y f. del artículo 10 LOPDP. En atención a las consultas específicas planteadas por el consultante se contesta lo siguiente: “¿Cuál es el proceso de tratamiento de datos personales que deben seguir los establecimientos de salud, fabricantes, y/o titulares de registros sanitarios con respecto a la trazabilidad de las tarjetas de implante?”. “(…) se consulta ¿Cuál es el procedimiento de tratamiento de datos personales que deben realizar los establecimientos de salud, fabricantes y/o titulares de registros sanitarios, que manejan datos personales a través “tarjetas de implante” de los dispositivos médicos invasivos (implantes)? (…)” La SPDP determina que el ciclo de vida del dato en este tratamiento, inicia con la trazabilidad de las tarjetas de implante siempre que se solicite el consentimiento de los titulares, en este sentido la finalidad del tratamiento de acuerdo con la con la Resolución N° ARCSA-DE-2023-016-AKRG es establecer la trazabilidad del dispositivo médico implantable para identificar y ejecutar las acciones que se requieran en caso de presentarse eventos adversos que puedan afectar al paciente. Una vez terminada la finalidad para la cual se recabaron los datos personales, los mismos deberán ser conservados en otra base de datos de manera pasiva por el tiempo justificado necesario, posterior del cual los datos deberán ser eliminados. “(…) Y, de ser el caso ¿Qué finalidad del dato sería la pertinente en este caso? Esto, considerando las disposiciones previstas en la Ley Orgánica de Protección de Datos Personales y su Reglamento.” Como se mencionó anteriormente, la finalidad para tratar los datos personales de los pacientes es la mencionada en la Resolución N° ARCSA-DE-2023-016-AKRG, la cual establece la trazabilidad del dispositivo médico implantable para identificar y ejecutar las acciones que se requieran en caso de presentarse eventos adversos que puedan afectar al paciente. El presente pronunciamiento deberá ser entendido en su integridad y se limita a la consulta específica presentada por la consultante, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0017-O

Preguntas

¿Es responsabilidad de cada notaría, de forma individual, nombrar un Delegado de Protección de Datos Personales? O, en su defecto, ¿es el Consejo de la Judicatura, como institución del sector público encargado de regular y supervisar el ejercicio de la actividad notarial, la entidad competente para designar un único Delegado de Protección de Datos Personales?

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° CNP-P-HVM-2025-0001 del 24 de enero de 2025, al análisis realizado y dando respuesta a la consulta planteada por el consultante determinamos lo siguiente; “¿Es responsabilidad de cada notaría, de forma individual, nombrar un Delegado de Protección de Datos Personales? (…)” No es responsabilidad de cada notaría nombrar un DPD en virtud del artículo 49 de la LOPDP, por cuanto no ejercen las funciones de máximas autoridades de una entidad pública. “ (…) O, en su defecto, ¿es el Consejo de la Judicatura, como institución del sector público encargado de regular y supervisar el ejercicio de la actividad notarial, la entidad competente para designar un único Delegado de Protección de Datos Personales?” En relación con la segunda pregunta, ésta corresponde a una hipótesis que aún no ha sido materia de regulación por parte de la SPDP, para lo cual expedirá la normativa necesaria en el futuro, a fin de que el tratamiento de datos dentro del servicio notarial se dé en cumplimiento del régimen jurídico de la protección de datos personales vigente. Por lo tanto, la Superintendencia de Protección de Datos Personales se abstiene de responder la segunda pregunta planteada.El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0031-O

Preguntas

¿Es procedente el tratamiento de datos biométricos para el registro de Asistencia de trabajadores por parte del Empleador?, ¿es necesario el consentimiento expreso para el tratamiento de esos datos biométricos para control de asistencia?, ¿sin consentimiento es procedente el tratamiento de esos datos bajo las otras circunstancias del Art. 26, de la LOPDP?

Análisis

Con base en la normativa previamente citada, se evidencia que la CRE consagra el derecho de protección de datos personales estableciendo que para que se pueda realizar un tratamiento de datos personales, éste solamente podrá realizarse con la autorización del titular de datos personales o por mandato legal. Bajo estos lineamientos, la LOPDP y su Reglamento regulan específicamente el derecho a la protección de datos personales. En este sentido, tanto la CRE como la normativa específica de la materia establecen la obligación de los responsables de datos personales de cumplir con los principios, así como al obligación de implementar las suficientes y adecuadas medidas de seguridad que garanticen la confidencialidad, disponibilidad e integridad de la información en todo momento. En este sentido, la LOPDP distingue categorías de datos personales, dentro de las cuales se contemplan dos principales. La primera, es la de datos personales generales, la cual hace referencia a toda la información básica de una persona que no afecta a la esfera íntima de una persona ni es considerado dato especial. La segunda, es la categoría de datos personales especiales, la cual se subdivide en las siguientes: datos personales sensibles; datos de niñas, niños y adolescentes; datos de salud; datos de personas con discapacidad y, se entiende que dentro de esta categoría también se encuentran contemplados los datos crediticios y la excepcionalidad de personas fallecidas. Es así como, dentro de la categoría de datos especiales sensibles, la LOPDP incluye a los datos biométricos y los define como todo dato personal único que contiene información personalísima e íntima de una persona natural referente a características físicas o fisiológicas o conductas de una persona natural, tales como datos dactiloscópicos1. Al considerarse los datos personales especiales sensibles pertenecientes a la esfera más íntima de una persona natural, estos deben ser objeto de mayor protección y, por ende, la LOPDP como regla general prohíbe su tratamiento, sin embargo, establece un artículo específico de excepciones al tratamiento de esta categoría de datos personales, reconociendo las siguientes excepciones: por consentimiento, para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del derecho laboral y de la seguridad y protección social, para proteger intereses vitales, datos que el titular haya hecho manifiestamente públicos, por orden de autoridad juridicial, para fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, los cuales deben ser proporcionales al objetivo perseguido, así como cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la presente Ley. Ahora bien, es menester analizar cada una de las excepciones mencionadas a la luz de lo consagrado en la CRE y en aplicación específica al tratamiento de datos personales biométricos como medio de registro de asistencia de los titulares a su lugar de trabajo. Respecto a la excepción contenida en el literal b del artículo 26 de la misma ley, ésta establece que se podrá tratar datos sensibles para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del derecho laboral y de la seguridad y protección social, la cual no aplica en el presente caso debido a que no hay ninguna norma expresa la cual obligue al responsable de tratamiento (empleador como personal natural o persona jurídica) a registrar la asistencia con el uso de dispositivos biométricos. Con relación a la excepción contenida en el literal c, ésta hace referencia al uso de datos sensibles de manera necesaria “para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento”, hipótesis normativa que no resulta aplicable en el supuesto propuesto debido a que las personas que registran su asistencia se entienden que son plenamente capaces. Respecto al literal d del artículo 26 de la norma analizada, contempla la excepción del uso de datos sensibles, que es el caso en el cual el titular los haya hecho manifiestamente públicos, circunstancia que no aplica en este caso debido a que se entiende que ninguna de las personas que registran su asistencia a su lugar de trabajo ha publicado en ningún portal ni red pública su huella dactilar, iris ni datos similares considerados biométricos y, en el caso excepcional de que una persona lo haya hecho correspondería a un porcentaje mínimo, casi inexistente de personas que lo hayan realizado. Con relación al literal e del mismo artículo previamente mencionado, reconoce la posibilidad de tratar datos personales sensibles por orden de autoridad judicial, lo que no aplica al presente caso debido a que ninguna autoridad judicial podría emitir una orden en dicho sentido ya que se consideraría inconstitucional con base en los artículos previamente citados de la CRE. Respecto al literal f del artículo 26 de la misma ley, contempla la excepción de tratar datos sensibles en caso de que tenga fines “de archivo en interés público, fines de investigación científica o histórica o fines estadísticos”, supuesto que no se configura en el presente caso debido a que son finalidades totalmente opuestas y distintas. En relación al literal g contenido en el mismo artículo, el cual contempla la posibilidad de tratar datos personales sensibles de salud, tampoco resulta aplicable en el supuesto consultado debido a que los datos biométricos son sensibles, pero no se consideran datos de salud. Finalmente, se ha dejado a la excepción contenida en el literal a del artículo 26 para el análisis final, toda vez que hace referencia a la posibilidad de tratar datos personales con la base legitimadora del consentimiento del titular de datos personales, que podría asumirse hipotéticamente es aplicable; sin embargo, es indispensable realizar un análisis del uso del consentimiento para legitimar el tratamiento de uso de los datos biométricos para el registro de asistencia del titular de datos personales al lugar de trabajo. En este sentido, la LOPDP establece que para que el consentimiento pueda ser considerado válido éste debe ser libre, específico, informado e inequívoco. Términos que deben ser entendidos de acuerdo con los lineamientos explicados en el mismo cuerpo legal. Empero, respecto a la característica de libre, se establece que esta libertad se entenderá así cuando “se encuentre exenta de vicios del consentimiento”2, lo que nos plantea la necesidad de revisar el artículo 1472 del CC, el cual consagra como uno de los vicios del consentimiento a la fuerza, la cual vicia el consentimiento cuando es “capaz de producir una impresión fuerte en una persona de sano juicio, tomando en cuenta su edad, sexo y condición. Se mira como fuerza de este género todo acto que infunde a una persona justo temor de verse expuestos ella, su cónyuge o alguno de sus ascendientes o descendientes, a un mal irreparable y grave.” Adicionalmente, dentro del mismo artículo se hace referencia al temor reverencial concepto al cual lo define como “el solo temor de desagradar a las personas a quienes se debe sumisión y respeto” e indica que dicho concepto no basta para viciar el consentimiento. Es sobre este concepto donde se ha ejemplificado por la doctrina3 como la relación que puede existir entre un trabajador frente a su empleador, debido a que el trabajador le debe sumisión y respeto, dentro del ámbito laboral, por la naturaleza de su relación. Sin embargo, el temor reverencial debe ser analizado en el contexto de las situaciones en las que se aplica y en relación y armonía con el ordenamiento jurídico ecuatoriano, los principios que consagra y los tratados internacionales. En este sentido, también se ha mencionado que “(…) el temor reverencial es un tipo de emoción que afecta el consentimiento, dado que el tipo de relaciones que dependen de ese temor son valiosas (jefes, superiores jerárquicos, autoridades familiares, eclesiásticas o políticas)”4 (énfasis agregado), es así que se entiende al temor reverencial como un temor dado por respeto a una persona que ostenta un cargo de poder frente a otra. Una vez aclarado el concepto de temor reverencial, es imperioso precisar los límites de éste, los cuales se identifican cuando se analiza éste en conjunto con el bloque de constitucionalidad, toda vez que en relación con la aplicación de temor reverencial, éste no puede ir en contra de los principios reconocidos en la constitución, en los tratados internacionales, ni de la normativa vigente debido a que se incurriría en la vulneración de derechos de una persona. En este sentido, se menciona que “(…) el consentimiento para que los mismos se desconozcan ante escenarios por ejemplo de temor reverencial que se traslada a esta pérdida de derechos para no perder su trabajo, o tener algún tipo de ingreso, gozan de total invalidez jurídica y en cualquier momento pueden ser tutelados por el trabajador”5 (énfasis agregado). Es así que se debe entender al temor reverencial aplicable en órdenes, disposiciones y/o actividades relacionadas al trabajo específico que se presta, pero bajo ningún concepto puede ser aplicado a situaciones donde se pida al trabajador, como persona que está bajo una relación de poder o subordinación, que consienta o realice alguna actividad que afecten su esfera íntima y/o sus derechos. Al solicitar el consentimiento para el registro de la asistencia laboral en una relación de trabajador y empleador o, de manera general, de una persona la cual reciba ordenes o realice un trabajo por prestación de servicios y/o tenga una persona un cargo de mayor jerarquía demuestra un claro desequilibro de condiciones entre las partes y, efectivamente genera un temor real (que traspasa los límites propios del temor reverencial) relacionado no solamente al desagrado sino que va mucho más allá e infunde a una persona de sano juicio con plenas capacidades un temor real grave e irreparable de poder perder su trabajo por no firmar un consentimiento que busca acceder a información íntima de la persona. En este sentido, se recalcan los artículos previamente citados de la CRE los cuales reconocen la vida digna de las personas, la cual incluye ente otros, contar con un trabajo/empleo justo que respete los derechos de las personas sin violentar su esfera de privacidad ni intimidad en ningún ámbito ni grado. Por lo tanto, el hecho de usar la base legitimadora del consentimiento para el tratamiento de datos personales biométricos con finalidades de registro de asistencia laboral en cualquiera de sus ámbitos, se considera que hay un temor real a la pérdida de trabajo (que no configura el temor reverencial) y, por ende, la posibilidad de no alcanzar una vida digna; por lo que se considera la configuración de la existencia de una fuerza real que desborda la esfera del temor reverencial debido a que se busca consentimiento para acceso y uso de información privada e íntima de una persona natural, lo que no se relaciona en lo absoluto con las condiciones propias de una relación laboral o de trabajo; menos resulta aplicable en ninguna situación donde exista una relación de poder, lo cual justifique tal invasión. En este sentido, el hecho de solicitar un consentimiento ilegitimo no solamente genera afectación al derecho de protección de datos personales, sino que al crear un temor en el no acceso o la pérdida de trabajo también se vulneraría el derecho a la libertad de trabajo, el derecho a una vida digna, al desarrollo personal y el derecho al proyecto de vida el cual ha sido reconocido por la Corte Interamericana de DDHH.6 Una vez que se ha analizado y concluido que el registro de datos biométricos para efectos del registro de asistencia no puede ni debe aplicarse bajo ninguna consideración bajo ninguna de las bases legitimadoras, cabe mencionar que la LOPDP reconoce principios básicos los cuales deben ser aplicados en todos los tratamientos de datos personales de manera adicional y conjunta con las bases legitimadoras. En este sentido se hace mención y especial énfasis a dos principios. El primero, de Pertinencia y minimización de datos personales, el cual hace referencia a que todos los datos personales que se soliciten para una finalidad específica deben ser los adecuados, pertinentes y mínimos necesarios los cuales permitan al responsable o encargado de tratamiento cumplir con la finalidad específica para la cual se solicitó la información. El segundo, es el de Proporcionalidad del tratamiento, el cual busca que el tratamiento de datos personales sea adecuado, necesario, oportuno, relevante y no excesivo respecto a las finalidades. Con base en lo mencionado, la finalidad de registro de asistencia puede cumplirse a través de diferentes medios y formas que no se sean tan invasivas como, por ejemplo, el uso de tarjetas magnéticas, registro manual de asistencia, registro en ordenadores verificando el IP al momento del ingreso y salida, entre otras. Es así que el uso de datos biométricos para el registro de asistencia no es ni proporcional ni necesario y, por ende, es excesivo al poderse cumplir con la misma finalidad a través de otros medios menos invasivos y reconocidos y aceptados en el régimen laboral vigente. Finalmente, cabe mencionar que es necesario realizar un análisis de riesgos previo a cualquier tratamiento de datos personales y, en los tratamientos que se identifique y tengan un riesgo alto se debe llevar a cabo una evaluación de impacto con la finalidad de implementar medidas adecuadas de seguridad para mitigar los riesgos y obtener un riesgo residual que sea manejable y prudente que no afecte los derechos de los titulares de datos personales. En este sentido se recomienda que previo a la posibilidad de aplicación de tratamientos de datos biométricos se realice una evaluación de impacto para el cumplimiento de la LOPDP.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN del 21 de enero de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante determinamos lo siguiente: “ ¿Es procedente el tratamiento de datos biométricos para el registro de Asistencia de trabajadores por parte del Empleador? (…)” Entendiendo a la palabra “procedente” como aplicable y, con base en el análisis previo realizado se determina que no se debe usar dicho método para el registro de asistencia ya que, el uso de datos biométricos para registro de asistencia es desproporcionado e impertinente, por lo que no se recomienda su aplicación. “(…) ¿es necesario el consentimiento expreso para el tratamiento de esos datos biométricos para control de asistencia? (…)” De acuerdo con el análisis previo no es necesario solicitar consentimiento ya que no se considera un consentimiento libre. “(…) ¿sin consentimiento es procedente el tratamiento de esos datos bajo las otras circunstancias del Art. 26, de la LOPDP?” No se considera justificado bajo ninguna base legitimadora del art 26 ni cumple con los principios consagrados en la LOPDP. El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la persona consultante su aplicación.

Oficio N° SPDP-IRD-2025-0036-O

Preguntas

¿Las Cooperativas de Ahorro y Crédito deben designar un Delegado de Protección de Datos Personales?
En caso de requerirlo, ¿La designación del Delegado de Protección de Datos Personales que deben realizar las cooperativas de ahorro y crédito debe efectuarse una vez cuando sea requerido por la Superintendencia de Protección de Datos Personales o ya se debe contar con un Delegado dentro de la institución?

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° FECOAC-GG2025-023 del 12 de febrero de 2025, al análisis realizado y dando respuesta a la consulta planteada por el consultante determinamos lo siguiente;

¿Las Cooperativas de Ahorro y Crédito deben designar un Delegado de Protección de Datos Personales?

Sí, ya que son parte del sector financiero popular y solidario.

En caso de requerirlo, ¿La designación del Delegado de Protección de Datos Personales que deben realizar las cooperativas de ahorro y crédito debe efectuarse una vez cuando sea requerido por la Superintendencia de Protección de Datos Personales o ya se debe contar con un Delegado dentro de la institución?

La LOPDP se encuentra vigente desde el año 2021 y el régimen sancionatorio desde el año 2023, por lo que la obligación de designarlo nace desde la vigencia de la LOPDP y el RLOPDP por lo que desde su vigencia las cooperativas de ahorro y crédito deben contar con un DPD.
El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la entidad consultante su aplicación.

Oficio N° SPDP-IRD-2025-0065-O

Preguntas

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN del 25 de marzo de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“¿Es aplicable el tratamiento de datos biométricos para el registro de asistencia de servidores públicos en función del interés general? En caso de ser procedente, ¿Bajo qué circunstancias del Art. 26, de la LOPDP sería aplicable?”

El tratamiento de datos biométricos, en el presente caso planteado, puede aplicarse siempre y cuando pase el test de proporcionalidad, no emita un riesgo alto ni crítico posterior al análisis de riesgos realizados, y cuente con una evaluación de impacto que establezca las medidas de mitigación de riesgo adecuadas, pertinentes, proporcionales y necesarias al tratamiento de datos específicos. Una vez que cuente con todos los pasos anteriores y no haya un riesgo alto ni crítico, se deberá contar con el consentimiento de los titulares; consentimiento que, para tenérselo por libre, específico, informado e inequívoco, deberá permitirle al titular disponer de la posibilidad real de escoger entre varias alternativas para el control de su asistencia. Por lo tanto, el interés general no es una base legitimadora reconocida en la CRE ni en el artículo 26 de la LOPDP, por lo que no aplica en el presente caso planteado.

“¿Es procedente que un trabajador o ex trabajador solicite, en virtud de su derecho de acceso (Art. 13 de la LOPDP), sus documentos que fueron generados durante la relación laboral (contratos de trabajo, avisos de entrada y salida a la seguridad social, roles de pago, renuncias, entre otros), mismos que contienen información personal?”

Sí es procedente que un trabajador o extrabajador solicite el acceso total a documentos que contienen sus datos personales que haya otorgado como trabajador y los que se hayan generado y contengan información que identifiquen o le hagan identificable.

“En caso de detectarse información errónea o desactualizada sobre la forma de terminación de la relación laboral, como una supuesta renuncia voluntaria o abandono cuando en realidad se trató de otra causal, ¿Es válido solicitar la rectificación de dicha información conforma al Art. 14 de la LOPDP?”

Por tratarse de una cuestión de hecho, la causal de terminación de la relación laboral se podrá rectificar siempre y cuando una autoridad judicial la hubiese declarado en su sentencia, que, tal cual está apuntado, deberá estar ejecutoriada y pasada en autoridad de cosa juzgada. Cumplido lo anterior, el titular de datos personales podrá ejercer su derecho de rectificación ante el responsable de tratamiento.
El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la persona consultante su aplicación.

Oficio N° SPDP-IRD-2025-0089-O

Preguntas

“1.¿Cuál es la figura jurídica adecuada para designar al Delegado de Protección de Datos Personales (DPDP) en una institución del sector público, considerando que el artículo 49 inciso segundo del RGLOPDP únicamente nos indica que lo designa la máxima autoridad?
¿Es necesario que este cargo conste previamente en el orgánico estructural y funcional de la entidad de conformidad con la LOSEP y demás normativa que regula el desempeño de un puesto público, o basta con su designación mediante resolución administrativa por parte de la máxima autoridad institucional que explique una toma de responsabilidad y figura jurídica?
2. ¿Puede un funcionario público asumir simultáneamente el rol de DPDP y otras funciones dentro de la entidad, o se requiere que esta función se ejerza con dedicación exclusiva?
3. ¿Qué nivel jerárquico o funcional mínimo debe tener el DPDP dentro de una entidad pública para que se asegure su autonomía, autoridad técnica y cumplimiento efectivo de sus responsabilidades según la LOPDP?”

Análisis

De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la Superintendencia de Protección de Datos Personales en el siguiente sentido:

El numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:
“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).

En concordancia con el artículo previamente citado, el artículo 4 y 5 de la LOPDP establecen:
“Art. 4.- (…) Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.”
“Art. 5.- Integrantes del sistema de protección de datos personales.- Son parte del sistema de protección de datos personales, los siguientes:

1) Titular;
2) Responsable del tratamiento;
3) Encargado del tratamiento;
4) Destinatario;
5) Autoridad de Protección de Datos Personales; y,
6) Delegado de protección de datos personales.” (énfasis agregado).

En este contexto se menciona dentro del derecho a la información lo siguiente en el artículo 12 LOPDP:
“Art. 12.- Derecho a la información.- El titular de datos personales tiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre: (…) 9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;” (énfasis agregado).

Como obligaciones el artículo 47 y 48 de la LOPDP disponen lo siguiente:
“Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a: (…) 13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;” (énfasis agregado).
“Art. 48.- Delegado de protección de datos personales.- Se designará un delegado de protección de datos personales en los siguientes casos:
1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;
2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;
3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y,
4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.
La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.” (énfasis agregado).
El artículo 49 de la LOPDP dispone:
“Art. 49.- Funciones del delegado de protección de datos personales.- El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones:
1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;
3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;
4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,
5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.

En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.”
“Art. 50.- Consideraciones especiales para el delegado de protección de datos personales.- Para la ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de tratamiento de datos personales, deberán observar lo siguiente:
1) Garantizar que la participación del delegado de protección de datos personales, en todas las cuestiones relativas a la protección de datos personales, sea apropiada y oportuna;
2) Facilitar el acceso a los datos personales de las operaciones de tratamiento, así como todos los recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones;
3) Capacitar y actualizar en la materia al delegado de protección de datos personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales;
4) No podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones;
5) El delegado de protección de datos personales mantendrá relación directa con el más alto nivel ejecutivo y de decisión del responsable y con el encargado;
6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; y,
7) El delegado de protección de datos personales estará obligado a mantener la más estricta confidencialidad respecto a la ejecución de sus funciones.

Siempre que no exista conflicto con las responsabilidades establecidas en la presente Ley, su reglamento, directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales, el delegado de protección, de datos personales podrá desempeñar otras funciones dispuestas por el responsable o el encargado del tratamiento de datos personales.” (énfasis agregado).
Respecto a la infracción y sanción de no contar con un DPD los artículos 68 y 76 disponen lo siguiente:
“Art. 68.- Infracciones graves del Responsable de protección de datos.- Se consideran infracciones graves las siguientes: (…) 12) No designar al delegado de protección de datos personales cuando corresponda; (…)”
“Art. 76.- Funciones atribuciones y facultades.- La Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades: (…) 2) Ejercer la potestad sancionadora respecto de responsables, delegados, encargados y terceros, conforme a lo establecido en la presente Ley; (…)”(énfasis agregado).

En alcance a los artículos previamente citado el RLOPDP dispone los siguientes artículos:
“Art. 48 .- Delegado de protección de datos - El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.

Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas.

El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado.

Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.”
Art. 49.- Tipo de contratación.- El delegado de protección de datos podrá ser contratado por el responsable del tratamiento de datos personales, bajo la figura de relación de dependencia o a través de un contrato de prestación de servicios. Sin perjuicio de lo indicado, en cualquiera de los casos, deberá respetar y garantizar que se presten los servicios de manera independiente.

Tratándose de las instituciones del sector público, el delegado de protección de datos será designado por la máxima autoridad institucional. (…)
Art. 51.- Prohibición de sanción al delegado de protección de datos.- El responsable y el encargado del tratamiento de datos personales deberán respetar el trabajo que ejecute el delegado de protección de datos personales, y no se aplicarán sanciones por el hecho de desempeñar y cumplir sus funciones. En caso que el delegado sea sancionado o removido por motivo de la ejecución de sus funciones, podrá poner este hecho en conocimiento de la Autoridad de Protección de Datos Personales, que valorará las circunstancias en las que se produjo la desvinculación o sanción y validará las sanciones que correspondan, sin perjuicio de las acciones legales o judiciales a que hubiere a lugar por parte del delegado perjudicado.

La Autoridad de Protección de Datos Personales establecerá el procedimiento de denuncia y las sanciones correspondientes para los casos de remoción o sanción injustificadas del delegado de protección de datos.
Art. 52.- Buenas prácticas.- Los responsables o encargados del tratamiento de datos personales, que no se encuentren dentro de las categorías de obligados a designar un delegado de protección de datos, podrán hacerlo de manera voluntaria como un mecanismo de buena práctica y como parte de las medidas de responsabilidad proactiva a adoptar.

En atención a sus necesidades institucionales, los responsables y encargados del tratamiento de datos personales podrán designar un delegado suplente, que actuará en caso de ausencia o impedimento temporal o definitivo del primero.”
El artículo 55 y 56 del RLOPDP, establecen los requisitos e impedimentos para ser DPD disponiendo lo siguiente:
“Art. 55.- Requisitos para ser delegado.- Sin perjuicio de otros requisitos que establezca la Autoridad de Protección de Datos Personales, para ser delegado de protección de datos personales, se requerirá:
1. Estar en goce de los derechos políticos;
2. Ser mayor de edad;
3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y,
4. Acreditar experiencia profesional de por lo menos cinco años.
Art. 56.- Impedimento para ser delegado.- Sin perjuicio de otras que defina la Autoridad de Protección de Datos Personales, no podrán ser delegados de protección de datos personales las siguientes personas:
1. Quienes formen parte de los órganos de administración y control del responsable y encargado;
2. Los socios o accionistas del responsable y encargado;
3. Los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y,
4. Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales emitirá la normativa correspondiente en la que se establecerán los supuestos específicos que darían lugar a dicho conflicto de intereses.

Tratándose de las instituciones del sector público, la Autoridad de Protección de Datos Personales definirá las incompatibilidades para ser delegado de protección de datos personales para cada caso en particular.” (énfasis agregado).

El artículo 57 del RLOPDP dispone lo siguiente:
“Art. 57.- Acuerdos de Confidencialidad.- El delegado de protección de datos personales suscribirá un acuerdo de confidencialidad respecto de la información que llegase a conocer o respecto de la cual pueda llegar a tener acceso por el desempeño de su cargo. Las partes acordarán, libremente, los términos y condiciones del acuerdo, pero en ningún caso tales documentos podrán limitar el acceso del delegado a la información que estime necesaria para el desempeño de su función.

El incumplimiento de los acuerdos de confidencialidad estará sujeto a las responsabilidades civiles y penales a las que hubiere lugar.

Este deber de guardar confidencialidad subsistirá incluso una vez que haya concluido la relación jurídica con el responsable o encargado.” (énfasis agregado).

En concordancia con lo previamente mencionado, el artículo 47 del Código Orgánico Administrativo (“COA”) establece lo siguiente:
“Art. 47.- Representación legal de las administraciones públicas. La máxima autoridad administrativa de la correspondiente entidad pública ejerce su representación para intervenir en todos los actos, contratos y relaciones jurídicas sujetas a su competencia. Esta autoridad no requiere delegación o autorización alguna de un órgano o entidad superior, salvo en los casos expresamente previstos en la ley.” (énfasis agregado).

Asimismo, el artículo 17 de la Ley Orgánica de Servicio Público (“LOSEP”) dispone:
“Art. 17.- Clases de Nombramiento.- Para el ejercicio de la función pública los nombramientos podrán ser:
a) Permanentes: Aquellos que se expiden para llenar vacantes mediante el sistema de selección previstos en esta Ley;
b) Provisionales, aquellos que se expiden para ocupar:
b.1) El puesto de un servidor que ha sido suspendido en sus funciones o destituido, hasta que se produzca el fallo de la Sala de lo Contencioso Administrativo u otra instancia competente para este efecto;
b.2) El puesto de una servidora o servidor que se hallare en goce de licencia sin remuneración. Este nombramiento no podrá exceder el tiempo determinado para la señalada licencia;
b.3) Para ocupar el puesto de la servidora o servidor que se encuentre en comisión de servicios sin remuneración o vacante. Este nombramiento no podrá exceder el tiempo determinado para la señalada comisión;
b.4) Quienes ocupen puestos comprendidos dentro de la escala del nivel jerárquico superior; y,
b.5) De prueba, otorgado a la servidora o servidor que ingresa a la administración pública o a quien fuere ascendido durante el periodo de prueba. El servidor o servidora pública se encuentra sujeto a evaluación durante un periodo de tres meses, superado el cual, o, en caso de no haberse practicado, se otorgará el nombramiento definitivo; si no superare la prueba respectiva, cesará en el puesto. De igual manera se otorgará nombramiento provisional a quienes fueron ascendidos, los mismos que serán evaluados dentro de un periodo máximo de seis meses, mediante una evaluación técnica y objetiva de sus servicios y si se determinare luego de ésta que no califica para el desempeño del puesto se procederá al reintegro al puesto anterior con su remuneración anterior;
c) De libre nombramiento y remoción; y,
d) De período fijo. Los nombramientos provisionales señalados en los literales b.1) y b.2) podrán ser otorgados a favor de servidoras o servidores públicos de carrera que prestan servicios en la misma institución; o a favor de personas que no tengan la calidad de servidores públicos.” (énfasis agregado).

El artículo 56 de la LOSEP establece:
“Art. 56.- De la planificación institucional del talento humano.- Las Unidades de Administración del Talento Humano estructurarán, elaborarán y presentarán la planificación del talento humano, en función de los planes, programas, proyectos y procesos a ser ejecutados. Las Unidades de Administración del Talento Humano de las Entidades del Sector Público, enviarán al Ministerio del Trabajo, la planificación institucional del talento humano para el año siguiente para su aprobación, la cual se presentará treinta días posteriores a la expedición de las Directrices Presupuestarias para la Proforma Presupuestaria del año correspondiente. Esta norma no se aplicará a los miembros activos de las Fuerzas Armadas y Policía Nacional, Universidades y Escuelas Politécnicas Públicas y a las entidades sujetas al ámbito de la Ley Orgánica de Empresas Públicas. Los Gobiernos Autónomos Descentralizados, sus entidades y regímenes especiales, obligatoriamente tendrán su propia planificación anual del talento humano, la que será sometida a su respectivo órgano legislativo.” (énfasis agregado).

El artículo 58 de la LOSEP establece:
“Art. 58.- De los contratos de servicios ocasionales.- La suscripción de contratos de servicios ocasionales será autorizada de forma excepcional por la autoridad nominadora, para satisfacer necesidades institucionales no permanentes, previo el informe motivado de la Unidad de Administración del Talento Humano, siempre que exista la partida presupuestaria y disponibilidad de los recursos económicos para este fin. La contratación de personal ocasional para la ejecución de actividades no permanentes, no podrá sobrepasar el veinte por ciento de la totalidad del personal de la entidad contratante; en caso de que se superare dicho porcentaje, deberá contarse con la autorización previa del Ministerio de Trabajo. Se exceptúa de este porcentaje a las personas con discapacidad, debidamente calificadas por la Autoridad Sanitaria Nacional a través del Sistema Nacional de Salud; personas contratadas bajo esta modalidad en instituciones u organismos de reciente creación, hasta que se realicen los correspondientes concursos de selección de méritos y oposición, en el caso de puestos que correspondan a proyectos de inversión o comprendidos en la escala del nivel jerárquico superior; y el de las mujeres embarazadas. Por su naturaleza, este tipo de contratos no generan estabilidad, en el caso de las mujeres embarazadas la vigencia del contrato durará "hasta el fin del período fiscal en que concluya su período de lactancia", de acuerdo con la ley. El personal que labora en el servicio público bajo esta modalidad tendrá relación de dependencia y derecho a todos los beneficios económicos contemplados para el personal de nombramiento permanente, con excepción de las indemnizaciones por supresión de puesto o partida o incentivos para jubilación. Las servidoras o servidores públicos sujetos a este tipo de contrato no ingresarán a la carrera del servicio público, mientras dure su contrato. Nada impedirá a una persona con un contrato ocasional presentarse a un concurso público de méritos y oposición mientras dure su contrato. Para las y los servidores que tuvieran suscritos este tipo de contratos, no se concederá licencias y comisiones de servicios con o sin remuneración para estudios regulares o de postgrados dentro de la jornada de trabajo, ni para prestar servicios en otra institución del sector público. Las y los servidores que tienen suscritos este tipo de contratos tendrán derecho a los permisos mencionados en el artículo 33 de esta Ley. Este tipo de contratos, por su naturaleza, de ninguna manera representará estabilidad laboral en el mismo, ni derecho adquirido para la emisión de un nombramiento permanente, pudiendo darse por terminado en cualquier momento por alguna de las causales establecidas en la presente ley y su reglamento. La remuneración mensual unificada para este tipo de contratos será la fijada conforme a los valores y requisitos determinados para los puestos o grados establecidos en las Escalas de Remuneraciones fijadas por el Ministerio de Trabajo, el cual expedirá la normativa correspondiente. El contrato de servicios ocasionales que no se sujete a los términos de esta Ley será causal para la conclusión automática del mismo y originará, en consecuencia, la determinación de las responsabilidades administrativas, civiles o penales de conformidad con la ley. Cuando la necesidad institucional pasa a ser permanente, la Unidad Administrativa de Talento Humano planificará la creación del puesto el cual será ocupado agotando el concurso de méritos y oposición, previo al cumplimiento de los requisitos y procesos legales correspondientes. Se considerará que las necesidades institucionales pasan a ser permanentes cuando luego de un año de contratación ocasional se mantenga a la misma persona o se contrate a otra, bajo esta modalidad, para suplir la misma necesidad, en la respectiva institución pública. La Unidad Administrativa de Talento Humano bajo sanción en caso de incumplimiento tendrá la obligación de iniciar el concurso de méritos y oposición correspondiente, tiempo en el cual se entenderá prorrogado el contrato ocasional hasta la finalización del concurso y la designación de la persona ganadora. Los servidores responsables determinados en los artículos 56 y 57 de esta ley, deberán, presentar las planificaciones, solicitudes, aprobaciones e informes que se necesitan para poder convocar a concurso de méritos y oposición, inmediatamente a partir de la fecha de terminación del contrato ocasional; caso contrario será causal de remoción o destitución del cargo según corresponda. Las servidoras o servidores públicos responsables de la Unidad Administrativa de Talento Humano que contravengan con lo dispuesto en este artículo serán sancionados por la autoridad nominadora o su delegado, con la suspensión o destitución del cargo previo el correspondiente sumario administrativo, proceso disciplinario que será vigilado por el Ministerio de Trabajo. En todos los casos, se dejará constancia por escrito de la sanción impuesta en el expediente personal de la servidora o servidor.” (énfasis agregado).

El artículo 65 de la LOSEP dispone:
“Art. 65.- Del ingreso a un puesto público.- El ingreso a un puesto público será efectuado mediante concurso de merecimientos y oposición, que evalúe la idoneidad de los interesados y se garantice el libre acceso a los mismos. El ingreso a un puesto público se realizará bajo los preceptos de justicia, transparencia y sin discriminación alguna. Respecto de la inserción y accesibilidad en igualdad de condiciones al trabajo remunerado de las personas con discapacidad y de las comunidades, pueblos y nacionalidades, se aplicarán acciones afirmativas. El Ministerio del Trabajo implementará normas para facilitar su actividad laboral. La calificación en los concursos de méritos y oposición debe hacerse con parámetros objetivos, y en ningún caso, las autoridades nominadoras podrán intervenir de manera directa, subjetiva o hacer uso de mecanismos discrecionales. Este tipo de irregularidades invalidarán los procesos de selección de personal. Durante la calificación de los concursos de méritos y oposiciones, se otorgará un puntaje adicional a los aspirantes que demuestren haber sido acreedores a un reconocimiento dentro del Programa Nacional de Reconocimientos a la Excelencia Académica o que hubieren alcanzado algún reconocimiento a la excelencia en el ámbito de la formación técnica, tecnológica o su equivalente, reconocida por el ente rector de la Educación Superior, Ciencia, Tecnología e Innovación.”

El artículo 85 de la LOSEP indica:
“Art. 85.- Servidoras y servidores públicos de libre nombramiento y remoción.- Las autoridades nominadoras podrán designar, previo el cumplimiento de los requisitos previstos para el ingreso al servicio público, y remover libremente a las y los servidores que ocupen los puestos señalados en el literal a) y el literal h) del Artículo 83 de esta Ley. La remoción así efectuada no constituye destitución ni sanción disciplinaria de ninguna naturaleza.”

Asimismo, el artículo 16 y 17 del Reglamento General a la Ley Orgánica del Servicio Público (“RLOSEP”) menciona:
“Art. 16.- Nombramiento.- Entiéndase por nombramiento el acto unilateral del poder público expedido por autoridad competente o autoridad nominadora mediante la expedición de un decreto, acuerdo, resolución, acta o acción de personal, que otorga capacidad para el ejercicio de un puesto en el servicio público.
Art. 17.- Clases de nombramientos.- Los nombramientos extendidos para el ejercicio de un puesto en la función pública pueden ser: a) Permanentes: El que se otorga a la o el ganador del concurso de méritos y oposición, una vez que haya aprobado el período de prueba; b) Provisionales: Aquellos otorgados para ocupar temporalmente los puestos determinados en el literal b) del artículo 17 de la LOSEP; no generarán derecho de estabilidad a la o el servidor; c) De libre nombramiento y remoción: Los expedidos a favor de personas que van a ocupar puestos de dirección política, estratégica o administrativa en las instituciones del Estado; y, d) De período fijo: Aquellos cuyos titulares son nombrados para ejercer un puesto en el servicio público por un período determinado por mandato legal.”

El artículo 141 del RLOSEP indica:
“Art. 141.- De la planificación institucional del talento humano.- Sobre la base de las políticas, normas e instrumentos del Ministerio de Relaciones Laborales, las UATH, de conformidad con el plan estratégico institucional, portafolio de productos, servicios, procesos, y procedimientos diseñarán los lineamientos en que se fundamentarán las diferentes unidades o procesos administrativos, para la elaboración de la planificación del talento humano necesario en cada una de ellas. Posteriormente las UATH deberán remitir la información en el término señalado en el segundo inciso del artículo 56 de la LOSEP, para la aprobación del Ministerio de Relaciones Laborales. La planificación del talento humano se constituirá en un referente para los procesos de creación de puestos, la contratación de servicios ocasionales, contratos civiles de servicios profesionales, los convenios o contratos de pasantías o prácticas laborales, la supresión de puestos y demás movimientos de personal, y se registrarán en el sistema de información que el Ministerio de Relaciones Laborales determine. (…)”

El artículo 143 del RLOSEP establece:
“Art. 143.- De los contratos de servicios ocasionales.- La autoridad nominadora, podrá suscribir contratos para la prestación de servicios ocasionales, previo informe favorable de la UATH. El informe justificará la necesidad de trabajo ocasional, certificará el cumplimiento de los requisitos previstos en la LOSEP y este Reglamento General para el ingreso ocasional al servicio público por parte de la persona a ser contratada; para el efecto se contará con la certificación de que existen los recursos económicos disponibles en la correspondiente partida presupuestaria y se observará que la contratación no implique aumento en la masa salarial aprobada; en caso de que esta contratación implique aumento de la masa salarial aprobada, deberá obtenerse en forma previa las respectivas autorizaciones favorables. El plazo máximo de duración del contrato de servicios ocasionales será de hasta doce meses o hasta finalizar el ejercicio fiscal en curso, y podrá ser renovado por única vez hasta por doce meses adicionales en el siguiente ejercicio fiscal, en cuyo caso no será necesaria la suscripción de un nuevo contrato por el transcurso del nuevo ejercicio fiscal, bastando la decisión administrativa que en tal sentido expida la autoridad nominadora o su delegado la cual se incorporará al expediente respectivo al igual que la certificación presupuestaria que expida la unidad financiera de la institución. Se podrán suscribir varios contratos de servicios ocasionales entre la misma institución y la o el mismo servidor, durante un ejercicio fiscal en curso, que se pueden renovar dentro del consecutivo ejercicio fiscal, por necesidad institucional solo hasta 12 meses adicionales. Superado este plazo ya no se podrán contratar con la o el mismo servidor; y, pasado un ejercicio fiscal se podrá contratar nuevamente. Cuando las instituciones del Estado hayan contratado personal hasta el lapso de tiempo que permite el artículo 58 de la LOSEP, en el que se incluye la renovación, de persistir la necesidad de cumplimiento de actividades permanentes, la UATH planificará la creación del puesto el cual será ocupado agotando el concurso de méritos y oposición. En caso de proceder a la renovación del contrato de servicios ocasionales, no se suspende la relación entre la o el servidor y la institución contratante. El personal sujeto a contratos de servicios ocasionales, podrá subrogar o encargarse de un puesto de aquellos comprendidos dentro de la escala del nivel jerárquico superior o de la escala nacional de remuneraciones mensuales unificadas de los servidores públicos, para lo cual deberá cumplir con los requisitos y perfiles para el puesto a subrogar o encargarse. La UATH en el informe previo a la contratación deberá incorporar dicha posibilidad, la cual constará de manera expresa como cláusula en el contrato a suscribirse. Si se requiere que la servidora o servidor contratado ejecute parcial o totalmente actividades o funciones distintas a las determinadas en el contrato, se podrá realizar un adendum al mismo en acuerdo entre las partes, o se deberá dar por terminado el contrato, previo al cumplimiento de las disposiciones establecidas en la LOSEP y este Reglamento General, y este último caso celebrar un nuevo contrato. Por su naturaleza, este tipo de contratos no genera estabilidad laboral alguna, no son sujetos de indemnización por supresión de puestos o partidas, incentivos para la jubilación, planes de retiro voluntario con indemnización, compras de renuncias, compensaciones por renuncia voluntaria, licencias sin remuneración y comisiones de servicio con remuneración para estudios regulares de postgrado, no ingresarán a la carrera del servicio público mientras dure la relación contractual; sin embargo, las personas contratadas deberán cumplir con todos los requisitos y el perfil del puesto exigido en los manuales institucionales y en el Manual Genérico de Puestos. La UATH a fin de propender a una efectiva realización de sus actividades, desde el primer momento, será responsable de la implementación de mecanismos de inducción para las y los servidores con contratos de servicios ocasionales. Todos los contratos de servicios ocasionales celebrados por las instituciones comprendidas en el artículo 3 de la LOSEP, deberán ser registrados en el Sistema Informático Integrado del Talento Humano que implemente el Ministerio de Relaciones Laborales para el efecto. Para efectos presupuestarios y de pago, las instituciones deberán registrar estos contratos en el eSIPREN con la finalidad de expedir los distributivos de remuneraciones correspondientes y de ser el caso las respectivas reformas. Para las instituciones de la Función Ejecutiva, el Ministerio de Relaciones Laborales controlará los procedimientos de contratación utilizados por la UATH de cada institución, y verificará el cumplimiento de las políticas, normas e instrumentos de contratación ocasional; y, de su incumplimiento comunicará a la autoridad nominadora para la aplicación del régimen disciplinario, sin perjuicio de someter a conocimiento de la Contraloría General del Estado, para la determinación de responsabilidades a que hubiere lugar.”

Asimismo, el artículo 148 del RLOSEP dispone:
“Art. 148.- De los contratos civiles de servicios.- La autoridad nominadora podrá suscribir contratos civiles de servicios profesionales o contratos técnicos especializados sin relación de dependencia, siempre y cuando la UATH justifique que la labor a ser desarrollada no puede ser ejecutada por personal de su propia entidad u organización, fuere insuficiente el mismo o se requiera especialización en trabajos específicos a ser desarrollados, que existan recursos económicos disponibles en una partida para tales efectos, que no implique aumento en la masa salarial aprobada, y que cumpla con los perfiles establecidos para los puestos institucionales y genéricos correspondientes. Estos contratos se suscribirán para puestos comprendidos en todos los grupos ocupacionales y se pagarán mediante honorarios mensualizados. Las personas a contratarse bajo esta modalidad no deberán tener inhabilidades, prohibiciones e impedimentos establecidos para las y los servidores públicos. Tratándose de personas que hayan recibido indemnización o compensación económica por compra de renuncia, retiro voluntario, venta de renuncia u otras figuras similares, no constituirá impedimento para suscribir un contrato civil de servicios, conforme lo establece la LOSEP y este Reglamento General. Las personas extranjeras, podrán prestar sus servicios al Estado Ecuatoriano, mediante la suscripción de contratos civiles de servicios profesionales o de servicios técnicos especializados para lo cual se estará a lo que establece para estas personas en la LOSEP, en este Reglamento General y las normas legales aplicables.”

Con base en la normativa previamente citada, pueden ser designados como Delegados de Protección de Datos Personales aquellas personas naturales que cumplan con los requisitos establecidos en el artículo 55 del RLOPDP. En tal sentido, el DPD deberá estar en pleno goce de sus derechos políticos, ser mayor de edad, poseer un título de tercer nivel en las áreas de derecho, sistemas de información, comunicación o tecnologías, así como acreditar una experiencia profesional mínima de cinco años en la carrera profesional que ostente de las previamente mencionadas. Estos requisitos buscan garantizar que quien asuma este rol cuente con el conocimiento necesario para asesorar, supervisar y velar por el cumplimiento de la normativa en materia de protección de datos personales, en concordancia con lo establecido en el artículo 4 de la LOPDP.

Respecto a la forma de contratación del DPD, se ha evidenciado que ni la Ley Orgánica de Protección de Datos Personales (LOPDP) ni su Reglamento (RLOPDP) establecen una modalidad específica de contratación en el sector público. Lo único que se dispone al respecto es que la designación debe ser realizada por la máxima autoridad, en concordancia con lo establecido en el COA, el cual señala que dicha autoridad ejerce la representación legal e institucional, con facultad para intervenir en todos los contratos que suscriba la entidad. En este marco, la LOSEP contempla varias modalidades de contratación en el sector público, las cuales se agrupan en tres categorías generales: La primera, los Contratos de Servicios Ocasionales, esta modalidad se utiliza para atender necesidades institucionales específicas y temporales. Los contratos son autorizados por la autoridad nominadora, previo informe favorable de la Unidad de Administración del Talento Humano (UATH), y están sujetos a la existencia de una partida presupuestaria y disponibilidad de recursos económicos. De acuerdo con la LOSEP, la contratación de personal bajo esta figura no podrá exceder el 20% del total de personal de la entidad; en caso de superar dicho porcentaje, se requerirá autorización previa del Ministerio de Trabajo. Además, la duración máxima del contrato será de 12 meses, o hasta la finalización del ejercicio fiscal correspondiente.
La segunda modalidad es por nombramientos, según el artículo 17 de la LOSEP, los nombramientos pueden clasificarse en:
Nombramientos provisionales, otorgados en los siguientes casos:
Cuando un servidor ha sido suspendido o destituido, mientras se resuelve su situación legal en sede administrativa o judicial.
Cuando el servidor titular del puesto se encuentra en licencia sin remuneración.
Para cubrir vacantes temporales por comisión de servicios sin remuneración o cuando el puesto se encuentra vacante.
Para el ejercicio de funciones en puestos correspondientes al nivel jerárquico superior.
Durante el período de prueba para servidores de nuevo ingreso o ascendidos, con evaluación obligatoria al cabo de tres meses (o seis en caso de ascensos).
Cabe señalar que los nombramientos provisionales señalados en los literales b.1) y b.2) pueden otorgarse tanto a servidores públicos de carrera como a personas externas sin dicha calidad.
Nombramientos de libre nombramiento y remoción y
Nombramientos de período fijo, aplicables según las características del puesto.
Finalmente, se encuentra la contratación por servicios profesionales la cual no establece relación de dependencia. Esta modalidad se utiliza para actividades específicas y determinadas, conforme a la normativa legal vigente.

En este contexto, la contratación del DPD podrá ejecutarse bajo relación de dependencia o mediante contrato de prestación de servicios, conforme a los criterios establecidos por el área de talento humano de cada institución. En todos los casos, se deberá garantizar el cumplimiento de funciones y la independencia de sus funciones de acuerdo con lo mencionado en la normativa de protección de datos personales.

No obstante, existen impedimentos expresamente previstos por la normativa que deben ser observados con rigurosidad al momento de la designación. El artículo 56 del RLOPDP prohíbe que ejerzan funciones como DPD las personas que formen parte de los órganos de administración y control del responsable o encargado del tratamiento, sus socios o accionistas, los cónyuges o parientes cercanos de estos, o quienes mantengan conflictos de intereses con dichas entidades. Estas disposiciones buscan garantizar la independencia, imparcialidad y objetividad del DPD, condición fundamental para el ejercicio eficaz de sus funciones. De manera particular, en el sector público, esta Superintendencia podrá establecer incompatibilidades específicas, a fin de asegurar que el DPD no se encuentre condicionado por jerarquías o intereses institucionales que comprometan su labor. En suma, solo aquellas personas naturales que cumplan con los requisitos formales, así como cuenten con experiencia acreditada y no se encuentren incursas en causales de incompatibilidad, pueden ser legítimamente designadas como DPD en el marco del sistema ecuatoriano de protección de datos personales.

En el sector público, la prohibición de que el DPD forme parte de los órganos de administración y control del responsable o encargado del tratamiento debe entenderse como una garantía esencial para preservar su independencia funcional, integridad y objetividad en el ejercicio de sus atribuciones. Esta restricción, cobra especial relevancia en la administración pública, donde las estructuras jerárquicas y las responsabilidades administrativas pueden generar presiones o interferencias en el desempeño del DPD. Así, estar desvinculado de los órganos que adoptan decisiones operativas, presupuestarias o de supervisión interna como por ejemplo direcciones, subsecretarías, unidades administrativas, comités institucionales de control o de auditoría interna. Esto permite al DPD ejercer su función de asesorar, velar y supervisar el cumplimiento de la normativa sin que exista parcialidad o conflicto de intereses, garantizando en todo momento una independencia y autonomía funcional concreta y real. Esta separación orgánica y funcional también fortalece la percepción de imparcialidad del DPD ante la ciudadanía, lo que resulta indispensable para consolidar la confianza en las instituciones públicas y para asegurar que las recomendaciones y advertencias del DPD no sean desestimadas o ignoradas por razones jerárquicas o institucionales.

Conforme a lo dispuesto en los artículos previamente citados de la LOPDP y del RLOPDP, las funciones del DPD se estructuran en torno a tres verbos rectores: asesorar, velar y supervisar. Esta delimitación funcional implica que el DPD NO es el encargado de ejecutar directamente las obligaciones legales que corresponden al responsable o al encargado del tratamiento de datos, sino que debe guiar, acompañar y verificar que dichas obligaciones se cumplan adecuadamente. En consecuencia, no le corresponde elaborar ni implementar políticas, procedimientos, registros, evaluaciones de impacto, ni ningún otro instrumento de cumplimiento normativo; estas son responsabilidades que recaen exclusivamente sobre los sujetos obligados. La labor del DPD consiste, más bien, en asesorar técnica y jurídicamente sobre la correcta aplicación de la normativa, alertar sobre riesgos, formular observaciones preventivas y supervisar que las medidas adoptadas por el responsable o encargado se ajusten a la ley. Esta separación de funciones es esencial para preservar su objetividad e independencia, evitando que el DPD se convierta en juez de su propia actuación. En esta misma línea, el artículo 48 del RLOPDP refuerza esta función diferenciada al establecer que, si bien el DPD puede realizar otras actividades relacionadas con la protección de datos personales, dichas tareas no deben exigir una preparación ajena a su perfil ni generar conflictos con sus funciones principales. Esto implica que cualquier encargo adicional debe estar subordinado al principio de independencia funcional y no puede tener como efecto la asunción de obligaciones propias del responsable o encargado, pues hacerlo desnaturalizaría el rol del DPD y podría comprometer su imparcialidad y su capacidad para ejercer un control efectivo sobre el cumplimiento normativo. Bajo este mismo argumento el DPD puede ejecutar otras actividades siempre y cuando no afecten a la imparcialidad y correcto desempeño de sus funciones como DPD.

Adicionalmente, la SPDP, emitió la Resolución N° SPDP-SPD-2025-0002-R, donde se aprobó el Plan Regulatorio Institucional del año 2025 donde se incluyó como uno de los proyectos normativos a expedirse en este ejercicio económico, el “Estatuto de los Delegados de Protección de Datos Personales”, el cual a la fecha se encuentra en proceso de revisión de las observaciones emitidas por la ciudadanía durante su proceso de socialización, por lo que aún se encuentra en trámite de aprobación, por lo que a la fecha no es una normativa aplicable. Dicho estatuto busca esclarecer y ampliar varios supuestos que no han sido especificados en la LOPDP ni en el RLOPDP y, que en dichas normativas se ha remitido a la SPDP para que regule dichos temas. En este mismo sentido de ideas, la CRE en su artículo 82 hace referencia al principio a la seguridad jurídica que implica la “…existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes.”; y su fundamento es el respeto a la CRE. En concordancia con esto, el Código Orgánico Administrativo (“COA”) en su artículo 22 consagra el principio de seguridad jurídica indicando que las “administraciones públicas actuarán bajo los criterios de certeza y previsibilidad.”; es decir, que el administrado sabrá previamente la forma de actuar coherente de la administración pública a través de las normas que contemplen dichas reglas.

Adicionalmente, la Jueza ponente constitucional, abogada Karla Andrade Quevedo, en su Sentencia N° 2137-21-EP /21 del caso N° 2137-21-EP del 29 de septiembre del 2021, menciona respecto del artículo 82 CRE que “[d]el texto constitucional se desprende que la Constitución garantiza a las personas el derecho de contar con un ordenamiento jurídico previsible, claro, determinado, estable y coherente que le permita tener una noción razonable de las reglas de juego que le serán aplicables…”.1 En concordancia con lo mencionado en el párrafo anterior, el Juez ponente constitucional, abogado Enrique Herrería Bonnet, en su Sentencia N° 54-17-IN/22 del caso N° 54-17-IN del 26 de mayo del 2022, menciona que “[l]a Constitución concibe a la seguridad jurídica como un derecho-prerrogativa que ostentan las personas para exigir el respeto de la norma constitucional a través de la formulación de normas jurídicas previas, claras y públicas, obligando al órgano con potestad normativa a respetar estos requisitos.”.2

En este sentido se ha identificado que el consultante solicita información y plantea varias preguntas sobre el proceso que implementará esta institución pública para verificar el cumplimiento de la obligación relativa a la contratación del Delegado de Protección de Datos Personales, conforme a lo establecido en el numeral 13 del artículo 47 de la LOPDP. Al respecto, me permito indicar que, si bien la obligación del responsable del tratamiento de designar a un Delegado de Protección de Datos Personales está establecida por la LOPDP, el proceso no está condicionado a ninguna circunstancia específica, lo cual no obsta o impide su designación en cumplimiento de la ley vigente, por ello no podemos ofrecer información sobre el mismo. Además, cabe mencionar que la SPDP, como se ha mencionado anteriormente, se encuentra gestionando las acciones necesarias para expedir el “Estatuto de los Delegados de Protección de Datos Personales” el cual aclarará algunas de las dudas de los administrados en caso de que sean de su competencia.

Cabe mencionar que cada institución pública cuenta con una estructura específica y única de acuerdo con sus necesidades y obligaciones normativas, por lo que cada una, de manera independiente, debe analizar su estructura para poder establecer al DPD en el cargo adecuado y correspondiente que cumpla con los requisitos establecidos por la normativa en protección de datos personales y, que en su esencia no haya ningún conflicto de intereses y se garantice su independencia en el actuar del mismo.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN del 25 de marzo de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“1.¿Cuál es la figura jurídica adecuada para designar al Delegado de Protección de Datos Personales (DPDP) en una institución del sector público, considerando que el artículo 49 inciso segundo del RGLOPDP únicamente nos indica que lo designa la máxima autoridad?

Con base en el análisis previamente realizado y en concordancia con la normativa citada, esta Autoridad no puede establecer cuál es la figura jurídica adecuada para designar al DPD en vista de que la normativa en protección de datos personales solamente dispone que deberá ser nombrado por la máxima autoridad y, a la fecha no se ha emitido ninguna normativa adicional que regule la designación del mismo. En este sentido, se podrá contratar un DPD siempre que sea designado por la máxima autoridad bajo cualquiera de las modalidades contempladas por la LOSEP siempre y cuando sus funciones no se contrapongan a las obligaciones que debe cumplir ni se encuentre en ninguna de las causales de impedimentos contemplados en la normativa de protección de datos personales.

¿Es necesario que este cargo conste previamente en el orgánico estructural y funcional de la entidad de conformidad con la LOSEP y demás normativa que regula el desempeño de un puesto público, o basta con su designación mediante resolución administrativa por parte de la máxima autoridad institucional que explique una toma de responsabilidad y figura jurídica?

Por el momento esta autoridad no se pronuncia al respecto, toda vez que la pregunta realizada versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta Autoridad a la fecha. Sin embargo, se aclara que la designación de un DPD al no haber una especificación de formas, a la fecha se considerarán válidas todas las designaciones que cumplan con el requisito establecido por la normativa en protección de datos personales, esto es, que sean designados por la máxima autoridad y que se encuentre bajo una de las formas de contratación establecidas en la LOSEP.

2. ¿Puede un funcionario público asumir simultáneamente el rol de DPDP y otras funciones dentro de la entidad, o se requiere que esta función se ejerza con dedicación exclusiva?
Sí, siempre y cuando pueda ejercer sus funciones como DPD de manera correcta, se cumpla con el principio de independencia de sus funciones, no asuma obligaciones propias del responsable o encargado, no comprometa su imparcialidad y su capacidad para ejercer un control efectivo sobre el cumplimiento normativo.

3. ¿Qué nivel jerárquico o funcional mínimo debe tener el DPDP dentro de una entidad pública para que se asegure su autonomía, autoridad técnica y cumplimiento efectivo de sus responsabilidades según la LOPDP?”

Por el momento esta Autoridad no se pronuncia al respecto, toda vez que la pregunta realizada versa sobre normativa inexistente en la actualidad, que no ha sido emitida por esta entidad a la fecha. Sin embargo, a la fecha, cada institución al tener su propia organización interna deberá evaluar internamente el cargo a otorgarle al DPD para que pueda cumplir con los requisitos normativos previamente analizados, especialmente garantizar la independencia en las funciones de este.

El presente pronunciamiento deberá ser entendido en su integridad, siendo de exclusiva responsabilidad de la persona consultante su aplicación.

Oficio N° SPDP-IRD-2025-0090-O

Preguntas

“2. CONSULTA: ¿Se debe considerar que las COMPAÑÍAS DE SEGUROS son ENCARGADAS DE DATOS PEROSNALES al tenor de lo dispuesto en el artículo 34 de la LOPDP cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”

Criterios jurídicos

1.1.La Pontificia Universidad Católica del Ecuador (PUCE) ha manifestado lo siguiente:

“ I. INTRODUCCIÓN Este documento tiene como objetivo determinar en qué circunstancias una compañía de seguros puede ser calificada como encargada del tratamiento de datos personales, en particular cuando accede a información médica de pacientes transmitida por establecimientos de salud, considerando que dicha transmisión se realiza por solicitud y consentimiento del titular, y no existe una relación contractual entre el establecimiento de salud y la aseguradora.

II. ANÁLISIS JURÍDICO CONSULTA: ¿Se debe considerar que las COMPAÑIÁS DE SEGUROS son ENCARGAS DE DATOS PERSONALES al tenor de lo dispuesto en el artículo 34 de la LOPDP cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?

¿Qué determina la calidad de responsable o encargado del tratamiento de datos personales? Según la Ley Orgánica de Protección de Datos (LOPDP) y, el Reglamento a la Ley Orgánica de Protección de Datos (RLOPDP), el criterio esencial para determinar el rol de responsable o encargado de datos es la autonomía de decisión de los fines y medios del propósito del tratamiento.

Si la persona natural o jurídica define para qué y cómo usar los datos, es responsable. De otra parte, si ejecuta instrucciones establecidas se la debe considerar como encargado del tratamiento.

Si una entidad define “para qué” (fines) y “cómo” (medios esenciales) se tratan los datos, debe ser considerada responsable del tratamiento. Si se limita a tratar los datos conforme a las instrucciones contractuales de otro sujeto, sin autonomía decisoria, será considerado encargado del tratamiento.

Escenario 1: La Compañía de Seguros recibe datos personales por solicitud del paciente contratante del seguro. En la consulta planteada por la Superintendencia de Datos Personales (SPDP), en el que un paciente solicita a un hospital que solicita que se remita su historia clínica a una aseguradora para, por ejemplo, tramitar un reembolso, se analiza que la compañía de seguros actúa como responsable del tratamiento de datos personales. Esta calificación se sustenta en que no existe una relación contractual entre el hospital y la aseguradora que configure un encargo de tratamiento conforme a los artículos 34 y 41 de la LOPDP y el RLOPDP respectivamente.

Además, la aseguradora determina de forma autónoma los fines del tratamiento (como verificación de cobertura, análisis de riesgo, índice de siniestralidad, detección de fraude, etc.) y los medios utilizados, lo que cumple con el criterio de autonomía establecido en el artículo 4 de la LOPDP de la definición de responsable. El tratamiento de los datos se realiza en virtud de la relación contractual entre el titular y la aseguradora, no por cuenta de un particular, por lo que no corresponde calificarla como encargada del tratamiento en el contexto planteado.

En consecuencia, la aseguradora asume la calidad de responsable del tratamiento, en virtud de la relación contractual que mantiene directamente con el paciente, quien es el titular de los datos personales.

III. CONCLUSIONES 1. La aseguradora no es encargada del tratamiento cuando trata datos personales de pacientes por solicitud del titular y con fines propios, aunque la información provenga de un establecimiento de salud. En tal caso, es responsable receptor del tratamiento.

2. Solo será encargada del tratamiento si: ? Existe una relación contractual con un responsable ? El tratamiento es por cuenta e instrucciones del responsable ? No se utilizan los datos para fines propios, ? Se suscribe un contrato conforme al art. 34 de la LOPDP y del artículo 24 del RLOPD.

3. El consentimiento del titular de datos personales (paciente) habilita la transferencia, pero no configura una relación de encargo entre el establecimiento de salud y la compañía de seguro.

4. El consentimiento del titular no convierte automáticamente a un receptor de datos en encargado. La relación jurídica subyacente y el propósito del tratamiento son claves. ”

1.2. La Universidad de Guayaquil (UG) ha manifestado lo siguiente:

“Por medio del presente, traslado para su conocimiento y atención pertinente, el contenido del Memorando No. UG-PS-2025-0499-M, emitido por la Procuraduría Síndica de la Universidad de Guayaquil, en atención al Oficio N.º SPDP-IRD-2025-0075-O, del 28 de mayo de 2024, suscrito por la abogada Camila Valdez González, Intendente General de Regulación de Protección de Datos Personales (Subrogante), que en su parte pertinente expresa lo siguiente:

“En virtud de lo establecido en el Artículo 7 de la Resolución N.º SPDP-SPDP-2024-0012-R, que faculta a la autoridad competente a solicitar criterio jurídico de personas jurídicas de derecho público relacionadas con el tema consultado, consideramos necesario realizar las siguientes precisiones:

Si bien la Universidad de Guayaquil constituye una persona jurídica de derecho público, es preciso señalar que no mantiene relación directa con la materia objeto de consulta, específicamente en lo que respecta a temas de salud y seguros privados, ni posee atribuciones legales, competencias técnicas o conocimiento especializado en el ámbito de la protección de datos personales en dichos contextos.

En este sentido, emitir un pronunciamiento jurídico sobre esta materia implicaría actuar fuera del ámbito de competencias institucionales que rigen a esta entidad de educación superior, lo cual contraviene que las entidades públicas deben actuar exclusivamente dentro del marco de las funciones y finalidades que la ley les ha asignado.

La finalidad de la Universidad de Guayaquil se encuentra claramente establecida en el Artículo 350 de la Constitución de la República del Ecuador, que dispone: “El sistema de educación superior tiene como finalidad la formación académica y profesional con visión científica y humanista; la investigación científica y tecnológica; la innovación, promoción, desarrollo y difusión de los saberes y las culturas; la construcción de soluciones para los problemas del país, en relación con los objetivos del régimen de desarrollo.

De igual manera, el Artículo 13 de la Ley Orgánica de Educación Superior (LOES) manifiesta las Funciones del Sistema de Educación Superior.

Así mismo el Artículo 1 del Estatuto Universitario define como misión de esta institución la formación de profesionales mediante las funciones sustantivas de docencia, investigación, vinculación con la sociedad y gestión, promoviendo el desarrollo sostenible del país. A ello se suma lo dispuesto en el Artículo 2 del Reglamento Orgánico de Gestión Organizacional por Procesos de la Universidad de Guayaquil, el cual enumera los fines institucionales, orientados a la generación del conocimiento, la formación académica y el aporte al desarrollo científico, tecnológico y social del país.

Por tanto, y en cumplimiento de las disposiciones constitucionales, legales y reglamentarias que rigen el accionar de la Universidad de Guayaquil, así como en observancia del principio de legalidad y el principio de eficacia, los cuales exigen que las entidades públicas actúen únicamente dentro del marco de la ley y sus competencias, nos abstenemos de emitir el criterio jurídico solicitado, al no encontrarse esta materia dentro de nuestra esfera de competencias ni cumplir con los requisitos establecidos en el Artículo 7 de la Resolución N.º SPDP-SPDP-2024- 0012-R.

Finalmente, esta decisión responde a la necesidad de evitar un pronunciamiento que pudiera resultar impreciso o inadecuado, dada la falta de atribuciones y conocimientos técnicos específicos en el ámbito consultado, salvaguardando así la responsabilidad institucional y el respeto al marco normativo vigente. (...)".

En atención al o expuesto en líneas precedentes, esta Procuraduría Síndica se abstiene de emitir el criterio jurídico solicitado, al no encontrarse esta materia dentro de nuestra esfera de competencias ni cumplir con los requisitos establecidos en el Artículo 7 de la Resolución Nº SPDP-SPDP-2024-0012-R.

Finalmente, esta decisión responde a la necesidad de evitar un pronunciamiento que pudiera resultar impreciso o inadecuado, dada la falta de atribuciones y conocimientos técnicos específicos en el ámbito consultado, salvaguardando así la responsabilidad institucional y el respeto al marco normativo vigente.

Sin otro particular, reitero nuestra disposición para colaborar en todo aquello que se enmarque dentro de nuestras competencias institucionales y áreas de conocimiento.”

En mérito de la recomendación emitida por la Procuraduría Síndica, en mi calidad de Rector de esta institución de educación superior, de conformidad a las atribuciones contempladas en el Estatuto de la Universidad de Guayaquil, me permito señalar que esta institución no mantiene relación directa con la materia objeto de consulta, específicamente en lo que respecta a temas de salud y seguros privados, ni posee atribuciones legales, competencias técnicas o conocimiento especializado en el ámbito de la protección de datos personales en dichos contextos. En este sentido, emitir un pronunciamiento jurídico sobre esta materia implicaría actuar fuera del ámbito de competencias institucionales que rigen a esta entidad de educación superior, lo cual contraviene que las entidades públicas deben actuar exclusivamente dentro del marco de las funciones y finalidades que la ley les ha asignado.

Particular que comunico para los fines pertinentes, con sentimientos de distinguida consideración.”

1.3. La Fundación Ciudadanía y Desarrollo (FCD) ha manifestado lo siguiente:

“En atención a su oficio SPDP-IRD-2025-0072-O, mediante el cual se solicita a la Fundación Ciudadanía y Desarrollo (FCD) un criterio jurídico no vinculante respecto a la consulta elevada por el Hospital de los Valles S.A. (HODEVALLES), nos permitimos remitir el presente pronunciamiento, elaborado con base en el artículo 34 de la Ley Orgánica de Protección de Datos Personales (LOPDP), así como en normativa comparada, criterios doctrinales y pronunciamientos de autoridades de protección de datos de jurisdicciones relevantes.

FORMULACIÓN DEL PROBLEMA La consulta planteada gira en torno a la determinación del rol que corresponde asumir a una compañía de seguros que accede a datos personales de salud transmitidos por un establecimiento sanitario, a solicitud del titular de los datos, sin que medie una relación contractual directa entre dicho establecimiento y la aseguradora. Específicamente, se pregunta si, en virtud del artículo 34 de la Ley Orgánica de Protección de Datos Personales (en adelante, “LOPDP”), la aseguradora debe ser considerada un "encargado del tratamiento" cuando recibe y utiliza los datos del paciente con el propósito de cumplir con sus obligaciones contractuales frente al asegurado.

MARCO NORMATIVO NACIONAL La LOPDP, en su artículo 34, establece las categorías de "responsable del tratamiento" y "encargado del tratamiento", las cuales constituyen pilares fundamentales del régimen de protección de datos personales vigente en el Ecuador. Así, el responsable del tratamiento es definido como la persona natural o jurídica, pública o privada, que "decide sobre la finalidad y los medios del tratamiento de datos personales", mientras que el encargado es "la persona natural o jurídica, pública o privada, que trata datos personales por cuenta del responsable del tratamiento".

De esta definición se desprende un criterio funcional, conforme al cual lo determinante para calificar a un sujeto como responsable o encargado no es la denominación formal que se le otorgue, sino su grado de autonomía en la toma de decisiones respecto del tratamiento. En efecto, el elemento definitorio del encargado del tratamiento es su carácter subordinado a las instrucciones del responsable, en el marco de una relación jurídica que, conforme al artículo 35 de la LOPDP, deberá constar en un contrato u otro acto jurídico vinculante. Este contrato debe establecer expresamente que el encargado actuará "únicamente siguiendo instrucciones documentadas del responsable", así como prever cláusulas específicas sobre confidencialidad, seguridad, conservación, y demás garantías.

De manera adicional, debe considerarse que el tratamiento de datos personales relativos a la salud reviste carácter especialmente sensible, conforme lo dispone el artículo 25 de la LOPDP, por lo que su tratamiento está sujeto a un régimen reforzado de protección. La transmisión de este tipo de datos entre un prestador de salud y un tercero —como una aseguradora— requiere, en principio, una base de licitud específica, que puede encontrarse en el consentimiento expreso del titular o en otras causales habilitantes previstas en la ley, como la ejecución de un contrato en el que el titular sea parte, siempre que se observen los principios de finalidad, proporcionalidad, necesidad y minimización de datos (art. 8 de la LOPDP).

ANÁLISIS JURÍDICO 1. Autonomía funcional de los establecimientos de salud y de las compañías de seguros

El tratamiento de datos personales por parte de los establecimientos de salud se enmarca dentro de su función legal y constitucional de prestar servicios médicos, lo cual implica la recopilación, almacenamiento y uso de datos sensibles, tales como antecedentes médicos, diagnósticos y tratamientos. En ese sentido, la legislación sanitaria ecuatoriana —en especial la Ley Orgánica de Salud y la Ley Orgánica de Derechos y Amparo al Paciente— impone al prestador de salud obligaciones legales específicas, incluyendo la custodia de la historia clínica, la confidencialidad de la información y el uso restringido de dichos datos exclusivamente para fines asistenciales. Esta normativa sectorial robustece la calificación del establecimiento de salud como responsable del tratamiento, en tanto define de forma autónoma los fines (prestación del servicio sanitario) y los medios (procesos, tecnologías y mecanismos de archivo) del tratamiento.

Cuando, en virtud de su derecho a la autodeterminación informativa, el titular de los datos (paciente) solicita o consiente la transferencia de cierta información médica a su aseguradora para efectos de gestión de cobertura o reembolso, se configura una situación en la que la compañía de seguros accede a datos personales sensibles generados inicialmente por el prestador. Sin embargo, dicho acceso no implica que la aseguradora actúe en nombre o por cuenta del establecimiento sanitario. Muy por el contrario, la aseguradora recibe y trata la información con base en una relación contractual independiente con el titular y para fines propios —como la verificación del siniestro, la autorización de procedimientos, o la determinación de indemnizaciones— que escapan al control y dirección del prestador de salud. Esta autonomía decisoria respecto de los fines y medios del tratamiento excluye la figura de encargado y permite calificar a la aseguradora como responsable del tratamiento.

Este razonamiento encuentra respaldo en la doctrina y jurisprudencia comparada, que, como se expondrá infra, coincide en identificar a hospitales y aseguradoras como responsables diferenciados cuando ambos actúan con finalidades autónomas.

2. Inexistencia de relación de encargaduría

Para que pueda configurarse una relación de encargaduría del tratamiento, la normativa ecuatoriana requiere, además del elemento funcional de subordinación a las instrucciones del responsable, la existencia de un contrato o acto jurídico vinculante que regule expresamente dicha relación. Este contrato, conforme al artículo 35 de la LOPDP, debe contener disposiciones relativas a las instrucciones documentadas, confidencialidad, medidas de seguridad, devolución o supresión de datos, entre otras. En el caso bajo análisis, no existe vínculo contractual entre el establecimiento de salud y la aseguradora que permita sustentar una relación de encargaduría. La transferencia de información ocurre exclusivamente por mandato o autorización del titular, lo que implica una cesión de datos entre dos responsables que actúan con base en sus propias competencias y finalidades legales. La aseguradora no está sometida a las directrices del prestador de salud, ni ejecuta tratamientos por encargo de éste; por el contrario, la aseguradora define sus propios criterios de gestión y conservación de la información recibida, en ejercicio de su rol de financiador o garantizador de servicios médicos.

3. Análisis comparado: armonización con estándares internacionales

La interpretación expuesta se encuentra en línea con los criterios adoptados por diversas jurisdicciones con regímenes normativos consolidados en materia de protección de datos personales: • En Brasil, la Ley General de Protección de Datos (LGPD) y los pronunciamientos de la Autoridade Nacional de Proteção de Dados (ANPD) establecen que hospitales y aseguradoras actúan como responsables independientes. El tratamiento de datos de salud por parte de una aseguradora exige una base legal específica, como el consentimiento del titular o el cumplimiento de una obligación legal derivada del contrato de seguro. • En Argentina, la Ley Nº 25.326 tampoco contempla la figura del encargado de manera expresa, pero la doctrina local ha interpretado que los prestadores de salud y las aseguradoras actúan como responsables autónomos, dado que cada uno determina los fines y medios de sus respectivos tratamientos, conforme a la relación jurídica que mantienen con el titular. • En Colombia, la Ley 1581 de 2012 y la jurisprudencia de la Corte Constitucional reconocen la historia clínica como un documento reservado, y a las entidades prestadoras de salud y a las aseguradoras como responsables independientes. La entrega de información médica está condicionada al consentimiento del paciente o a una habilitación legal específica. • En España, la Agencia Española de Protección de Datos ha establecido que los centros sanitarios que atienden a asegurados no son encargados del tratamiento de las aseguradoras, sino responsables del tratamiento conforme a la Ley 41/2002 y al Reglamento General de Protección de Datos (RGPD). A su vez, la aseguradora es responsable del tratamiento por los datos que recibe y gestiona para fines contractuales. • En el marco de la Unión Europea, conforme a los artículos 4, 26 y 28 del RGPD, se distingue entre responsables y encargados según el criterio de autonomía decisoria. El Comité Europeo de Protección de Datos ha reiterado que, en ausencia de instrucciones vinculantes, cada entidad que determine los fines del tratamiento actúa como responsable. La transferencia de información entre un hospital y una aseguradora, mediando consentimiento del titular o una base legal suficiente, constituye una cesión entre responsables y no una relación de encargaduría.

Estas coincidencias refuerzan la validez del enfoque propuesto para el caso ecuatoriano, en tanto privilegian la función sustantiva y no la mera formalidad del flujo de datos para determinar los roles y responsabilidades de los actores involucrados.

CONCLUSIÓN

En virtud de los fundamentos expuestos, este criterio estima que, en el escenario consultado, no se configura una relación de encargaduría entre el establecimiento de salud y la compañía de seguros. Por el contrario, ambas entidades deben ser consideradas responsables del tratamiento de datos personales dentro del ámbito de sus respectivas competencias y finalidades. El establecimiento de salud es responsable del tratamiento de los datos clínicos generados durante la atención sanitaria, conforme a las disposiciones legales y éticas aplicables al ejercicio profesional y a la gestión de la historia clínica. La aseguradora, por su parte, actúa como responsable respecto de los datos que recibe y trata para verificar siniestros, gestionar coberturas y ejecutar el contrato de seguro suscrito con el titular.

La base de licitud para la transferencia de datos entre ambas entidades podrá encontrarse en el consentimiento expreso, libre, informado y específico del titular de los datos, o en otras causales habilitantes conforme al artículo 7 de la LOPDP, tales como la ejecución del contrato de seguro en el que el titular sea parte. En cualquier caso, el tratamiento deberá observar los principios rectores del régimen de protección de datos personales, especialmente los de finalidad, minimización, proporcionalidad, integridad y confidencialidad.

Finalmente, se resalta que esta interpretación se encuentra alineada con estándares normativos internacionales y con el enfoque adoptado por autoridades de protección de datos en jurisdicciones comparables, lo que refuerza su validez como parámetro técnico y jurídico para la elaboración de criterios generales por parte de esa Superintendencia.

Sin otro particular, reiteramos nuestra disposición para ampliar o complementar el presente criterio, en caso de ser requerido, y aprovechamos la ocasión para saludarle con la consideración más distinguida.”

1.4. El Hospital Metropolitano S.A.S. (HM) ha manifestado lo siguiente:

“Por medio de la presente, me permito extenderle un cordial saludo. Desde el sector empresarial, le deseamos éxito en el desarrollo de sus funciones.

En relación con el criterio jurídico no vinculante solicitado al Hospital-Metropolitano S.A.S. con respecto de una consulta de protección de datos personales realizada por otra institución hospitalaria y actuando en virtud de la consulta remitida a través del Oficio No. SPDP-IRD-2025-0071-O, notificado el 28 de mayo de 2025 a través de correo electrónico, por encargo del Gerente General de la Institución, procedemos a dar respuesta.

La consulta realizada menciona lo siguiente:

“¿Se debe considerar que las COMPAÑIÁS DE SEGUROS son ENCARGADAS DE DATOS PERSONALES, al tenor de lo dispuesto en el artículo 34 de la LOPDP, cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”

Hemos revisado detalladamente su consulta y, tras un análisis minucioso, consideramos que las compañías de seguros no pueden ser consideradas encargadas del tratamiento de datos personales al tenor del artículo 34 de la Ley Orgánica de Protección de Datos Personales (LOPDP) del Ecuador, incluso cuando acceden a información de pacientes recolectada y transmitida por un establecimiento de salud a pedido de los propios pacientes asegurados, y sin que exista una relación contractual directa entre el establecimiento de salud y la aseguradora.

Nuestra posición se fundamenta en los siguientes puntos clave, tomando en consideración que su pregunta establece que no existe relación contractual entre el establecimiento y la aseguradora:

1. El titular (asegurado) tiene derecho a conocer y a obtener, gratuitamente, del responsable de tratamiento (establecimiento de salud) acceso a todos sus datos personales y a la información sensible, sin necesidad de presentar justificación alguna, como lo establece el artículo 13 de la Ley Orgánica de Protección de Datos Personales.

2.En el presente caso, el rol de la compañía de seguros se ajusta a la definición de un "tercero" establecida en el artículo 4, numeral 6, del Reglamento a la Ley Orgánica de Protección de Datos Personales. Dicho reglamento lo define como tercero a: "toda persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable".

3. Esta clasificación se fundamenta en que las aseguradoras actúan como responsables del tratamiento respecto de dichos datos, operando de manera independiente al responsable original (el establecimiento de salud), en virtud de su propia relación contractual con el asegurado y las instrucciones de éste.

4. Por otro lado, cuando la solicitud de datos personales se realice directamente entre un establecimiento de salud (como responsable del tratamiento) y una compañía de seguros (como tercero), resulta fundamental que exista un contrato de cesión o comunicación de datos personales para instrumentar dicha solicitud, regulando un tratamiento adecuado.

5. Bajo esta perspectiva, consideramos que resulta fundamental haber obtenido el consentimiento previo, explícito e informado del titular de los datos para la cesión de su información personal a un tercero (aseguradora). Esto implica que la aseguradora debe estar en capacidad de demostrar fehacientemente que cuenta con dicho consentimiento.

6. Es preciso señalar que la comunicación de los datos deberá respetar el principio de proporcionalidad, consagrado por el artículo 10 literal f) de la Ley Orgánica de Protección de Datos Personales. En consecuencia, no podrán ser comunicados, ni solicitados por la compañía de seguros, más datos que los que resulten adecuados, pertinentes y no excesivos para determinar la cobertura que habrá de ser satisfecha en virtud del contrato que se mantenga.

Para optimizar y transparentar los roles dentro de nuestro giro de negocio, sería sumamente útil que la Superintendencia de Protección de Datos Personales proponga y desarrolle una guía integral donde se clarifiquen los roles. Para esta iniciativa, recomendamos se busque la participación activa de todos los actores relevantes: establecimientos de salud (considerando que hospitales, clínicas y centros de salud), compañías de seguros y corredores de seguros (brokers).

Con esta iniciativa se podrá, de una manera objetiva, esclarecer y definir con precisión las responsabilidades, roles y participación que tiene cada uno dentro de su giro de negocio. Al hacerlo, no solo fortaleceremos la coordinación y eficiencia, sino que también garantizaremos una mayor calidad y seguridad en la atención a los pacientes, eliminando cualquier confusión.

Esperamos que nuestra respuesta permita avanzar en la adecuada regulación de los roles para el tratamiento de datos personales en el sector de la Salud.

Cualquier requerimiento adicional o clarificación, la recibiré en el correo electrónico XXXX”

1.5. La Federación Ecuatoriana de Empresas de Seguros (FEDESEG) ha manifestado lo siguiente:

“1. ANTECEDENTES

a) Mediante oficio No. SPDP-IRD-2025-0073-O de 28 de mayo de 2025 y notificado el 29 de los mismos mes y año, la Superintendencia de Protección de Datos Personales, puso en conocimiento de FEDESEG la consulta formulada por HDV, quien en lo principal del texto puesto en nuestro conocimiento, dice:

“1. ASUNTO: Determinación del REPONSABLE (SIC) y el ENCARGADO DE DATOS en el manejo de datos de pacientes entre los ESTABLECIMIENTOS DE SALUD y COMPAÑÍAS DE SEGUROS, conforme el Artículo 34 de la Ley Orgánica de Protección de Datos Personales. 2. CONSULTA: ¿Se debe considerar que las COMPAÑIÁS DE SEGUROS son ENCARGAS DE DAROS PERSNALES (SIC) al tenor de lo dispuesto en el artículo 34 de la LOPDP cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”

b) Conforme se desprende del texto, no se ha puesto en conocimiento de esta Federación ningún otro antecedente que pueda arrojar hechos o situaciones jurídicas que puedan ser de especial consideración para nuestras agremiadas; en consecuencia, este documento plasma una posición netamente jurídica construida sobre las premisas constantes en el requerimiento de Su Autoridad y no son aplicables a un caso específico.

2. ANÁLISIS JURÍDICO

2.1. PRESTACIÓN DE UN SERVICIO DEL ENCARGADO AL RESPONSABLE

El contenido del artículo 34 de la Ley Orgánica de Protección de Datos Personales - en adelante, LOPDP- establece en su parte pertinente:

“Art. 34.-Acceso a datos personales por parte del encargado.- No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido legítimamente a datos personales en estas consideraciones será considerado encargado del tratamiento.

El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales. El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente ley.”

De la norma transcrita y que ha sido invocada por el consultante, se identifica una serie de presupuestos jurídicos para la existencia de un encargo de tratamiento de datos personales. En este sentido, se tendrá lo siguiente:

a) En primer lugar, necesariamente deberá existir un acceso a datos personales que se encuentran bajo tratamiento de un responsable de aquellos.

b) En segundo lugar, quien accede debe necesariamente hacerlo a título de una PRESTACIÓN DE UN SERVICIO al responsable de tratamiento de datos personales.

c) Para los efectos del tratamiento, además del contrato civil o mercantil existente y que justifique la prestación de un servicio al responsable, debe también existir un contrato que regule tanto el tratamiento, la finalidad, conservación y ciclo de vida del dato personal que se está transmitiendo/accediendo.

Bajo lo anotado, se ha de evidenciar dos aristas de trascendental importancia: (a) por una parte, la prestación de un servicio hace presuponer justamente la necesidad de regular aspectos contractuales de esa relación biyectiva, incluyendo el tratamiento de datos; y, (b) la necesidad de que el encargado de tratamiento de datos -como consecuencia de la relación- se adhiera tanto a las directrices que para el efecto emita el responsable, como a las condiciones técnicas de tratamiento de esos datos.

En este contexto, de los presupuestos de la consulta, no se evidencia la existencia de un contrato o convenio comercial o civil suscrito entre HDV (o cualquier otro establecimiento de salud en general) y las aseguradoras; por el contrario, la misma consulta es clara al establecer como condición preexistente “el pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora.”, afirmación que abordaremos más adelante.

COROLARIO 1: La inexistencia de una prestación de servicios de la aseguradora al establecimiento de salud, hace imposible la configuración de un encargo de tratamiento de datos.

2.2. CONSENTIMIENTO

Conforme se ha establecido de la misma estructura de la consulta, se reconoce la existencia de una relación contractual entre la aseguradora y el asegurado ya establecida al momento de generar el acceso a datos personales, esto es, el contrato de seguros.

Bajo esta relación, el asegurado ha solicitado al establecimiento de salud que le permita a la aseguradora acceder a sus datos; en consecuencia, el acceso al que se refiere la consulta se da en el seno de una relación contractual aseguradoraasegurado y no aseguradora-hospital. Ahora bien, el vehículo procedimental que permite ejecutar precisamente ese acceso a datos personales por parte de la aseguradora es la propia solicitud del asegurado, por lo que, cuando el establecimiento transfiere dichos datos a la aseguradora, está cumpliendo la orden expresa del titular de datos.

COROLARIO 2: El acceso de la aseguradora a los datos personales de un contratante de seguro, en el caso planteado, se daría en virtud de la petición del asegurado (titular de datos); evidenciándose así, además, la causal de legitimación contenida en el artículo 7.1. de la LOPDP en concordancia con el art. 8 íbidem.

3. CRITERIO

Del análisis efectuado, FEDESEG emite el siguiente criterio:

3.1. Las aseguradoras no son encargadas de tratamiento de datos personales cuando estas acceden a petición del asegurado, a los datos que están en tratamiento por parte de un establecimiento de salud, por cuanto: 3.1.1. No existe una relación contractual de prestación de servicio entre las aseguradoras y los establecimientos de salud; puesto que el servicio de las aseguradoras se presta directamente al asegurado. 3.1.2. El acceso a los datos se da como consecuencia de la solicitud/autorización otorgada por el titular de los datos personales. 3.1.3. El acceso a los datos personales se efectúa como una consecuencia de la ejecución contractual abordada en el numeral 3.1.1. de esta misma sección.”

Análisis

Es así que, como se detalla anteriormente, en el caso concreto planteado por el consultante, a la empresa de seguros y/o asesora y productora de seguros se los considera un destinatario en el momento de la transferencia de la información por parte del establecimiento de salud. Esto, debido a que el hospital realiza la entrega de información, la cual es una forma de transferencia según la LOPDP, sin embargo, al momento que la empresa de seguros y/o la empresa asesora y productora de seguros destina la información que recibió para sus propias finalidades asume la calidad de responsable del tratamiento para estas finalidades específicas propias de su giro de negocio. Distinto sería si la empresa aseguradora o asesora de seguros tiene un contrato directo con el establecimiento de salud donde tenga acceso a datos personales, lo que debería analizarse de manera específica en cada caso concreto.

Para mayor claridad se detalla el flujo de datos a continuación:
ES: establecimiento de salud
SB: seguros y bróker
RT: responsable de tratamiento
D: destinatario
Imagen del sol

Adicionalmente, cabe señalar que, al tratarse de datos personales sensibles de salud, estos son objeto de una mayor protección ya que pertenecen a la esfera íntima de la persona, por lo que tanto el hospital como las empresas de seguros deben cumplir con todos los requisitos que establecen la LOPDP respecto a la legitimación que se debe tener para tratar los mismos, tanto desde su recolección, su procesamiento, conservación hasta la eliminación. En este sentido se debe proteger los mismos en su confidencialidad, integridad y disponibilidad implementando medidas de seguridad orientadas a garantizar estos tres aspectos de los datos personales. Es así que, el Reglamento de Información Confidencial en Sistema Nacional de Salud, debe aplicarse de manera concordante con la LOPDP, en este sentido este menciona que “[l]a autorización para el uso de estos documentos antes señalados, es potestad privativa del/a usuario/a o representante legal (…)” por lo que es necesario que previo al envío de datos personales por parte de un hospital a una empresa de seguros o asesora y productora de seguros se deberá cumplir con todos los requisitos de transferencia de datos personales establecidos en el Capítulo V de la LOPDP y, además, con lo establecido en el Reglamento previamente citado.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN del 25 de marzo de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“¿Se debe considerar que las COMPAÑÍAS DE SEGUROS son ENCARGADAS DE DATOS PERSONALES al tenor de lo dispuesto en el artículo 34 de la LOPDP cuando éstas acceden a la información de los pacientes recolectada y transmitida por un ESTABLECIMIENTO DE SALUD, si esta transmisión se hace por cuenta y por pedido de los pacientes contratantes del seguro, es decir sin que exista relación contractual entre el establecimiento y la aseguradora?”

No. Las compañías de seguros y/o productoras y asesoras de seguros, en el momento en el que se les entrega información por parte de un establecimiento de salud, reciben los datos personales de titulares en calidad de destinatarias. Sin embargo, cuando estas mismas compañías de seguros y/o productoras y asesoras de seguros dan una finalidad propia a su giro de negocio a dichos datos, es decir, realizan un tratamiento a la información recibida para realizar sus propias finalidades, detentan la calidad de responsables de tratamiento.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad del Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.

Oficio N° SPDP-IRD-2025-0096-O

Preguntas

“Sobre la base de lo señalado, Veris solicita a la SPDP que aclare la forma de interpretación y aplicación de los artículos 34 y 35 de la LOPDP, en junto con el alcance jurídico del artículo 43 del RLOPDP.”

Análisis

Como se puede observar en el gráfico anterior, el ciclo de vida del dato personal comprende las distintas fases por las que atraviesa desde el momento en que es recolectado hasta su eliminación o anonimización. Cada una de estas fases debe estar sujeta al cumplimiento de los principios rectores del tratamiento y a la implementación de medidas de seguridad, transparencia y licitud, que aseguren el respeto de los derechos de los titulares y la legitimidad del tratamiento. El proceso inicia con la captación o recolección del dato personal, momento en el cual el responsable del tratamiento debe contar con una de las bases legitimadoras que se establecen en el artículo 7 de la LOPDP. Asimismo, debe informar de manera clara al titular sobre las finalidades del tratamiento y garantizar que la información sea obtenida de forma lícita, leal y transparente.

La segunda etapa se da una vez recolectados los datos, éstos pasan al registro y almacenamiento, sea en formato físico o digital, fase en la que se debe asegurar la integridad, confidencialidad y disponibilidad de la información mediante la adopción de medidas técnicas, físicas, legales, administrativas y organizativas apropiadas. El almacenamiento debe ajustarse a los principios de minimización, proporcionalidad y limitación temporal, evitando la conservación excesiva e innecesaria de datos, solamente conservándolos para la finalidad que motivó su recolección. En la tercera etapa, los datos personales ingresan en la fase de uso o tratamiento activo, que abarca cualquier operación que se realice sobre ellos, incluyendo su análisis, modificación, procesamiento, entre otras. En esta etapa, el tratamiento debe responder exclusivamente a la finalidad declarada y contar con controles efectivos que permitan garantizar la trazabilidad. Es en esta etapa donde el responsable del tratamiento puede realizar un encargo de tratamiento de datos personales.

La cuarta etapa, que no se da ni es obligatoria para todos los tratamientos, es la de transferencia o comunicación a terceros. Dicha transferencia deberá contar con las bases legitimadoras correspondientes y, contar con garantías suficientes que aseguren un nivel adecuado de protección de la información tanto en almacenamiento del responsable del tratamiento como en tránsito. Toda comunicación de datos debe documentarse y estar debidamente respaldada por contratos u otros instrumentos que regulen el acceso y uso de la información por parte del tercero que recibe la información.

Superada la fase activa del tratamiento, se pasa a la quinta etapa que es la de conservación. Los datos deben ser conservados únicamente durante el tiempo estrictamente necesario para el cumplimiento de la finalidad que justificó su recolección. Concluido dicho plazo, corresponde al responsable proceder a su eliminación o a su anonimización irreversible, salvo que exista una obligación legal o contractual de conservación posterior. La conservación debe regirse por el principio de proporcionalidad, evitando la retención indefinida de datos que no responden a una finalidad actual, y aplicando técnicas como la seudonimización cuando corresponda. Finalmente, la sexta etapa corresponde a la eliminación del dato personal, que implica su destrucción definitiva o, alternativamente, su anonimización irreversible, de modo que no pueda ser reidentificado por ningún medio razonablemente disponible. Esta etapa puede ser activada por el cumplimiento de los plazos legales de conservación, por el ejercicio del derecho de eliminación del titular, o por el cese de la finalidad del tratamiento. En todos los casos, el procedimiento de eliminación debe garantizar que la información no pueda ser recuperada ni expuesta posteriormente.

Se enfatiza que el enfoque por ciclo de vida del dato personal permite adoptar una visión integral del tratamiento, identificar riesgos en cada etapa y aplicar medidas de seguridad diferenciadas de protección que respondan al nivel de sensibilidad de los datos y a la naturaleza de la operación que se realiza. En dicho sentido es fundamental que durante todo el ciclo de vida del dato se debe mantener una supervisión constante, debido a que el tratamiento de datos personales es dinámico por lo que la mera implementación no implica un cumplimiento total, sino que se debe mantener una auditoría y actualización constante para poder monitorear el flujo de los datos personales.

Ahora bien, habiendo analizado las diferentes figuras y como éstas se ubican en el ciclo de vida del dato, es menester analizar de manera desglosada los artículos 34 y 35 de la LOPDP, previamente citados. Iniciamos con el artículo 34, del cual se obtienen los siguientes elementos:

a)No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales”.

b)Prestación de servicio al responsable: “para la prestación de un servicio al responsable del tratamiento de datos personales”.

c)Acceso legítimo: “El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.”.

d)Contrato de encargo: “tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato (…) en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.

e)Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.”.

f)Responsabilidad: “El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento (…)”.

En este sentido a continuación se procede a realizar el mismo ejercicio con el artículo 35:

a)No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero”.

b)Prestación de servicio al responsable: “sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales”.

c)Acceso legítimo: “El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.”.

d)Contrato de encargo: “El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento (…) conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.

e)Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.”.

f)Responsabilidad: “El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.”.

Es así como, se evidencian varias similitudes entre ambos artículos, de las cuales se destaca que si bien, el primer artículo está dirigido al encargado directamente; y, el segundo, a la figura del tercero, ambos terminan regulando en ambos casos un encargo de tratamiento que es dado por “la prestación de un servicio” al responsable del tratamiento, elemento clave el cual convierte a la relación de las partes en un encargo de tratamiento. De esta manera, se deriva la obligación de eliminación y devolución de los datos personales al responsable del tratamiento una vez finalizada la prestación del servicio, entendiéndose que la supervisión por parte de la autoridad como la posibilidad de desplegar el aparataje institucional en caso de incumplimiento. Consecuentemente se establece la responsabilidad en caso de incumplimiento de las condiciones contractuales establecidas. En este sentido la diferencia de los artículos radica en el momento inicial respecto a quien está dirigido y, del análisis previo se evidencian los siguientes elementos diferenciadores:
Imagen del sol

Con base en lo previamente señalado, el artículo 35 de la LOPDP debe ser interpretado como una cláusula de reconducción jurídica, en tanto constituye un mecanismo normativo que permite determinar cuándo un tercero que accede a datos personales, en el contexto de la prestación de un servicio al responsable del tratamiento, deja de ser tercero y se convierte en un encargado del tratamiento. Mediante este mecanismo, se busca evitar vacíos de responsabilidad o zonas grises en el tratamiento de datos por parte de sujetos que, si bien formalmente pueden ser considerados terceros, en la práctica brindan un servicio al responsable de tratamiento, convirtiendo el mero acceso a datos personales de dicho responsable del tratamiento, en un encargo de tratamiento. En efecto, el artículo 35 establece un criterio técnico que reconduce la situación jurídica del tercero hacia la figura del encargado cuando concurren determinados elementos: (i) el acceso a los datos personales se produce en virtud de una prestación de servicios a favor del responsable; y, (ii) dicho acceso es necesario para la ejecución del servicio.

Ahora bien, cabe analizar el artículo 43 del RLOPDP el cual establece:

“Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.”

En este sentido se destacan los siguientes elementos claves:

a)“Responsabilidad del encargado”: el primer requisito para que se pueda aplicar este artículo es que debe tener la calidad de encargado. Tanto en los artículos 34 y 35, se constituye un encargo de tratamiento; y, por lo tanto, el artículo 43 del RLOPDP es aplicable.

b)“El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento”: de acuerdo con este elemento, en el caso que el encargado por cualquier causa - la cual en TODO momento debe ser legítima - decida sobre los fines y medios de un nuevo tratamiento, se considerará responsable para dichas finalidades. Sin embargo, en este punto cabe recalcar que, al ostentar la calidad de responsable de tratamiento para dichas finalidades, éste deberá necesariamente contar con una de las bases legitimadoras establecidas en el artículo 7 para que se considere legítimo y legal dicho tratamiento.

c)“En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas.”: este elemento debe entenderse en armonía con las definiciones dadas por la normativa y el artículo 34, 35 de la LOPDP, en este sentido se entiende que todos los artículos están en armonía debido a que el tratar los datos personales en nombre y cuenta de implica que debe haber una relación contractual entre las partes. Por ende, el que el artículo 34 y 35 mencionen que se configura un encargo al prestar un servicio al responsable del tratamiento por parte del encargado comprende que en la acción de prestar el servicio lo hace a nombre y por cuenta del responsable del tratamiento, debido a que este último le contrata para que le dé un servicio específico sobre la base de datos propia que tiene en posición y usa para sus propias finalidades. De igual manera, se entiende que, si el responsable de tratamiento no contrata al encargado del tratamiento, este último no podría acceder a dicha base de datos por lo que depende del responsable del tratamiento para poder acceder a la misma y poder cumplir con las finalidades para las cuales se le contrata. En este punto se cita la consulta absuelta en el Oficio N° SPDP-IRD-2025-0090-O donde se menciona que “se convierta en un encargado del tratamiento debido a que pasa a realizar un tratamiento de datos personales que fue solicitado – contratado- por parte del responsable del tratamiento, y tiene acceso a datos personales a los cuales, en ciertos casos, por sí solo no hubiera podido obtener.”

Con base en el análisis previamente realizado se establece que tanto las definiciones establecidas por la normativa como los artículos 34 y 35 de la LOPDP y el 43 del RLOPDP, no se contradicen y se entienden de manera armónica, donde se señala que el artículo 34, como lo mencionó una de las personas jurídicas a quien se solicitó criterio jurídico es, “la columna vertebral de la regulación para definir a un encargado del tratamiento”. Mientras que el artículo 35 es el artículo que busca evitar vacíos de responsabilidad en casos donde terceros, que acceden a datos personales en el marco de un servicio al responsable, configurando en la práctica una relación de encargo. En este sentido, se establece que los artículos se relacionan y, como mencionaba una de las personas jurídicas a quien se le solicitó opinión jurídica, el artículo 43 del RLOPDP complementa la relación jurídica entre el responsable y el encargado del tratamiento.

Sin embargo, se aclara que una misma persona natural o jurídica, pública o privada, autoridad pública u otro organismo puede ostentar la figura de responsable del tratamiento frente a unas finalidades específicas y de encargado del tratamiento frente a otras finalidades específicas. Es así que, en ocasiones puede ostentar la calidad de encargado del tratamiento para datos personales que ha tenido acceso por prestar un servicio a un responsable del tratamiento, pero se considerará responsable del tratamiento de esos mismos datos personales para otra finalidad legítima a la cual destine los mismos. Por ejemplo, en el caso de que, por una obligación legal, deba conservar dicha información, caso en el cual inicia su propio ciclo de vida del dato. Empero, en dicha relación en ningún momento se pierde la calidad de encargado del tratamiento frente al responsable del tratamiento inicial quien lo contrató para que preste un servicio específico determinado, teniendo que cumplir con todas las disposiciones normativas de protección de datos personales. Es así que, se deberá devolver los datos personales que le hayan sido proporcionados relativos a las finalidades del encargo, pero los datos personales legitimados para sus finalidades propias que ya constan en su propio ciclo de vida del dato pueden ser conservados hasta cumplir con la finalidad de ese ciclo de vida específico.

Adicionalmente, esta Autoridad recalca y enfatiza los siguientes puntos: primero, que la “prestación de un servicio” comprende la acción de realizar dicho servicio a nombre y cuenta del responsable del tratamiento. Segundo, que el encargado del tratamiento que es contratado por el responsable del tratamiento, la mayoría de las veces –si no es en todas- se dedica a un giro de negocio distinto, por esto mismo es contratado; sin embargo, el hecho de que este preste sus servicios que evidentemente son propios, no se puede interpretar como sus propias finalidades. Por lo tanto, el encargado que sea contratado para dar un servicio no puede absorber la base de datos del responsable del tratamiento para intereses propios como, por ejemplo, alimentar su propia base de datos para generar prospección. Tercero, en caso de que, por “cualquier causa” el encargado determine los fines y medios del tratamiento, este último deberá ser legítimo, esto es que debe cumplir con una base legitimadora y demás obligaciones establecidas en la normativa de protección de datos personales para el responsable del tratamiento.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN el 14 de mayo de 2025, y debidamente subsanada el 04 de junio de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“Sobre la base de lo señalado, Veris solicita a la SPDP que aclare la forma de interpretación y aplicación de los artículos 34 y 35 de la LOPDP, en junto con el alcance jurídico del artículo 43 del RLOPDP.”

Con base en el análisis previamente expuesto, se propone la siguiente interpretación armónica de los artículos 34 y 35 de la LOPDP: el artículo 34 resulta aplicable a los encargados del tratamiento debidamente identificados y formalizados, esto es, aquellos que, por disposición del responsable, tratan datos personales bajo una relación contractual claramente definida.

Por su parte, el artículo 35 debe aplicarse a los casos en los que una persona natural o jurídica, pública o privada, autoridad pública u otro organismo inicie su relación como tercero, pero cuya participación consista, en esencia, en la prestación de un servicio al responsable del tratamiento que implique el tratamiento de datos personales a los que se accede y tiene conocimiento por dicha prestación. En tales circunstancias, el tercero se convierte en un encargado del tratamiento, por lo que estará sujeto a las obligaciones y responsabilidades que la normativa impone a dicha figura.

Esta interpretación debe aplicarse en conjunto con lo previsto en el artículo 43 del RLOPDP, el cual permite clarificar el alcance de la relación entre el responsable y el encargado. En particular, se establece que, cuando un encargado del tratamiento destine los datos personales a finalidades propias —distintas de aquellas que motivaron su encargo—, deberá contar con una base de legitimación válida, y será considerado responsable del tratamiento respecto de dichas finalidades específicas, sin que ello implique la pérdida de su calidad de encargado respecto de las finalidades originales para las cuales fue contratado.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad del Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales..

Oficio N° SPDP-IRD-2025-0097-O

Preguntas

Análisis

Con base en la normativa previamente citada y en concordancia con el Oficio Nº SPDP-IRD-2025-0096-O de la consulta del expediente EXP-SPDP-IRD-CNSR-2025-0026 donde se dio contestación a la consulta respecto a la interpretación y aplicación del artículo 34 y 35 de la LOPDP, junto con el alcance jurídico del artículo 43 del RLOPDP, se ratifica la contestación de dicha consulta y se remita al mismo análisis el cual se cita a continuación:

“De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la Superintendencia de Protección de Datos Personales en el siguiente sentido:

El numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:

“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).

En concordancia con el artículo previamente citado, el artículo 4 de la LOPDP establece:

“Art.4.- Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones: (…)

Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.

Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.

Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.” (énfasis agregado).

El artículo 5 de la LOPDP dispone lo siguiente:

“Art. 5.- Integrantes del sistema de protección de datos personales.- Son parte del sistema de protección de datos personales, los siguientes:

1) Titular;

2) Responsable del tratamiento;

3) Encargado del tratamiento;

4) Destinatario;

5) Autoridad de Protección de Datos Personales; y,

6) Delegado de protección de datos personales.”

El artículo 7 de la LOPDP indica lo siguiente:

“Art. 7.- Tratamiento legítimo de datos personas (sic).- El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:

1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;

2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;

3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente Ley;

4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;

5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;

6) Para proteger intereses vitales del interesado o de otra persona natural, como su vida, salud o integridad;

7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,

8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.”

El artículo 34 y 35 de la LOPDP mencionan:

“Art. 34.- Acceso a datos personales por parte del encargado.- No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.

El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.

El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.

Art. 35.- Acceso a datos personales por parte de terceros.- No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.

El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.

El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.” (énfasis agregado).

El artículo 4 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (RLOPDP) establece las siguientes definiciones:

“(…) 6. Tercero: Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable. (…)”

El artículo 43 del RLOPDP establece lo siguiente:

“Art. 43.- Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.”

Con base en la normativa previamente citada, y para poder esclarecer la aplicación del artículo 34 y 35 de la LOPDP en relación con el artículo 43 del RLOPDP, es necesario determinar los conceptos del responsable del tratamiento, encargado del tratamiento, destinatario y tercero, como punto de partida.

Respecto al responsable del tratamiento, el artículo 4 de la LOPDP establece que podrá ser una “persona natural, jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.” Cabe analizar en partes la definición para aclararla respecto de su alcance de la siguiente manera:

Que solo o conjuntamente: Este elemento introduce la posibilidad de que la decisión sobre el tratamiento de datos personales no sea exclusiva de un solo sujeto, sino que pueda ser ejercida de forma compartida con otros responsables. Esta redacción reconoce la figura de la responsabilidad conjunta, prevista en la normativa ecuatoriana, mediante la cual dos o más entidades determinan conjuntamente los fines y los medios del tratamiento.

Decide sobre la finalidad: Decidir sobre la finalidad implica que el responsable del tratamiento tiene poder de decisión autónomo o compartido para determinar porqué se recogen los datos personales. Éste es el criterio fundamental que distingue al responsable del tratamiento de otras figuras, como el encargado. El responsable define el “para qué” del tratamiento y, por tanto, asume la responsabilidad principal de que dicho propósito sea lícito, explícito, determinado y compatible con el marco normativo.

Decide sobre el tratamiento: hace referencia a cualquier operación o conjunto de operaciones que se realicen sobre datos personales, tales como su recolección, almacenamiento, consulta, modificación, uso, comunicación o eliminación. El decidir sobre el tratamiento, implica que el responsable tiene control sobre los medios técnicos y organizativos a través de los cuales se lleva a cabo ese tratamiento.

Respecto al encargado del tratamiento, el mismo artículo 4 de la LOPDP menciona que es “persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales”. Al igual que lo previamente efectuado, se desglosa la definición para mayor claridad:

Que solo o conjuntamente: Este primer componente indica que el tratamiento realizado por el encargado puede llevarse a cabo de forma individual o coordinada con otros encargados, sin que ello implique autonomía en la determinación de la finalidad. El hecho de que el encargado pueda operar “conjuntamente” no lo convierte en responsable conjunto, pues su actuación se encuentra subordinada a las instrucciones del responsable.

Trate datos personales a nombre de: Este texto expresa que el encargado no actúa en nombre propio, sino en representación del responsable, cumpliendo funciones operativas que le han sido delegadas, y por las que ha sido contratado.

Trate datos personales por cuenta de: La expresión “por cuenta de” refuerza la naturaleza instrumental del rol del encargado. El encargado realiza operaciones de tratamiento por delegación o encargo expreso, en virtud de una relación contractual o legal con el responsable. Su intervención es de carácter auxiliar y debe ceñirse al marco de control y supervisión que determine el responsable.

Respecto al destinatario el artículo 4 ibídem, se señala que será la “persona natural o jurídica que ha sido comunicada con datos personales”. A continuación, se desglosa la definición para aclarar su alcance:

Persona natural o jurídica: Este componente indica que el destinatario puede ser cualquier sujeto individual o colectivo, a diferencia del responsable o encargado, el destinatario no está definido por su rol funcional en el tratamiento, sino por el hecho de haber recibido datos personales como parte de una transferencia o comunicación de datos personales.

Ha sido comunicada: Este factor delimita el alcance del término a quienes han recibido datos personales como parte de una acción de transferencia o comunicación por parte de un responsable o encargado del tratamiento. Es decir, el destinatario no decide sobre la finalidad ni sobre los medios del tratamiento (como el responsable), ni ejecuta operaciones a nombre del responsable (como el encargado); su rol es receptivo, y se configura únicamente por el hecho de recibir datos personales.

Respecto al tercero el artículo 4 del RLOPDP menciona que es “[p]ersona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable”. Dicho texto se analiza de la siguiente manera:

Distinto al titular, responsable del tratamiento, encargado del tratamiento y personales autorizadas para tratar los datos bajo la autoridad del responsable: El tercero es definido como cualquier persona natural o jurídica, autoridad pública, servicio u organismo que no sea el titular, el responsable del tratamiento, el encargado del tratamiento ni el personal autorizado bajo la autoridad del responsable. Esta definición, construida por exclusión, delimita claramente a los sujetos externos al círculo de tratamiento legítimo de los datos personales. Es así que, si bien todo destinatario es un tercero, no todo tercero es destinatario, ya que éste último requiere de un acto concreto de comunicación de datos. Una vez definidos y determinados los alcances reales de los conceptos antes señalado, esta autoridad estima necesario que los mismos sean interpretados de forma sistémica y en concordancia con el marco normativo vigente en materia de protección de datos personales. Tal interpretación resulta esencial para una aplicación coherente de las disposiciones legales y reglamentarias que rigen esta materia. En este sentido, es imprescindible considerar el ciclo de vida del dato personal como un eje estructural del tratamiento. El ciclo debe observarse de manera integral en todo tratamiento de datos personales, con independencia de su naturaleza o del sector en el que se lleve a cabo, dado que constituye la base sobre la cual se articulan las obligaciones y responsabilidades de los distintos sujetos intervinientes. La correcta comprensión de las etapas que conforman dicho ciclo permite delimitar con precisión el rol que cada actor –sea responsable, encargado, tercero u otro sujeto vinculado al tratamiento– desempeña dentro del sistema de protección de datos personales, así como sus facultades, límites y obligaciones a lo largo de todo el proceso.

Con el propósito de ofrecer mayor claridad al Consultante respecto a esta estructura funcional, se presenta a continuación una representación gráfica de las etapas que integran el ciclo de vida del dato personal, a fin de facilitar su comprensión y aplicación conforme a los principios y deberes previstos en la normativa vigente:

Descripción

Como se puede observar en el gráfico anterior, el ciclo de vida del dato personal comprende las distintas fases por las que atraviesa desde el momento en que es recolectado hasta su eliminación o anonimización. Cada una de estas fases debe estar sujeta al cumplimiento de los principios rectores del tratamiento y a la implementación de medidas de seguridad, transparencia y licitud, que aseguren el respeto de los derechos de los titulares y la legitimidad del tratamiento. El proceso inicia con la captación o recolección del dato personal, momento en el cual el responsable del tratamiento debe contar con una de las bases legitimadoras que se establecen en el artículo 7 de la LOPDP. Asimismo, debe informar de manera clara al titular sobre las finalidades del tratamiento y garantizar que la información sea obtenida de forma lícita, leal y transparente.

La segunda etapa se da una vez recolectados los datos, éstos pasan al registro y almacenamiento, sea en formato físico o digital, fase en la que se debe asegurar la integridad, confidencialidad y disponibilidad de la información mediante la adopción de medidas técnicas, físicas, legales, administrativas y organizativas apropiadas. El almacenamiento debe ajustarse a los principios de minimización, proporcionalidad y limitación temporal, evitando la conservación excesiva e innecesaria de datos, solamente conservándolos para la finalidad que motivó su recolección. En la tercera etapa, los datos personales ingresan en la fase de uso o tratamiento activo, que abarca cualquier operación que se realice sobre ellos, incluyendo su análisis, modificación, procesamiento, entre otras. En esta etapa, el tratamiento debe responder exclusivamente a la finalidad declarada y contar con controles efectivos que permitan garantizar la trazabilidad. Es en esta etapa donde el responsable del tratamiento puede realizar un encargo de tratamiento de datos personales.

La cuarta etapa, que no se da ni es obligatoria para todos los tratamientos, es la de transferencia o comunicación a terceros. Dicha transferencia deberá contar con las bases legitimadoras correspondientes y, contar con garantías suficientes que aseguren un nivel adecuado de protección de la información tanto en almacenamiento del responsable del tratamiento como en tránsito. Toda comunicación de datos debe documentarse y estar debidamente respaldada por contratos u otros instrumentos que regulen el acceso y uso de la información por parte del tercero que recibe la información.

Superada la fase activa del tratamiento, se pasa a la quinta etapa que es la de conservación. Los datos deben ser conservados únicamente durante el tiempo estrictamente necesario para el cumplimiento de la finalidad que justificó su recolección. Concluido dicho plazo, corresponde al responsable proceder a su eliminación o a su anonimización irreversible, salvo que exista una obligación legal o contractual de conservación posterior. La conservación debe regirse por el principio de proporcionalidad, evitando la retención indefinida de datos que no responden a una finalidad actual, y aplicando técnicas como la seudonimización cuando corresponda. Finalmente, la sexta etapa corresponde a la eliminación del dato personal, que implica su destrucción definitiva o, alternativamente, su anonimización irreversible, de modo que no pueda ser reidentificado por ningún medio razonablemente disponible. Esta etapa puede ser activada por el cumplimiento de los plazos legales de conservación, por el ejercicio del derecho de eliminación del titular, o por el cese de la finalidad del tratamiento. En todos los casos, el procedimiento de eliminación debe garantizar que la información no pueda ser recuperada ni expuesta posteriormente.

Se enfatiza que el enfoque por ciclo de vida del dato personal permite adoptar una visión integral del tratamiento, identificar riesgos en cada etapa y aplicar medidas de seguridad diferenciadas de protección que respondan al nivel de sensibilidad de los datos y a la naturaleza de la operación que se realiza. En dicho sentido es fundamental que durante todo el ciclo de vida del dato se debe mantener una supervisión constante, debido a que el tratamiento de datos personales es dinámico por lo que la mera implementación no implica un cumplimiento total, sino que se debe mantener una auditoría y actualización constante para poder monitorear el flujo de los datos personales.

Ahora bien, analizada las diferentes etapas y como éstas se ubican en el ciclo de vida del dato, es menester analizar de manera desglosada los artículos 34 y 35 de la LOPDP, previamente citados. Iniciamos con el artículo 34, del cual se obtienen los siguientes elementos:

No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales”.

Prestación de servicio al responsable: “para la prestación de un servicio al responsable del tratamiento de datos personales”.

Acceso legítimo: “El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.”.

Contrato de encargo: “tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato (…) en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.

Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.”.

Responsabilidad: “El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento (…)”.

En este sentido a continuación se procede a realizar el mismo ejercicio con el artículo 35:

No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero”.

Prestación de servicio al responsable: “sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales”.

Acceso legítimo: “El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.”.

Contrato de encargo: “El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento (…) conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.

Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.”.

Responsabilidad: “El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.”.

Es así como, se evidencian varias similitudes entre ambos artículos, de las cuales se destaca que si bien, el primer artículo está dirigido al encargado directamente; y, el segundo, a la figura del tercero, ambos terminan regulando en ambos casos un encargo de tratamiento que es dado por “la prestación de un servicio” al responsable del tratamiento, elemento clave el cual convierte a la relación de las partes en un encargo de tratamiento. De esta manera, se deriva la obligación de eliminación y devolución de los datos personales al responsable del tratamiento una vez finalizada la prestación del servicio, entendiéndose que la supervisión por parte de la autoridad como la posibilidad de desplegar el aparataje institucional en caso de incumplimiento. Consecuentemente se establece la responsabilidad en caso de incumplimiento de las condiciones contractuales establecidas. En este sentido la diferencia de los artículos radica en el momento inicial respecto a quien está dirigido y, del análisis previo se evidencian los siguientes elementos diferenciadores:

Descripción

Con base en lo previamente señalado, el artículo 35 de la LOPDP debe ser interpretado como una cláusula de reconducción jurídica, en tanto constituye un mecanismo normativo que permite determinar cuándo un tercero que accede a datos personales, en el contexto de la prestación de un servicio al responsable del tratamiento, deja de ser tercero y se convierte en un encargado del tratamiento. Mediante este mecanismo, se busca evitar vacíos de responsabilidad o zonas grises en el tratamiento de datos por parte de sujetos que, si bien formalmente pueden ser considerados terceros, en la práctica brindan un servicio al responsable de tratamiento, convirtiendo el mero acceso a datos personales de dicho responsable del tratamiento, en un encargo de tratamiento. En efecto, el artículo 35 establece un criterio técnico que reconduce la situación jurídica del tercero hacia la figura del encargado cuando concurren determinados elementos: (i) el acceso a los datos personales se produce en virtud de una prestación de servicios a favor del responsable; y, (ii) dicho acceso es necesario para la ejecución del servicio.

Ahora bien, cabe analizar el artículo 43 del RLOPDP el cual establece:

“Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.”

En este sentido se destacan los siguientes elementos claves:

“Responsabilidad del encargado”: el primer requisito para que se pueda aplicar este artículo es que debe tener la calidad de encargado. Tanto en los artículos 34 y 35, se constituye un encargo de tratamiento; y, por lo tanto, el artículo 43 del RLOPDP es aplicable.

El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento”: de acuerdo con este elemento, en el caso que el encargado por cualquier causa - la cual en TODO momento debe ser legítima - decida sobre los fines y medios de un nuevo tratamiento, se considerará responsable para dichas finalidades. Sin embargo, en este punto cabe recalcar que, al ostentar la calidad de responsable de tratamiento para dichas finalidades, éste deberá necesariamente contar con una de las bases legitimadoras establecidas en el artículo 7 para que se considere legítimo y legal dicho tratamiento.

“En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas.”: este elemento debe entenderse en armonía con las definiciones dadas por la normativa y el artículo 34, 35 de la LOPDP, en este sentido se entiende que todos los artículos están en armonía debido a que el tratar los datos personales en nombre y cuenta de implica que debe haber una relación contractual entre las partes. Por ende, el que el artículo 34 y 35 mencionen que se configura un encargo al prestar un servicio al responsable del tratamiento por parte del encargado comprende que en la acción de prestar el servicio lo hace a nombre y por cuenta del responsable del tratamiento, debido a que este último le contrata para que le dé un servicio específico sobre la base de datos propia que tiene en posición y usa para sus propias finalidades. De igual manera, se entiende que, si el responsable de tratamiento no contrata al encargado del tratamiento, este último no podría acceder a dicha base de datos por lo que depende del responsable del tratamiento para poder acceder a la misma y poder cumplir con las finalidades para las cuales se le contrata. En este punto se cita la consulta absuelta en el Oficio N° SPDP-IRD-2025-0090-O donde se menciona que “se convierta en un encargado del tratamiento debido a que pasa a realizar un tratamiento de datos personales que fue solicitado – contratado- por parte del responsable del tratamiento, y tiene acceso a datos personales a los cuales, en ciertos casos, por sí solo no hubiera podido obtener.”

Con base en el análisis previamente realizado se establece que tanto las definiciones de la normativa en los artículos 34 y 35 de la LOPDP y el 43 del RLOPDP, no se contradicen y se entienden de manera concordante, pues el artículo 34, como lo mencionó una de las personas jurídicas a quien se solicitó criterio jurídico es, “la columna vertebral de la regulación para definir a un encargado del tratamiento”. Mientras que el artículo 35 es el artículo que busca evitar vacíos de responsabilidad en casos donde terceros, que acceden a datos personales en el marco de un servicio al responsable, configurando en la práctica una relación de encargo. En este sentido, se establece que los artículos se relacionan y, como mencionaba una de las personas jurídicas a quien se le solicitó opinión jurídica, el artículo 43 del RLOPDP complementa la relación jurídica entre el responsable y el encargado del tratamiento.

Sin embargo, se aclara que una misma persona natural o jurídica, pública o privada, autoridad pública u otro organismo puede ostentar la figura de responsable del tratamiento frente a unas finalidades específicas y de encargado del tratamiento frente a otras finalidades específicas. Es así que, en ocasiones puede ostentar la calidad de encargado del tratamiento para datos personales que ha tenido acceso por prestar un servicio a un responsable del tratamiento, pero se considerará responsable del tratamiento de esos mismos datos personales para otra finalidad legítima a la cual destine los mismos. Por ejemplo, en el caso de que, por una obligación legal, deba conservar dicha información, caso en el cual inicia su propio ciclo de vida del dato. Empero, en dicha relación en ningún momento se pierde la calidad de encargado del tratamiento frente al responsable del tratamiento inicial quien lo contrató para que preste un servicio específico determinado, teniendo que cumplir con todas las disposiciones normativas de protección de datos personales. Es así que, se deberán devolver los datos personales que le hayan sido proporcionados relativos a las finalidades del encargo, pero los datos personales legitimados para sus finalidades propias que ya constan en su propio ciclo de vida del dato pueden ser conservados hasta cumplir con la finalidad de ese ciclo de vida específico.

Adicionalmente, esta autoridad recalca y enfatiza los siguientes puntos: primero, que la “prestación de un servicio” comprende la acción de realizar dicho servicio a nombre y cuenta del responsable del tratamiento. Segundo, que el encargado del tratamiento que es contratado por el responsable del tratamiento, la mayoría de las veces –si no es en todas- se dedica a un giro de negocio distinto, por esto mismo es contratado; sin embargo, el hecho de que éste preste sus servicios que evidentemente son propios, no se puede interpretar como sus propias finalidades. Por lo tanto, el encargado que sea contratado para dar un servicio no puede asumir para sí la base de datos del responsable del tratamiento para intereses propios como, por ejemplo, alimentar su propia base de datos para generar prospección. Tercero, en caso de que, por “cualquier causa” el encargado determine los fines y medios del tratamiento, este último deberá ser legítimo, esto es que debe cumplir con una base legitimadora y demás obligaciones establecidas en la normativa de protección de datos personales para el responsable del tratamiento.”.

Pronunciamiento

“Sobre la base de lo señalado, GOLDEN solicita a la SPDP que aclare la forma de interpretación y aplicación de los artículos 34 y 35 de la LOPDP, en junto con el alcance jurídico del artículo 43 del RLOPDP.”

En atención a los términos expuestos en la consulta remitida mediante oficio SN, con fecha 14 de mayo de 2025, y con base en el análisis correspondiente, esta Autoridad procede a dar respuesta a lo planteado por el consultante, ratificando el pronunciamiento contenido en el Oficio N.º SPDP-IRD-2025-0096-O, emitido en el marco del expediente EXP-SPDP-IRD-CNSR-2025-0026, en el cual se establece lo siguiente:

“Con base en el análisis previamente expuesto, se propone la siguiente interpretación armónica de los artículos 34 y 35 de la LOPDP: el artículo 34 resulta aplicable a los encargados del tratamiento debidamente identificados y formalizados, esto es, aquellos que, por disposición del responsable, tratan datos personales bajo una relación contractual claramente definida.

Por su parte, el artículo 35 debe aplicarse a los casos en los que una persona natural o jurídica, pública o privada, autoridad pública u otro organismo inicie su relación como tercero, pero cuya participación consista, en esencia, en la prestación de un servicio al responsable del tratamiento que implique el tratamiento de datos personales a los que se accede y tiene conocimiento por dicha prestación. En tales circunstancias, el tercero se convierte en un encargado del tratamiento, por lo que estará sujeto a las obligaciones y responsabilidades que la normativa impone a dicha figura.

Esta interpretación debe aplicarse en conjunto con lo previsto en el artículo 43 del RLOPDP, el cual permite clarificar el alcance de la relación entre el responsable y el encargado. En particular, se establece que, cuando un encargado del tratamiento destine los datos personales a finalidades propias —distintas de aquellas que motivaron su encargo—, deberá contar con una base de legitimación válida, y será considerado responsable del tratamiento respecto de dichas finalidades específicas, sin que ello implique la pérdida de su calidad de encargado respecto de las finalidades originales para las cuales fue contratado.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad del Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.”

Oficio N° SPDP-IRD-2025-0098-O

Preguntas

Análisis

Con base en la normativa previamente citada y en concordancia con el Oficio Nº SPDP-IRD-2025-0096-O de la consulta del expediente EXP-SPDP-IRD-CNSR-2025-0026 donde se dio contestación a la consulta respecto a la interpretación y aplicación del artículo 34 y 35 de la LOPDP, junto con el alcance jurídico del artículo 43 del RLOPDP, se ratifica la contestación de dicha consulta y se remita al mismo análisis el cual se cita a continuación:

“De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la Superintendencia de Protección de Datos Personales en el siguiente sentido:

El numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:

“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).

En concordancia con el artículo previamente citado, el artículo 4 de la LOPDP establece:

“Art.4.- Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones: (…)

Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales.

Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.

Transferencia o comunicación: Manifestación, declaración, entrega, consulta, interconexión, cesión, transmisión, difusión, divulgación o cualquier forma de revelación de datos personales realizada a una persona distinta al titular, responsable o encargado del tratamiento de datos personales. Los datos personales que comuniquen deben ser exactos, completos y actualizados.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales.” (énfasis agregado).

El artículo 5 de la LOPDP dispone lo siguiente:

“Art. 5.- Integrantes del sistema de protección de datos personales.- Son parte del sistema de protección de datos personales, los siguientes:

1) Titular;

2) Responsable del tratamiento;

3) Encargado del tratamiento;

4) Destinatario;

5) Autoridad de Protección de Datos Personales; y,

6) Delegado de protección de datos personales.”

El artículo 7 de la LOPDP indica lo siguiente:

“Art. 7.- Tratamiento legítimo de datos personas (sic).- El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:

1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;

2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;

3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente Ley;

4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;

5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;

6) Para proteger intereses vitales del interesado o de otra persona natural, como su vida, salud o integridad;

7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,

8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.”

El artículo 34 y 35 de la LOPDP mencionan:

“Art. 34.- Acceso a datos personales por parte del encargado.- No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.

El tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.

El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.

Art. 35.- Acceso a datos personales por parte de terceros.- No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales. El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.

El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.

Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.

El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.” (énfasis agregado).

El artículo 4 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (RLOPDP) establece las siguientes definiciones:

“(…) 6. Tercero: Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable. (…)”

El artículo 43 del RLOPDP establece lo siguiente:

“Art. 43.- Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.”

Con base en la normativa previamente citada, y para poder esclarecer la aplicación del artículo 34 y 35 de la LOPDP en relación con el artículo 43 del RLOPDP, es necesario determinar los conceptos del responsable del tratamiento, encargado del tratamiento, destinatario y tercero, como punto de partida.

Respecto al responsable del tratamiento, el artículo 4 de la LOPDP establece que podrá ser una “persona natural, jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.” Cabe analizar en partes la definición para aclararla respecto de su alcance de la siguiente manera:

Que solo o conjuntamente: Este elemento introduce la posibilidad de que la decisión sobre el tratamiento de datos personales no sea exclusiva de un solo sujeto, sino que pueda ser ejercida de forma compartida con otros responsables. Esta redacción reconoce la figura de la responsabilidad conjunta, prevista en la normativa ecuatoriana, mediante la cual dos o más entidades determinan conjuntamente los fines y los medios del tratamiento.

Decide sobre la finalidad: Decidir sobre la finalidad implica que el responsable del tratamiento tiene poder de decisión autónomo o compartido para determinar porqué se recogen los datos personales. Éste es el criterio fundamental que distingue al responsable del tratamiento de otras figuras, como el encargado. El responsable define el “para qué” del tratamiento y, por tanto, asume la responsabilidad principal de que dicho propósito sea lícito, explícito, determinado y compatible con el marco normativo.

Decide sobre el tratamiento: hace referencia a cualquier operación o conjunto de operaciones que se realicen sobre datos personales, tales como su recolección, almacenamiento, consulta, modificación, uso, comunicación o eliminación. El decidir sobre el tratamiento, implica que el responsable tiene control sobre los medios técnicos y organizativos a través de los cuales se lleva a cabo ese tratamiento.

Respecto al encargado del tratamiento, el mismo artículo 4 de la LOPDP menciona que es “persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales”. Al igual que lo previamente efectuado, se desglosa la definición para mayor claridad:

Que solo o conjuntamente: Este primer componente indica que el tratamiento realizado por el encargado puede llevarse a cabo de forma individual o coordinada con otros encargados, sin que ello implique autonomía en la determinación de la finalidad. El hecho de que el encargado pueda operar “conjuntamente” no lo convierte en responsable conjunto, pues su actuación se encuentra subordinada a las instrucciones del responsable.

Trate datos personales a nombre de: Este texto expresa que el encargado no actúa en nombre propio, sino en representación del responsable, cumpliendo funciones operativas que le han sido delegadas, y por las que ha sido contratado.

Trate datos personales por cuenta de: La expresión “por cuenta de” refuerza la naturaleza instrumental del rol del encargado. El encargado realiza operaciones de tratamiento por delegación o encargo expreso, en virtud de una relación contractual o legal con el responsable. Su intervención es de carácter auxiliar y debe ceñirse al marco de control y supervisión que determine el responsable.

Respecto al destinatario el artículo 4 ibídem, se señala que será la “persona natural o jurídica que ha sido comunicada con datos personales”. A continuación, se desglosa la definición para aclarar su alcance:

Persona natural o jurídica: Este componente indica que el destinatario puede ser cualquier sujeto individual o colectivo, a diferencia del responsable o encargado, el destinatario no está definido por su rol funcional en el tratamiento, sino por el hecho de haber recibido datos personales como parte de una transferencia o comunicación de datos personales.

Ha sido comunicada: Este factor delimita el alcance del término a quienes han recibido datos personales como parte de una acción de transferencia o comunicación por parte de un responsable o encargado del tratamiento. Es decir, el destinatario no decide sobre la finalidad ni sobre los medios del tratamiento (como el responsable), ni ejecuta operaciones a nombre del responsable (como el encargado); su rol es receptivo, y se configura únicamente por el hecho de recibir datos personales.

Respecto al tercero el artículo 4 del RLOPDP menciona que es “[p]ersona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable”. Dicho texto se analiza de la siguiente manera:

Distinto al titular, responsable del tratamiento, encargado del tratamiento y personales autorizadas para tratar los datos bajo la autoridad del responsable: El tercero es definido como cualquier persona natural o jurídica, autoridad pública, servicio u organismo que no sea el titular, el responsable del tratamiento, el encargado del tratamiento ni el personal autorizado bajo la autoridad del responsable. Esta definición, construida por exclusión, delimita claramente a los sujetos externos al círculo de tratamiento legítimo de los datos personales. Es así que, si bien todo destinatario es un tercero, no todo tercero es destinatario, ya que éste último requiere de un acto concreto de comunicación de datos.

Una vez definidos y determinados los alcances reales de los conceptos antes señalado, esta autoridad estima necesario que los mismos sean interpretados de forma sistémica y en concordancia con el marco normativo vigente en materia de protección de datos personales. Tal interpretación resulta esencial para una aplicación coherente de las disposiciones legales y reglamentarias que rigen esta materia. En este sentido, es imprescindible considerar el ciclo de vida del dato personal como un eje estructural del tratamiento. El ciclo debe observarse de manera integral en todo tratamiento de datos personales, con independencia de su naturaleza o del sector en el que se lleve a cabo, dado que constituye la base sobre la cual se articulan las obligaciones y responsabilidades de los distintos sujetos intervinientes. La correcta comprensión de las etapas que conforman dicho ciclo permite delimitar con precisión el rol que cada actor –sea responsable, encargado, tercero u otro sujeto vinculado al tratamiento– desempeña dentro del sistema de protección de datos personales, así como sus facultades, límites y obligaciones a lo largo de todo el proceso.

Con el propósito de ofrecer mayor claridad al Consultante respecto a esta estructura funcional, se presenta a continuación una representación gráfica de las etapas que integran el ciclo de vida del dato personal, a fin de facilitar su comprensión y aplicación conforme a los principios y deberes previstos en la normativa vigente:

Descripción

Como se puede observar en el gráfico anterior, el ciclo de vida del dato personal comprende las distintas fases por las que atraviesa desde el momento en que es recolectado hasta su eliminación o anonimización. Cada una de estas fases debe estar sujeta al cumplimiento de los principios rectores del tratamiento y a la implementación de medidas de seguridad, transparencia y licitud, que aseguren el respeto de los derechos de los titulares y la legitimidad del tratamiento. El proceso inicia con la captación o recolección del dato personal, momento en el cual el responsable del tratamiento debe contar con una de las bases legitimadoras que se establecen en el artículo 7 de la LOPDP. Asimismo, debe informar de manera clara al titular sobre las finalidades del tratamiento y garantizar que la información sea obtenida de forma lícita, leal y transparente.

La segunda etapa se da una vez recolectados los datos, éstos pasan al registro y almacenamiento, sea en formato físico o digital, fase en la que se debe asegurar la integridad, confidencialidad y disponibilidad de la información mediante la adopción de medidas técnicas, físicas, legales, administrativas y organizativas apropiadas. El almacenamiento debe ajustarse a los principios de minimización, proporcionalidad y limitación temporal, evitando la conservación excesiva e innecesaria de datos, solamente conservándolos para la finalidad que motivó su recolección. En la tercera etapa, los datos personales ingresan en la fase de uso o tratamiento activo, que abarca cualquier operación que se realice sobre ellos, incluyendo su análisis, modificación, procesamiento, entre otras. En esta etapa, el tratamiento debe responder exclusivamente a la finalidad declarada y contar con controles efectivos que permitan garantizar la trazabilidad. Es en esta etapa donde el responsable del tratamiento puede realizar un encargo de tratamiento de datos personales.

La cuarta etapa, que no se da ni es obligatoria para todos los tratamientos, es la de transferencia o comunicación a terceros. Dicha transferencia deberá contar con las bases legitimadoras correspondientes y, contar con garantías suficientes que aseguren un nivel adecuado de protección de la información tanto en almacenamiento del responsable del tratamiento como en tránsito. Toda comunicación de datos debe documentarse y estar debidamente respaldada por contratos u otros instrumentos que regulen el acceso y uso de la información por parte del tercero que recibe la información.

Superada la fase activa del tratamiento, se pasa a la quinta etapa que es la de conservación. Los datos deben ser conservados únicamente durante el tiempo estrictamente necesario para el cumplimiento de la finalidad que justificó su recolección. Concluido dicho plazo, corresponde al responsable proceder a su eliminación o a su anonimización irreversible, salvo que exista una obligación legal o contractual de conservación posterior. La conservación debe regirse por el principio de proporcionalidad, evitando la retención indefinida de datos que no responden a una finalidad actual, y aplicando técnicas como la seudonimización cuando corresponda. Finalmente, la sexta etapa corresponde a la eliminación del dato personal, que implica su destrucción definitiva o, alternativamente, su anonimización irreversible, de modo que no pueda ser reidentificado por ningún medio razonablemente disponible. Esta etapa puede ser activada por el cumplimiento de los plazos legales de conservación, por el ejercicio del derecho de eliminación del titular, o por el cese de la finalidad del tratamiento. En todos los casos, el procedimiento de eliminación debe garantizar que la información no pueda ser recuperada ni expuesta posteriormente.

Se enfatiza que el enfoque por ciclo de vida del dato personal permite adoptar una visión integral del tratamiento, identificar riesgos en cada etapa y aplicar medidas de seguridad diferenciadas de protección que respondan al nivel de sensibilidad de los datos y a la naturaleza de la operación que se realiza. En dicho sentido es fundamental que durante todo el ciclo de vida del dato se debe mantener una supervisión constante, debido a que el tratamiento de datos personales es dinámico por lo que la mera implementación no implica un cumplimiento total, sino que se debe mantener una auditoría y actualización constante para poder monitorear el flujo de los datos personales.

Ahora bien, analizada las diferentes etapas y como éstas se ubican en el ciclo de vida del dato, es menester analizar de manera desglosada los artículos 34 y 35 de la LOPDP, previamente citados. Iniciamos con el artículo 34, del cual se obtienen los siguientes elementos:

No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación en el caso de que el encargado acceda a datos personales”.

Prestación de servicio al responsable: “para la prestación de un servicio al responsable del tratamiento de datos personales”.

Acceso legítimo: “El tercero que ha accedido legítimamente a datos personales en estas consideraciones, será considerado encargado del tratamiento.”.

Contrato de encargo: “tratamiento de datos personales realizado por el encargado deberá estar regulado por un contrato (…) en el que se establezca de manera clara y precisa que el encargado del tratamiento de datos personales tratará únicamente los mismos conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.

Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la Autoridad de Protección de Datos Personales.”.

Responsabilidad: “El encargado será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento (…)”.

En este sentido a continuación se procede a realizar el mismo ejercicio con el artículo 35:

No se considera transferencia ni comunicación: “No se considerará transferencia o comunicación cuando el acceso a datos personales por un tercero”.

Prestación de servicio al responsable: “sea necesario para la prestación de un servicio al responsable del tratamiento de datos personales”.

Acceso legítimo: “El tercero que ha accedido a datos personales en estas condiciones debió hacerlo legítimamente.”.

Contrato de encargo: “El tratamiento de datos personales realizado por terceros deberá estar regulado por un contrato, en el que se establezca de manera clara y precisa que el encargado del tratamiento (…) conforme las instrucciones del responsable y que no los utilizará para finalidades diferentes a las señaladas en el contrato, ni que los transferirá o comunicará ni siquiera para su conservación a otras personas.”.

Eliminación y devolución: “Una vez que se haya cumplido la prestación contractual, los datos personales deberán ser destruidos o devueltos al responsable del tratamiento de datos personales bajo la supervisión de la autoridad de protección de datos personales.”.

Responsabilidad: “El tercero será responsable de las infracciones derivadas del incumplimiento de las condiciones de tratamiento de datos personales establecidas en la presente Ley.”.

Es así como, se evidencian varias similitudes entre ambos artículos, de las cuales se destaca que si bien, el primer artículo está dirigido al encargado directamente; y, el segundo, a la figura del tercero, ambos terminan regulando en ambos casos un encargo de tratamiento que es dado por “la prestación de un servicio” al responsable del tratamiento, elemento clave el cual convierte a la relación de las partes en un encargo de tratamiento. De esta manera, se deriva la obligación de eliminación y devolución de los datos personales al responsable del tratamiento una vez finalizada la prestación del servicio, entendiéndose que la supervisión por parte de la autoridad como la posibilidad de desplegar el aparataje institucional en caso de incumplimiento. Consecuentemente se establece la responsabilidad en caso de incumplimiento de las condiciones contractuales establecidas. En este sentido la diferencia de los artículos radica en el momento inicial respecto a quien está dirigido y, del análisis previo se evidencian los siguientes elementos diferenciadores:

Descripción

Con base en lo previamente señalado, el artículo 35 de la LOPDP debe ser interpretado como una cláusula de reconducción jurídica, en tanto constituye un mecanismo normativo que permite determinar cuándo un tercero que accede a datos personales, en el contexto de la prestación de un servicio al responsable del tratamiento, deja de ser tercero y se convierte en un encargado del tratamiento. Mediante este mecanismo, se busca evitar vacíos de responsabilidad o zonas grises en el tratamiento de datos por parte de sujetos que, si bien formalmente pueden ser considerados terceros, en la práctica brindan un servicio al responsable de tratamiento, convirtiendo el mero acceso a datos personales de dicho responsable del tratamiento, en un encargo de tratamiento. En efecto, el artículo 35 establece un criterio técnico que reconduce la situación jurídica del tercero hacia la figura del encargado cuando concurren determinados elementos: (i) el acceso a los datos personales se produce en virtud de una prestación de servicios a favor del responsable; y, (ii) dicho acceso es necesario para la ejecución del servicio.

Ahora bien, cabe analizar el artículo 43 del RLOPDP el cual establece:

“Responsabilidad del encargado.- El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento. En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas. Si el encargado considera que una instrucción es ilegal, informará al responsable del tratamiento, sin demora injustificada, para que se corrija la instrucción, de ser pertinente.”

En este sentido se destacan los siguientes elementos claves:

“Responsabilidad del encargado”: el primer requisito para que se pueda aplicar este artículo es que debe tener la calidad de encargado. Tanto en los artículos 34 y 35, se constituye un encargo de tratamiento; y, por lo tanto, el artículo 43 del RLOPDP es aplicable.

El encargado del tratamiento que, por cualquier causa, determine los fines y los medios del tratamiento, se considerará, para efectos de la Ley, responsable del tratamiento en lo que respecta a dicho tratamiento”: de acuerdo con este elemento, en el caso que el encargado por cualquier causa - la cual en TODO momento debe ser legítima - decida sobre los fines y medios de un nuevo tratamiento, se considerará responsable para dichas finalidades. Sin embargo, en este punto cabe recalcar que, al ostentar la calidad de responsable de tratamiento para dichas finalidades, éste deberá necesariamente contar con una de las bases legitimadoras establecidas en el artículo 7 para que se considere legítimo y legal dicho tratamiento.

“En tal sentido, para que el encargado sea considerado como tal, debe actuar a nombre y por cuenta del responsable y conforme a las instrucciones documentadas.”: este elemento debe entenderse en armonía con las definiciones dadas por la normativa y el artículo 34, 35 de la LOPDP, en este sentido se entiende que todos los artículos están en armonía debido a que el tratar los datos personales en nombre y cuenta de implica que debe haber una relación contractual entre las partes. Por ende, el que el artículo 34 y 35 mencionen que se configura un encargo al prestar un servicio al responsable del tratamiento por parte del encargado comprende que en la acción de prestar el servicio lo hace a nombre y por cuenta del responsable del tratamiento, debido a que este último le contrata para que le dé un servicio específico sobre la base de datos propia que tiene en posición y usa para sus propias finalidades. De igual manera, se entiende que, si el responsable de tratamiento no contrata al encargado del tratamiento, este último no podría acceder a dicha base de datos por lo que depende del responsable del tratamiento para poder acceder a la misma y poder cumplir con las finalidades para las cuales se le contrata. En este punto se cita la consulta absuelta en el Oficio N° SPDP-IRD-2025-0090-O donde se menciona que “se convierta en un encargado del tratamiento debido a que pasa a realizar un tratamiento de datos personales que fue solicitado – contratado- por parte del responsable del tratamiento, y tiene acceso a datos personales a los cuales, en ciertos casos, por sí solo no hubiera podido obtener.”

Con base en el análisis previamente realizado se establece que tanto las definiciones de la normativa en los artículos 34 y 35 de la LOPDP y el 43 del RLOPDP, no se contradicen y se entienden de manera concordante, pues el artículo 34, como lo mencionó una de las personas jurídicas a quien se solicitó criterio jurídico es, “la columna vertebral de la regulación para definir a un encargado del tratamiento”. Mientras que el artículo 35 es el artículo que busca evitar vacíos de responsabilidad en casos donde terceros, que acceden a datos personales en el marco de un servicio al responsable, configurando en la práctica una relación de encargo. En este sentido, se establece que los artículos se relacionan y, como mencionaba una de las personas jurídicas a quien se le solicitó opinión jurídica, el artículo 43 del RLOPDP complementa la relación jurídica entre el responsable y el encargado del tratamiento.

Sin embargo, se aclara que una misma persona natural o jurídica, pública o privada, autoridad pública u otro organismo puede ostentar la figura de responsable del tratamiento frente a unas finalidades específicas y de encargado del tratamiento frente a otras finalidades específicas. Es así que, en ocasiones puede ostentar la calidad de encargado del tratamiento para datos personales que ha tenido acceso por prestar un servicio a un responsable del tratamiento, pero se considerará responsable del tratamiento de esos mismos datos personales para otra finalidad legítima a la cual destine los mismos. Por ejemplo, en el caso de que, por una obligación legal, deba conservar dicha información, caso en el cual inicia su propio ciclo de vida del dato. Empero, en dicha relación en ningún momento se pierde la calidad de encargado del tratamiento frente al responsable del tratamiento inicial quien lo contrató para que preste un servicio específico determinado, teniendo que cumplir con todas las disposiciones normativas de protección de datos personales. Es así que, se deberán devolver los datos personales que le hayan sido proporcionados relativos a las finalidades del encargo, pero los datos personales legitimados para sus finalidades propias que ya constan en su propio ciclo de vida del dato pueden ser conservados hasta cumplir con la finalidad de ese ciclo de vida específico.

Adicionalmente, esta autoridad recalca y enfatiza los siguientes puntos: primero, que la “prestación de un servicio” comprende la acción de realizar dicho servicio a nombre y cuenta del responsable del tratamiento. Segundo, que el encargado del tratamiento que es contratado por el responsable del tratamiento, la mayoría de las veces –si no es en todas- se dedica a un giro de negocio distinto, por esto mismo es contratado; sin embargo, el hecho de que éste preste sus servicios que evidentemente son propios, no se puede interpretar como sus propias finalidades. Por lo tanto, el encargado que sea contratado para dar un servicio no puede asumir para sí la base de datos del responsable del tratamiento para intereses propios como, por ejemplo, alimentar su propia base de datos para generar prospección. Tercero, en caso de que, por “cualquier causa” el encargado determine los fines y medios del tratamiento, este último deberá ser legítimo, esto es que debe cumplir con una base legitimadora y demás obligaciones establecidas en la normativa de protección de datos personales para el responsable del tratamiento.”.

“Sobre la base de lo señalado, GOLDEN solicita a la SPDP que aclare la forma de interpretación y aplicación de los artículos 34 y 35 de la LOPDP, en junto con el alcance jurídico del artículo 43 del RLOPDP.”

En atención a los términos expuestos en la consulta remitida mediante oficio SN, con fecha 14 de mayo de 2025, y con base en el análisis correspondiente, esta Autoridad procede a dar respuesta a lo planteado por el consultante, ratificando el pronunciamiento contenido en el Oficio N.º SPDP-IRD-2025-0096-O, emitido en el marco del expediente EXP-SPDP-IRD-CNSR-2025-0026, en el cual se establece lo siguiente:

“Con base en el análisis previamente expuesto, se propone la siguiente interpretación armónica de los artículos 34 y 35 de la LOPDP: el artículo 34 resulta aplicable a los encargados del tratamiento debidamente identificados y formalizados, esto es, aquellos que, por disposición del responsable, tratan datos personales bajo una relación contractual claramente definida.

Por su parte, el artículo 35 debe aplicarse a los casos en los que una persona natural o jurídica, pública o privada, autoridad pública u otro organismo inicie su relación como tercero, pero cuya participación consista, en esencia, en la prestación de un servicio al responsable del tratamiento que implique el tratamiento de datos personales a los que se accede y tiene conocimiento por dicha prestación. En tales circunstancias, el tercero se convierte en un encargado del tratamiento, por lo que estará sujeto a las obligaciones y responsabilidades que la normativa impone a dicha figura.

Esta interpretación debe aplicarse en conjunto con lo previsto en el artículo 43 del RLOPDP, el cual permite clarificar el alcance de la relación entre el responsable y el encargado. En particular, se establece que, cuando un encargado del tratamiento destine los datos personales a finalidades propias —distintas de aquellas que motivaron su encargo—, deberá contar con una base de legitimación válida, y será considerado responsable del tratamiento respecto de dichas finalidades específicas, sin que ello implique la pérdida de su calidad de encargado respecto de las finalidades originales para las cuales fue contratado.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad del Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.”.

Pronunciamiento

Oficio N° SPDP-IRD-2025-0108-O

Preguntas

“¿En aplicación de los artículos 7, numeral, 1, 8 y 26 de la ley Orgánica de Protección de Datos Personales, es jurídicamente viable el uso del consentimiento explicito como base legitimadora para el control de asistencia de los trabajadores siempre y cuando exista un análisis de riesgo integral que contenga medidas organizativas y técnicas que permitan mitigar los riesgos; y, alternativas no invasivas que permitan tomar la decisión de optar por otro mecanismo de control de asistencia, reduciendo así la posibilidad de la existencia de un temor reverencial por parte del empleador?.”

Análisis

“Determinación de medidas de seguridad aplicables.- Para determinar las medidas de seguridad, aceptadas por el estado de la técnica, a las que están obligadas el responsable y el encargado del tratamiento de los datos personales, se deberán tomar en consideración, entre otros:
1) Los resultados del análisis de riesgos, amenazas y vulnerabilidades;
2) La naturaleza de los datos personales;
3) Las características de las partes involucradas; y,
4) Los antecedentes de destrucción de datos personales, la pérdida, alteración, divulgación o impedimento de acceso a los mismos por parte del titular, sean accidentales e intencionales, por acción u omisión, así como los antecedentes de transferencia, comunicación o de acceso no autorizado o exceso de autorización de tales datos.
El responsable y el encargado del tratamiento de datos personales deberán tomar las medidas adecuadas y necesarias, de forma permanente y continua, para evaluar, prevenir, impedir, reducir, mitigar y controlar los riesgos, amenazas y vulnerabilidades, incluidas las que conlleven un alto riesgo para los derechos y libertades del titular, de conformidad con la normativa que emita la Autoridad de Protección de Datos Personales.” (énfasis agregado).

El artículo 42 de la LOPDP dispone:

“Evaluación de impacto del tratamiento de datos personales.- El responsable realizará una evaluación de impacto del tratamiento de datos personales cuando se haya identificado la probabilidad de que dicho tratamiento, por su naturaleza, contexto o fines, conlleve un alto riesgo para los derechos y libertades del titular o cuando la Autoridad de Protección de Datos Personales lo requiera (…)” (énfasis agregado).

En concordancia con lo antedicho, el artículo 1472 del Código Civil (“CC”) menciona lo siguiente:

“Art. 1472.- La fuerza no vicia el consentimiento, sino cuando es capaz de producir una impresión fuerte en una persona de sano juicio, tomando en cuenta su edad, sexo y condición. Se mira como fuerza de este género todo acto que infunde a una persona justo temor de verse expuestos ella, su cónyuge o alguno de sus ascendientes o descendientes, a un mal irreparable y grave.
El temor reverencial, esto es, el solo temor de desagradar a las personas a quienes se debe sumisión y respeto, no basta para viciar el consentimiento.” (énfasis agregado).

En concordancia con la normativa previamente referida, esta Autoridad con fecha 20 de mayo del presente año emitió el Oficio Nº SPDP-IRD-2025-0065-O en el cual se dio contestación a la consulta dentro del expediente EXP-SPDP-IRD-CNSR-2025-0014, en el cual se estableció el siguiente análisis: “[c]on base en la normativa previamente citada y en concordancia con el Oficio Nº SPDP-IRD-2025-0031-O de la consulta de expediente EXP-SPDP-IRD-CNSR-2025-0002 donde se dio contestación a la consulta respecto al uso de biométricos para el registro de asistencia, se ratifica la contestación de dicha consulta respecto a las preguntas realizadas sobre el uso de biométricos. Sin embargo, se recalca que, el uso de datos biométricos para registro de asistencia, no deben ser usados como primera ni única opción, sino como última elección, considerando lo que seguidamente se señala. En efecto, de acuerdo con el numeral 19 del artículo 66 de la CRE, en concordancia con el artículo 26 de la LOPDP, los datos personales solo podrán tratarse para tal finalidad, esto es, para el control de asistencia, siempre y cuando el tratamiento haya superado el test de proporcionalidad de acuerdo con el principio de proporcionalidad, análisis de riesgo y evaluación de impacto, bajo el consentimiento del titular de datos, tanto del sector privado como del sector público. El solo consentimiento del titular no libera al responsable del tratamiento de llevar a cabo el test de proporcionalidad (y de poder demostrar que fue superado), el análisis de riesgo y la evaluación de impacto; y para que el consentimiento se lo tenga por libre, en los términos del artículo 8 de la LOPDP, el titular deberá tener la posibilidad real de poder escoger, entre varias opciones efectivamente puestas a su disposición, cuál es la que mejor le conviene para el control de su asistencia, en cuyo caso se deberá ser capaz de probar ante la SPDP, de manera fehaciente, que efectivamente el titular de datos personales pudo y escogió el mencionado tratamiento para el registro de asistencia.”(énfasis agregado).

Pronunciamiento

“Sobre la base de lo señalado, GOLDEN solicita a la SPDP que aclare la forma de interpretación y aplicación de los artículos 34 y 35 de la LOPDP, en junto con el alcance jurídico del artículo 43 del RLOPDP.”

En atención a los términos de la consulta realizada mediante Oficio SN el 28 de mayo de 2025, y debidamente subsanada el 03 de junio de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“¿En aplicación de los artículos 7, numeral, 1, 8 y 26 de la ley Orgánica de Protección de Datos Personales, es jurídicamente viable el uso del consentimiento explicito como base legitimadora para el control de asistencia de los trabajadores siempre y cuando exista un análisis de riesgo integral que contenga medidas organizativas y técnicas que permitan mitigar los riesgos; y, alternativas no invasivas que permitan tomar la decisión de optar por otro mecanismo de control de asistencia, reduciendo así la posibilidad de la existencia de un temor reverencial por parte del empleador?.”

Efectivamente, se ratifica el análisis que consta en las consultas absueltas mediante el Oficio Nº SPDP-IRD-2025-0031-O y el Oficio Nº SPDP-IRD-2025-0065-O. En este sentido, el uso del consentimiento explícito como base de legitimación para el control de asistencia de trabajadores para dicho tratamiento de datos de los trabajadores, se debe utilizar siempre y cuando se haya realizado el test de proporcionalidad, el análisis de riesgo correspondiente y éste no haya considerado como resultado un riesgo alto ni crítico. Adicionalmente, también deberá contar con una evaluación de impacto que establezca las medidas de mitigación de riesgo adecuadas, pertinentes, proporcionales y necesarias al tratamiento de datos específicos. Una vez que cuente con todas las condiciones anteriores y no exista la condición de un riesgo alto ni crítico, se podrá contar con el consentimiento de los titulares; consentimiento que, para tenérselo por libre, específico, informado e inequívoco, deberá permitirle al titular disponer de la posibilidad real de escoger entre varias otras alternativas para el control de su asistencia.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad del Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.

Oficio N° SPDP-IRD-2025-0126-O

Preguntas

“¿En los casos en que el tratamiento de datos personales se sustente en una base legitimadora distinta al consentimiento -como lo establece el artículo 7 de la Ley Orgánica de Protección de Datos Personales-, resulta legalmente viable efectuar dicho tratamiento sin requerir la aceptación expresa de la política de protección de datos personales por parte del titular, siempre que se cumpla con el deber de informar previsto en el artículo 10 y 12 de la misma norma?”

Análisis

Adicionalmente, el numeral 19 del artículo 66 Constitución de la República del Ecuador ("CRE") reconoce el derecho a la protección de datos personales estableciendo lo siguiente:

Art. 66.-

Se reconoce y garantizará a las personas: (...) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (...)" (énfasis agregado).

Asimismo, el artículo 92 de la CRE prevé lo siguiente:

Art. 92.-

Toda persona, por sus propios derechos o como representante legitimado para el efecto, tendrá derecho a conocer de la existencia y a acceder a los documentos, datos genéticos, bancos o archivos de datos personales e informes que sobre sí misma, o sobre sus bienes, consten en entidades públicas o privadas, en soporte material o electrónico. Asimismo tendrá derecho a conocer el uso que se haga de ellos, su finalidad, el origen y destino de información personal y el tiempo de vigencia del archivo o banco de datos.

Las personas responsables de los bancos o archivos de datos personales podrán difundir la información archivada con autorización de su titular o de la ley.

La persona titular de los datos podrá solicitar al responsable el acceso sin costo al archivo, así como la actualización de los datos, su rectificación, eliminación o anulación. En el caso de datos sensibles, cuyo archivo deberá estar autorizado por la ley o por la persona titular, se exigirá la adopción de las medidas de seguridad necesarias. Si no se atendiera su solicitud, ésta podrá acudir a la jueza o juez. La persona afectada podrá demandar por los perjuicios ocasionados." (énfasis agregado).

En concordancia con los artículos previamente citados, el artículo 4 de la Ley Orgánica de Protección de Datos Personales ("LOPDP") define lo siguiente:

Consentimiento: Manifestación de la voluntad libre, específica, informada e inequívoca, por el que el titular de los datos personales autoriza al responsable del tratamiento de los datos personales a tratar los mismos.

Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente.

Tratamiento: Cualquier operación o conjunto de operaciones realizadas sobre datos personales, ya sea por procedimientos técnicos de carácter automatizado, parcialmente automatizado o no automatizado, tales como: la recogida, recopilación, obtención, registro, organización, estructuración, conservación, custodia, adaptación, modificación, eliminación, indexación, extracción, consulta, elaboración, utilización, posesión, aprovechamiento, distribución, cesión, comunicación o transferencia, o cualquier otra forma de habilitación de acceso, cotejo, interconexión, limitación, supresión, destrucción y, en general, cualquier uso de datos personales. (énfasis agregado).

El artículo 7 de la LOPDP establece que:

Art. 7.- Tratamiento legítimo de datos personas.-

El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:

1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;

2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;

3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente Ley;

4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;

5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;

6) Para proteger intereses vitales del interesado o de otra persona natural, como su vida, salud o integridad;

7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,

8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.

(énfasis agregado).

En concordancia con la normativa previamente referida, se aclara que todo tratamiento de datos personales para que sea considerado legítimo debe ampararse en una de las bases de legitimación contempladas en el artículo 7 de la LOPDP, las cuales son taxativas. Es así que ninguna de las bases de legitimación tiene superioridad o prevalencia sobre otra. De conformidad con lo establecido en la LOPDP, todas las bases de legitimación tienen el mismo rango y valor jurídico y deben ser aplicadas según correspondan en cada caso concreto y para cada finalidad específica. Por ello, la aplicación de cualesquiera de las bases de legitimación previstas en el ordenamiento jurídico vigente no excluye en ningún sentido el cumplimiento de obligaciones ni principios que establece la normativa de protección de datos personales para ninguno de los integrantes del sistema de protección de datos personales.

En este sentido, todos los responsables y encargados del tratamiento tienen la obligación legal de contar con una política de protección de datos personales que refleje de manera precisa las actividades de tratamiento que llevan a cabo. Esta política constituye un instrumento esencial de cumplimiento normativo, en tanto se configura como el documento base que debe contener, al menos, la información prevista en el artículo 12 de la LOPDP. Su importancia radica en que permite informar de manera clara y transparente al titular de los datos personales, a la Superintendencia de Protección de Datos Personales y, en general, a todos los actores del sistema de protección de datos personales, acerca de las operaciones de tratamiento realizadas por el responsable o encargado, según corresponda, así como los lineamientos jurídicos y organizacionales que rigen dicho tratamiento.

No obstante lo anterior, de conformidad con lo dispuesto en el numeral 4 del artículo 47 de la LOPDP, la obligación prevista en la normativa vigente exige que la política de protección de datos personales esté implementada, disponible y acorde con los tratamientos efectuados, mas no que sea aceptada formalmente por los titulares. Sin embargo, en virtud del principio de transparencia y del derecho a la información, la política debe ser comunicada oportunamente a los titulares, de forma previa o simultánea a la recolección de los datos personales o, en caso de no haber una recolección de datos personales, en el momento previo a que se realice el tratamiento de datos personales. En este sentido, es fundamental el cumplimiento de la política de protección de datos personales acorde a los principios previamente citados. Es así que la política debe estar en un lenguaje claro, accesible y comprensible para el titular de datos personales de quien se vaya a tener acceso a su información, esto quiere decir que, si el titular de datos personales de quien se van a tratar los datos personales es un menor de edad, la política deberá estar escrita en un lenguaje y forma que sea entendible para el menor de edad. Esta exigencia tiene como propósito garantizar que los titulares estén debidamente informados sobre las condiciones bajo las cuales se procesará su información personal, sin que esto implique que su consentimiento expreso deba vincularse a la aceptación de la política en sí misma.

Sin perjuicio de lo anterior, esta Superintendencia tiene conocimiento que diversos regulados optan por solicitar la aceptación explícita de la política de protección de datos como una medida de trazabilidad y evidencia de cumplimiento de la obligación del deber de información que tienen los responsables y encargados del tratamiento frente a los titulares de datos personales. Esta práctica, aunque no es jurídicamente obligatoria, no contraviene la normativa siempre que no se condicione el acceso al servicio o producto a dicha aceptación, ni se confunda dicha aceptación con el consentimiento requerido para el tratamiento de los datos personales. Su finalidad operativa radica en acreditar ante los titulares y ante esta autoridad que la política fue debidamente informada y puesta a disposición, lo cual se alinea con la necesidad de demostrabilidad del cumplimiento contemplada en el principio de responsabilidad proactiva. Por tanto, esta práctica puede ser considerada válida en tanto se mantenga dentro del marco del respeto a los derechos de los titulares y no sustituya las manifestaciones de voluntad requeridas para su validez en los casos en que el tratamiento sí demande el consentimiento cumpliendo las condiciones previstas en la normativa vigente.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio SN el 18 de junio de 2025, y debidamente subsanada el 22 de julio de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente: “¿En los casos en que el tratamiento de datos personales se sustente en una base legitimadora distinta al consentimiento -como lo establece el artículo 7 de la Ley Orgánica de Protección de Datos Personales-, resulta legalmente viable efectuar dicho tratamiento sin requerir la aceptación expresa de la política de protección de datos personales por parte del titular, siempre que se cumpla con el deber de informar previsto en el artículo 10 y 12 de la misma norma?”
Para que cualquier tratamiento de datos personales sea considerado legítimo, debe necesariamente sustentarse en una de las bases de legitimación establecidas en el artículo 7 de la LOPDP. Independientemente de la base de legitimación que se aplique, los principios y obligaciones previstos en la LOPDP deben ser cumplidos en su integridad. Entre estos deberes se encuentra la obligación de implementar una política de protección de datos personales y asegurar que esta se mantenga disponible en todo momento.
No obstante lo anterior, dicha política no requiere del consentimiento expreso por parte del titular; sin embargo, su contenido debe ser informado de manera clara, suficiente y oportuna. Esta obligación de información debe ser además comprobable, tanto ante el propio titular de los datos personales como ante esta Superintendencia de Protección de Datos Personales.
Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.
Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.

Oficio N° SPDP-IRD-2025-0180-O

Preguntas

“¿Debe entenderse, conforme al numeral 3 del artículo 10 del Reglamento del Delegado de Protección de Datos Personales, que la designación de un Delegado de Protección de Datos Personales es obligatoria para todos los responsables o encargados que traten datos personales de niños, niñas y adolescentes exclusivamente en cumplimiento de obligaciones legales previstas en el Código del Trabajo y en la normativa tributaria, incluso cuando dicho tratamiento se limite estrictamente a dichas finalidades?”

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio s/n del 05 de agosto de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante, se determina lo siguiente: “¿Debe entenderse, conforme al numeral 3 del artículo 10 del Reglamento del Delegado de Protección de Datos Personales, que la designación de un Delegado de Protección de Datos Personales es obligatoria para todos los responsables o encargados que traten datos personales de niños, niñas y adolescentes exclusivamente en cumplimiento de obligaciones legales previstas en el Código del Trabajo y en la normativa tributaria, incluso cuando dicho tratamiento se limite estrictamente a dichas finalidades?”

En atención a los términos de la consulta realizada mediante Oficio s/n del 05 de agosto de 2025, al análisis realizado y dando respuesta a la consulta planteada por el Consultante, se determina lo siguiente:

“¿Debe entenderse, conforme al numeral 3 del artículo 10 del Reglamento del Delegado de Protección de Datos Personales, que la designación de un Delegado de Protección de Datos Personales es obligatoria para todos los responsables o encargados que traten datos personales de niños, niñas y adolescentes exclusivamente en cumplimiento de obligaciones legales previstas en el Código del Trabajo y en la normativa tributaria, incluso cuando dicho tratamiento se limite estrictamente a dichas finalidades?”

Debe entenderse que se debe designar un DPD por el responsable o encargado del tratamiento, siempre y cuando se incurra en una de las causales del artículo 48 de la LOPDP y, respecto a los casos adicionales establecidos en el Reglamento de los DPD, se deberá nombrar un DPD cuando se cumpla con las condiciones de establecidas en el artículo 10 de este último. Esto es, cuando tuviere por objeto o se dedicare de manera habitual al tratamiento de datos personales contenido en una o más de las causales establecidas en el artículo 10.

En este sentido, si el responsable o encargado del tratamiento tratan datos personales de niños, niñas y adolescentes en cumplimiento de obligaciones legales, no estarían obligados a designar un DPD al no cumplir con la condición de tener por objeto ni dedicarse a ese tratamiento. Sin embargo, si el mismo responsable o encargado incurre en cualquiera de las otras causales o cumple con uno de los numerales del artículo 48 de la LOPDP, si deberá designar un DPD.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad del Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.

Oficio N° SPDP-IRD-2025-0197-O

Preguntas

“2.3. En este sentido, si una persona que ocupa el cargo de Oficial de cumplimiento, Oficial de Seguridad de la información, es apoderado especial de un responsable o encargado extranjero, realiza actividades que implican el tratamiento de datos, o brinda asesoría en una empresa fue nombrada como Delegado de Protección de Datos Personales, previo a la expedición de la Resolución No. SPDP-SPD-2025-0028-R, ¿puede continuar como Delegado de Protección de Datos Personales de una sociedad conforme lo determina la Disposición Transitoria Primera de la Resolución N° SPDP-SPD-2025-0028-R, ¿sin perjuicio de que el referido delegado se encuentre dentro de las limitaciones y prohibiciones para desarrollar su cargo?”

Análisis

De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la Superintendencia de Protección de Datos Personales en el siguiente sentido:

El numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:

“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).

El artículo 4 de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) define lo siguiente:

“Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones: Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.” (énfasis agregado).

En el artículo 47 de la LOPDP, se señala:

“Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a:

13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda; (…)” (énfasis agregado).

En el artículo 48 de la LOPDP, se indica:

“Delegado de protección de datos personales.- Se designará un delegado de protección de datos personales en los siguientes casos: 1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República; 2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales; 3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y, 4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia. La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.” (énfasis agregado).

En el artículo 49 de la LOPDP, se refiere:

“Funciones del delegado de protección de datos personales.- El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones: 1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales ; 2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales; 3) Asesorar en el análisis de riesgo , evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación; 4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad , con relación a las cuestiones referentes al tratamiento de datos personales; y, 5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales.” (énfasis agregado).

El inciso final del artículo 50 de la LOPDP, manifiesta:

“Consideraciones especiales para el delegado de protección de datos personales.- Para la ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de tratamiento de datos personales, deberán observar lo siguiente: 1) Garantizar que la participación del delegado de protección de datos personales, en todas las cuestiones relativas a la protección de datos personales, sea apropiada y oportuna; 2) Facilitar el acceso a los datos personales de las operaciones de tratamiento, así como todos los recursos y elementos necesarios para garantizar el correcto y libre desempeño de sus funciones; 3) Capacitar y actualizar en la materia al delegado de protección de datos personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales; 4) No podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones; 5) El delegado de protección de datos personales mantendrá relación directa con el más alto nivel ejecutivo y de decisión del responsable y con el encargado; 6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; y, 7) El delegado de protección de datos personales estará obligado a mantener la más estricta confidencialidad respecto a la ejecución de sus funciones. Siempre que no exista conflicto con las responsabilidades establecidas en la presente Ley, su reglamento, directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales, el delegado de protección, de datos personales podrá desempeñar otras funciones dispuestas por el responsable o el encargado del tratamiento de datos personales.” (énfasis agregado).

En concordancia con lo previamente mencionado, el artículo 48 del RLOPDP establece:

“Delegado de protección de datos – El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales. Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas. El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado. Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.” (énfasis agregado).

El artículo 50 del RLOPDP dispone:

“Delegado de protección de datos de grupos empresariales.- Los grupos empresariales podrán designar a un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que esto genere conflicto de intereses.” (énfasis agregado).

Asimismo, el artículo 55 del RLOPDP indica:

“Requisitos para ser delegado.- Sin perjuicio de otros requisitos que establezca la Autoridad de Protección de Datos Personales, para ser delegado de protección de datos personales, se requerirá: 1. Estar en goce de los derechos políticos; 2. Ser mayor de edad; 3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y, 4. Acreditar experiencia profesional de por lo menos cinco años.” (énfasis agregado).

El artículo 56 del RLOPDP detalla:

“Impedimento para ser delegado.- Sin perjuicio de otras que defina la Autoridad de Protección de Datos Personales, no podrán ser delegados de protección de datos personales las siguientes personas: 1. Quienes formen parte de los órganos de administración y control del responsable y encargado; 2. Los socios o accionistas del responsable y encargado; 3. Los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y, 4. Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales emitirá la normativa correspondiente en la que se establecerán los supuestos específicos que darían lugar a dicho conflicto de intereses. Tratándose de las instituciones del sector público, la Autoridad de Protección de Datos Personales definirá las incompatibilidades para ser delegado de protección de datos personales para cada caso en particular.” (énfasis agregado).

También tomando en consideración la Resolución SPDP-SPD-2025-0028-R su artículo 3 precisa:

“El delegado deberá ser designado por quien tuviere la calidad de responsable o, según corresponda, por quien tuviere el rol de encargado del tratamiento, esto es: 3.1. Por la persona natural, ya sea por sí misma o ya fuere representada por un apoderado especial; 3.2. Por la persona jurídica de derecho privado, a través de su representante legal o apoderado debidamente autorizado; o, 3.3. Por la persona jurídica de derecho público, autoridad pública u otro organismo, representada por la máxima autoridad que ejerciere la representación legal. En este reglamento el responsable o el encargado podrán ser también aludidos, de manera indistinta, como “organización”.”

Igualmente, el artículo 12 de la Resolución SPDP-SPD-2025-0028-R señala:

“Incluso si prestare sus servicios bajo relación de dependencia, el delegado deberá mantener total independencia e imparcialidad en el ejercicio de sus funciones. No obstante, los responsables o los encargados del tratamiento podrán contar con el servicio de delegados mediante la suscripción de contratos de prestación de servicios técnicos especializados, así como contratar servicios de soporte, asesoría, implementación y/o consultoría en materia de protección de datos personales con personas jurídicas de derecho privado domiciliadas en la República del Ecuador” (énfasis agregado).

El artículo 16 de la Resolución SPDP-SPD-2025-0028-R establece:

“Art. 16.- Además de los impedimentos establecidos en el RGLOPDP, no podrán ser nombrados o designados como delegados: 16.1. Las mismas personas que estuvieren designadas como oficiales de seguridad de la información dentro de la organización; 16.2. Las mismas personas que fueren oficiales de cumplimiento dentro de la organización; 16.3. Los apoderados especiales de responsables, conjuntos o no, y de encargados extranjeros que realizaren actividades de tratamiento de datos personales en la República del Ecuador; y, 16.4. Las personas que ejercieren cargos del nivel jerárquico superior en el sector público” (énfasis agregado).

Adicional el artículo 18 de la Resolución No. SPDP-SPD-2025-0028-R determina:

Conflicto de interés: Art. 18.- Habrá conflicto de interés si el delegado designado o que estuviere ya en ejercicio del cargo: 18.1. Ejecutare una o varias actividades de tratamiento de datos personales, o si participare en el desarrollo de su ejecución de forma ocasional o permanente; 18.2. Ejerciere acciones de asesoría que, ajenas a sus funciones como delegado, tuvieren por objetivo salvaguardar los intereses de la organización; y, 18.3. Tomare decisiones sobre la organización, sus actividades o sus gestiones internas.” (énfasis agregado).

De igual manera, el artículo 2 de la Resolución No. SPDP-SPD-2025-0002-R comprende lo siguiente:

“Art. 2.- Designación de apoderado especial.- Los sujetos regulados deberán tener en el territorio, de manera permanente, un apoderado especial con amplias y suficientes facultades para comparecer, a nombre de sus representados, ante instancias administrativas y judiciales en materia de protección de datos personales; y, de manera señalada aunque no exclusiva, para atender y tramitar o, en su caso, para colaborar en el cumplimiento de la obligación de atender y tramitar las peticiones o quejas que presenten los titulares en ejercicio de los derechos que la LOPDP les confiere. Las facultades del apoderado especial no podrán estar sujetas a limitaciones o condiciones de ninguna clase que pudieren servir para menoscabar, entorpecer, dilatar, conculcar o que, de cualquier otra manera, se presten para tornar ineficaces los derechos de los titulares. En el texto del poder los responsables extranjeros harán constar, además de sus denominaciones o razones sociales, las marcas o nombres comerciales que utilizan para distinguir sus productos o servicios en el mercado, y que son los que comúnmente el público o los titulares usan para identificarlos. En el caso de los encargados extranjeros, además de sus denominaciones o razones sociales, harán constar las de los responsables a nombre de quienes y por cuya cuenta tratan datos personales (…).” (énfasis agregado).

En el artículo 3 de la Resolución No. SPDP-SPD-2025-0002-R enuncia:

“Requisitos para ser apoderado especial.- La designación del apoderado especial podrá recaer en una persona natural o en una persona jurídica que tenga la calidad de sociedad mercantil activa, establecida o domiciliada en el Ecuador. Si fuere una persona natural, será ecuatoriana domiciliada en el Ecuador; más si fuere extranjera, deberá tener en el territorio la calidad de residente. En uno y otro caso, la persona designada deberá hallarse en goce de sus derechos políticos. Si fuere una persona jurídica, su objeto social deberá permitirle obrar como mandataria. La SPDP podrá requerirle información a la Superintendencia de Compañías, Valores y Seguros para verificar el cumplimiento de este requisito, así como el hecho de que la sociedad se encuentre al día en el cumplimiento de sus obligaciones y que el nombramiento de su respectivo representante legal se halle vigente.” (énfasis agregado).

El Reglamento de la Ley Orgánica de Prevención de Lavado de Activos y del Financiamiento de Delitos (“RLOPCAYFD”) en su artículo 13 dispone que:

“Del Oficial de Cumplimiento.- Es la persona natural idónea, designada por el sujeto obligado, que tiene la responsabilidad de vigilar la adecuada implementación y funcionamiento del Sistema de Prevención de Riegos. Para ser oficial de cumplimiento titular, y suplente (en caso de ser exigido), deberá aprobar la capacitación impartida por la UAFE, para posteriormente a través del sujeto obligado, solicitar al respectivo organismo de control su calificación. Calificado el oficial de cumplimiento, el sujeto obligado en el término de cinco (5) días realizará el procedimiento de registro ante la UAFE. El sujeto obligado, el representante legal o apoderado de la persona jurídica, en caso de serlo, será el responsable de la información consignada en el formulario de registro. Los oficiales de cumplimiento deberán cumplir con los requisitos que su respectivo órgano de control establezca para su calificación. Los oficiales de cumplimiento de los sujetos obligados que no cuenten con organismo de control, deberán acogerse a lo dispuesto por la Unidad de Análisis Financiero y Económico (UAFE). Para el registro se consignará también la siguiente información: a) Dirección de correos electrónicos (corporativo y personal). b) Números de teléfono convencional con su respectiva extensión y celular. c) Dirección del domicilio del sujeto obligado. Los grupos empresariales podrán designar a un mismo oficial de cumplimiento titular y/o suplente en las compañías que formen parte del mismo, para el efecto el organismo de control deberá establecer los parámetros de idoneidad para la designación y calificación del oficial de cumplimiento; y, posteriormente el sujeto obligado remitirá el documento de calificación a la UAFE para su registro correspondiente. En caso de que existieran otros grupos que no posean organismo de control específico, la UAFE determinará los parámetros a seguir. Cuando se haya producido un cambio del oficial de cumplimiento titular y/o suplente, deberán actualizar inmediatamente la información indicada en el cuarto inciso del presente artículo en el Sistema para la Prevención de Lavado de Activos y Financiamiento de Delitos. Las personas naturales obligadas a informar de conformidad con el Artículo 5 de la Ley deberán contar con un sistema de prevención de riesgos diseñados y acorde a la estructura de su negocio.” (énfasis agregado).

Además, en el artículo 15 del RLOPCAYFD indica:

“De las funciones del Oficial de Cumplimiento.- Son funciones del oficial de cumplimiento: a. Realizar los controles correspondientes sobre las operaciones y transacciones que igualen o superen el umbral legal. Estos controles constituyen uno de los insumos para la detección y reporte de operaciones inusuales e injustificadas; b. Remitir dentro del plazo legal fijado para el efecto, los reportes previstos en el Artículo 4 de la Ley; c. Presentar sus reportes mediante el formulario fijado para el efecto, conforme a la estructura establecida en los manuales emitidos por la Unidad de Análisis Financiero y Económico (UAFE); d. Cooperar con la Unidad de Análisis Financiero y Económico (UAFE), en la entrega oportuna de la información adicional que ésta solicite, de conformidad con el término establecido en la Ley. La negativa o retraso en la entrega de la información, dará lugar al inicio de las acciones administrativas y legales que correspondan; e. Comunicar en forma permanente al personal del sujeto obligado, acerca de la estricta reserva que deben mantener en relación a los requerimientos de información realizados por la Unidad de Análisis Financiero y Económico (UAFE), de conformidad con lo previsto en la Ley; f. Registrar en la Unidad de Análisis Financiero y Económico (UAFE), la capacitación recibida en el año anterior; g. Planificar y coordinar la capacitación para el personal del sujeto obligado, así como liderar la expedición de manuales, políticas y procedimientos internos en materia de prevención y detección de lavado de activos; h. Implementar y ejecutar una metodología de administración de riesgos de lavado de activos y financiamiento de delitos para mitigar la exposición al riesgo del sujeto obligado; i. Elaborar el Manual de Prevención de Lavado de Activos y del Financiamiento de Delitos, así como políticas y procedimientos internos en materia de prevención y detección de lavado de activos, y verificar su cumplimiento; j. Ejecutar los controles establecidos en el Manual de Prevención de Lavado de Activos y Financiamiento de Delitos y realizar un monitoreo periódico de perfiles de clientes y usuarios así como también de las operaciones y transacciones llevadas a cabo; k. Registrar en el sistema de reportes dentro del plazo establecido en la letra c) del Art. 4 de la Ley, la no existencias de transacciones y operaciones que igualen o superen el umbral legal; y, l. Otros que determine el organismo de control correspondiente.”

También en el artículo 6 del Esquema Gubernamental de Seguridad de la Información (“EGSI”), se explica lo siguiente:

“Art. 6.- La máxima autoridad designará al interior de la Institución, un Comité de Seguridad de la Información (CSI), que estará integrado por los responsables de las siguientes áreas o quienes hagan sus veces: Planificación quien lo presidirá, Talento Humano, Administrativa, Comunicación Social, Tecnologías de la Información, Jurídica y el Delegado de protección de datos. El Oficial de Seguridad de la Información asistirá a las reuniones del comité de seguridad de la información con voz, pero sin voto. Los representantes de los procesos Agregadores de Valor asistirán a las reuniones del comité, cuando se trate información propia de su gestión. Las instituciones del sector público que no cumplan con estas características deberán identificar el modelo que corresponda a la institución en la conformación del comité de seguridad de la información, con al menos tres integrantes garantizando su funcionalidad.”

Adicionalmente, el artículo 9 del EGSI, establece:

Art. 9.- El Oficial de Seguridad de la Información tendrá las siguientes responsabilidades:
1. Identificar y conocer la estructura organizacional de la institución.
2. Identificar las personas o instituciones públicas o privadas, que de alguna forma influyen o impactan en la implementación del EGSI
3. Implementar y actualizar del Esquema Gubernamental de Seguridad de la Información EGSI en su institución.
4. Elaborar y coordinar con las áreas respectivas las propuestas para la elaboración de la documentación esencial del Esquema Gubernamental de Seguridad de la Información (EGSI).
5. Elaborar, asesorar y coordinar con los funcionarios, la ejecución del Estudio de Gestión de Riesgos de Seguridad de la Información en las diferentes áreas.
6. Elaborar y coordinar el Plan de concienciación en Seguridad de la Información basado en el Esquema Gubernamental de Seguridad de la Información (EGSI), con las áreas involucradas que intervienen y en coordinación con el área de comunicación institucional.
7. Fomentar la cultura de seguridad de la información en la institución, en coordinación con las áreas respectivas.
8. Elaborar el plan de seguimiento y control de la implementación de las medidas de mejora o acciones correctivas, y coordinar su ejecución con las áreas responsables.
9. Coordinar la elaboración de un Plan de Recuperación de Desastres (DRP), con el área de TI y las áreas clave involucradas, para garantizar la continuidad de las operaciones institucionales ante una interrupción.
10. Elaborar el procedimiento o plan de respuesta para el manejo de los incidentes de seguridad de la información presentados al interior de la institución.
11. Coordinar la gestión de incidentes de seguridad de la información con nivel de impacto alto y que no pudieran ser resueltos en la institución, a través del Centro de Respuestas a Incidentes Informáticos (CSIRT) sectorial y/o nacional.
12. Coordinar la realización periódica de revisiones internas al Esquema Gubernamental de Seguridad de la Información - (EGSI), así como, dar seguimiento en corto plazo a las recomendaciones que hayan resultado de cada revisión.
13. Mantener toda la documentación generada durante la implementación, seguimiento y mejora continua del EGSI, debidamente organizada y consolidada, tanto políticas, controles, registros y otros.
14. Coordinar con las diferentes áreas que forman parte de la implementación del Esquema Gubernamental de Seguridad de la Información, la verificación, monitoreo y el control del cumplimiento de las normas, procedimientos políticas y controles de seguridad institucionales establecidos de acuerdo a las responsabilidades de cada área.
15. Informar al Comité de Seguridad de la Información, el avance de la implementación del Esquema Gubernamental de Seguridad de la Información y mejora continua (EGSI), así como las alertas que impidan su implementación.
16. Previa la terminación de sus funciones el Oficial de Seguridad de la información realizará la entrega recepción de la documentación generada al nuevo Oficial de Seguridad de la información, y de la transferencia de conocimientos propios de la institución adquiridos durante su gestión, en caso de ausencia, al Comité de Seguridad de la Información; procedimiento que será constatado por la unidad de talento humano, previo el cambio y/o salida del oficial de seguridad de la información.
17. Administrar y mantener el EGSI mediante la definición de estrategias políticas normas y controles de seguridad, siendo responsable del cumplimiento el propietario de la información del proceso.
18. Actuar como punto de contacto del Ministerio de Telecomunicaciones y de la Sociedad de la Información.

De igual manera, en el Anexo A de la guía del EGSI, manifiesta:

“Oficial de Seguridad de la Información (OSI) La máxima autoridad designará al interior de su Institución a un funcionario como Oficial de Seguridad de la Información (OSI), será: El responsable de la implementación y mejora continua del EGSI, así como el de coordinar las acciones del Comité de Seguridad de la Información en relación a la implementación y cumplimiento del Esquema Gubernamental de Seguridad de la Información.”

En concordancia con la normativa previamente referida, se establece que toda persona designada como DPD debe cumplir con los requisitos exigidos por la LOPDP, su Reglamento General y demás normativa emitida por la SPDP, en este caso la Resolución No. SPDP-SPD-2025-0028-R instrumento que regula de manera específica el perfil, funciones, requisitos, impedimentos y prohibiciones aplicables al DPD. Con base en la normativa previamente referida, resulta fundamental analizar cada una de las figuras mencionadas en la consulta, las cuales son: oficial de cumplimiento, oficial de seguridad de la información y apoderado especial, a fin de abordar el requerimiento de manera específica.

Es así que, en primer lugar y con base en la normativa previamente citada, se entiende al Oficial de Cumplimiento (“OC”) como la persona designada por la alta dirección o el órgano competente de una entidad para diseñar, implementar y supervisar el sistema de cumplimiento normativo, incluyendo, cuando corresponda, los programas de prevención de lavado de activos, financiamiento del terrorismo y demás delitos conexos. Entre sus atribuciones se encuentran la elaboración y actualización de políticas y procedimientos, la ejecución de evaluaciones y matrices de riesgo, la coordinación de reportes internos y externos, incluidos los informes de operaciones sospechosas dirigidos a la autoridad competente, la capacitación del personal y la interlocución directa con organismos de supervisión. Para el ejercicio de sus funciones, debe contar con autonomía funcional, acceso irrestricto a todas las áreas de la entidad, confidencialidad respecto de la información que gestiona y cumplir con los requisitos de idoneidad y formación establecidos en la normativa aplicable.

En segundo lugar, el Oficial de Seguridad de la Información (“OSI”) es el responsable de definir, implementar y mantener las medidas técnicas y organizativas destinadas a preservar la confidencialidad, integridad y disponibilidad de la información institucional. Entre sus funciones se encuentran la gestión de riesgos asociados a la seguridad de la información, el diseño de políticas y controles, incluidos los planes de respuesta ante incidentes y de recuperación ante desastres, la capacitación del personal en prácticas seguras y la articulación con equipos especializados y autoridades sectoriales competentes. Este cargo suele estar subordinado a la alta dirección o a la gerencia de tecnologías de la información, y exige garantizar la custodia adecuada de los activos informáticos, la continuidad operativa de servicios críticos y el cumplimiento de estándares internacionales y marcos normativos aplicables.

Jerárquicamente, el Oficial de Seguridad de la Información mantiene una relación funcional con áreas estratégicas como tecnología, gestión de riesgos, cumplimiento normativo y protección de datos personales, con las cuales debe coordinar acciones integradas. Aunque su enfoque es eminentemente técnico-operativo, debe comprender el entorno regulatorio y los objetivos institucionales para priorizar riesgos de manera efectiva y asegurar la resiliencia organizacional. Asimismo, le corresponde custodiar la documentación del sistema de gestión de seguridad, garantizar la implementación de controles de acceso y trazabilidad, y coordinar auditorías y revisiones periódicas orientadas a la mejora continua del sistema. Finalmente, el apoderado especial es la persona natural o jurídica designada expresamente por el responsable o encargado del tratamiento para representar a los mismos y sus intereses en asuntos específicos, particularmente en lo relativo al cumplimiento de obligaciones dentro del Ecuador cuando el responsable o encargado del tratamiento no se encuentren domiciliados en el país.

El poder conferido debe contener facultades suficientes para comparecer ante autoridades, atender requerimientos, responder a peticiones o quejas formuladas por los titulares, y acreditar la representación del sujeto regulado, incluyendo información de contacto oficial. Ahora bien, una vez establecidas las funciones de cada una de las figuras aludidas, es menester analizar lo establecido en la disposición Transitoria Primera de la Resolución No. SPDP-SPD-2025-0028-R, la cual establece que “(…) Se considerarán como válidos, y serán registrados, los nombramientos de delegados otorgados o emitidos con anterioridad a la vigencia de este reglamento, siempre y cuando las designaciones se hubiesen realizado de acuerdo con lo establecido en el artículo 3.”

En este sentido, se entiende que todos las designaciones y nombramientos de DPD realizados por el representante legal del responsable o encargado del tratamiento o, la máxima autoridad de una institución pública, son válidos y pueden registrarse siempre y cuando cumplan con los requisitos establecidos por la LOPDP y su RLOPDP los cuales ya eran vigentes desde el 2021 y 2023 respectivamente. Cabe recalcar que en dicha disposición transitoria se hace una excepción a los nombramientos y designaciones realizadas anteriormente pero no se hace referencia a ninguna otra excepción respecto a las disposiciones de la misma ley y el mismo reglamento vigentes con anterioridad, esto es no se excepciona ninguna prohibición establecidos en la Resolución No. SPDP-SPD-2025-0028-R.

Adicionalmente, la Disposición Transitoria Tercera de la Resolución No. SPDP-SPD2025-0028-R dispone que las instituciones del sector privado deberán realizar la inscripción de sus respectivos DPD entre el 1 de noviembre y el 31 de diciembre de 2025, en cumplimiento con la obligación de inscripción de estos ante la SPDP, la cual se encuentra prevista en el artículo 5 de la mencionada resolución. Cabe mencionar que al haberse dado un plazo específico para que se pueda cumplir con lo dispuesto en el referido texto normativo, por lo que en dicha inscripción se debe designar a un DPD de conformidad con las características establecidas por la LOPDP, el RLOPDP y la resolución previamente menciona debido a que ya se encuentra vigente. Una vez esclarecido lo que menciona la Resolución No. SPDP-SPD-2025-0028-R, es necesario recalcar el artículo 55 y 56 del RLOPDP los cuales establecen los requisitos de ser DPD y las causales de impedimento para el mismo.

Es así como el artículo 55 menciona que del DPD debe: “(…)

1. Estar en goce de los derechos políticos;
2. Ser mayor de edad;
3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y,
4. Acreditar experiencia profesional de por lo menos cinco años.”
Y, además, no podrá incurrir en ninguna de las siguientes causales de impedimento: “(…)
1. Quienes formen parte de los órganos de administración y control del responsable y encargado;
2. Los socios o accionistas del responsable y encargado;
3. Los cónyuges de los administradores, directores o comisarios de la compañía, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad; y,
4. Quienes tengan conflictos de intereses con el responsable y encargado, para lo cual la Autoridad de Protección de Datos Personales emitirá la normativa correspondiente en la que se establecerán los supuestos específicos que darían lugar a dicho conflicto de intereses. (…)”.

En este sentido, es menester subsumir cada una de las figuras a los artículos previamente citados. Por lo tanto, en cuanto a la posibilidad de designación como DPD a una persona natural que haya sido designada también como OC, y suponiendo que cumple con los requisitos del artículo 55 del RLOPDP, el artículo 56 del mismo reglamento establece expresamente que no podrán ser delegados quienes formen parte de los órganos de administración y control del responsable o encargado del tratamiento.

El oficial de cumplimiento, por la naturaleza de sus funciones, integra precisamente ese ámbito de control interno, ya que su rol es supervisar, verificar y asegurar el cumplimiento normativo dentro de la organización. Esto lo ubica funcionalmente dentro de la estructura de control y supervisión interna, lo que generaría un conflicto de intereses con las funciones del DPD, quien debe actuar con autonomía e independencia frente a la administración y control interno. Es así que, el oficial de cumplimiento se considera parte del órgano de control del responsable o encargado del tratamiento, y por tanto, no puede ejercer simultáneamente el rol de DPD, conforme al principio de independencia funcional que exige la LOPDP.

Respecto a la posibilidad de designar al OSI como DPD, este no puede ejercer simultáneamente el cargo de delegado de protección de datos personales, en virtud de que sus funciones lo integran directamente al órgano de control del responsable o encargado del tratamiento, configurando un evidente conflicto de intereses.

El artículo 9 del EGSI establece que dicho funcionario es responsable de implementar, coordinar, verificar y controlar el cumplimiento de políticas, normas y procedimientos de seguridad de la información dentro de la institución, así como de dirigir revisiones internas y reportar los resultados al Comité de Seguridad de la Información. Estas atribuciones evidencian que el OSI actúa en el ámbito del control y supervisión institucional, mientras que el DPD debe ejercer sus funciones con autonomía e independencia frente a dichos órganos, conforme lo dispone la Ley Orgánica de Protección de Datos Personales.

Adicionalmente, el delegado de protección de datos personales tiene la obligación legal de asesorar y supervisar el tratamiento de datos personales, incluyendo la evaluación de las medidas de seguridad aplicadas al sistema de información, las cuales se encuentran directamente vinculadas al ámbito de actuación del OSI.

En consecuencia, la coincidencia de ambos cargos en una misma persona resulta incompatible, pues implicaría que quien implementa las medidas de seguridad sea al mismo tiempo quien las evalúe y supervise, generando una situación de auto supervisión contraria al principio de independencia funcional exigido por la LOPDP y los estándares internacionales de gobernanza en materia de privacidad y seguridad de la información.

Por tanto, el ejercicio de ambos cargos en una misma persona resulta incompatible, pues afectaría la objetividad, imparcialidad y separación de funciones exigidas para la adecuada garantía de los derechos de los titulares de datos personales, por lo que incurriría en el numeral 1 y 4 del artículo 56 del RLOPDP.

Finalmente, respecto a la posibilidad de designar como DPDP al apoderado especial esta es claramente incompatible con el artículo 56 debido a que si una persona natural ser nombrada como apoderado especial de un responsable o encargado no domiciliado en Ecuador, éste actúa en representación del mismo, por lo que incurriría en el impedimento del numeral 1 del artículo 56 del RLOPDP, ya que no solamente vendría a ser el órgano de control sino que sería el mismo responsable o encargado del tratamiento, teniendo esta persona total control y poder sobre las decisiones y, por ende, no habría ningún tipo de imparcialidad. Permitir dicha acumulación de funciones implicaría que una misma persona sea juez y parte dentro del proceso de cumplimiento normativo, lo que anularía la objetividad e imparcialidad requeridas para la supervisión y asesoría técnica en materia de protección de datos. Por tanto, el apoderado especial no puede ser designado como DPD, ya que su posición de representación jurídica y su vínculo de dependencia directa con el responsable o encargado del tratamiento generan un conflicto estructural de intereses que vulnera la finalidad y naturaleza del rol del delegado.

Habiéndose analizado las tres figuras planteadas, se concluye que ninguno de los supuestos puede considerarse válido para efectos de nombramiento o designación, en tanto todos incurren en los impedimentos previstos en el artículo 56 del RLOPDP. En consecuencia, si una persona que ejerce o se desempeña en alguno de los cargos mencionados fue designada como DPD antes de la entrada en vigor de la Resolución No. SPDP-SPD-2025-0028-R, dicha designación se considerará inválida y contraria a la LOPDP, al RLOPDP y a la mencionada Resolución.

En ese sentido, la Disposición Transitoria Primera de la Resolución No. SPDP-SPD2025-0028-R, objeto de la presente consulta, no genera excepción alguna ni ampara la validez de las designaciones correspondientes a las tres figuras previamente analizadas, al no ser compatibles con lo dispuesto en la normativa vigente. Por tanto, y en observancia de la Disposición Transitoria Tercera, se recomienda subsanar las designaciones o nombramientos que contravengan lo establecido en los artículos 55 y/o 56 del RLOPDP, así como en la citada Resolución, dentro del plazo previsto para el registro de Delegados de Protección de Datos Personales del sector privado, comprendido entre el 1 de noviembre y el 31 de diciembre de 2025.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio s/n el 8 de agosto de 2025, y debidamente subsanada el 28 de agosto de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente: “Si una persona que ocupa el cargo de Oficial de Cumplimiento, Oficial de seguridad de la información, es apoderado especial de un responsable o encargado extranjero, realiza actividades que implican el tratamiento de datos o brinda asesoría en una empresa fue nombrada como Delegado de Protección de Datos Personales, previo a la expedición de la Resolución No. SPDP-SPD2025-0028-R ¿Puede continuar como Delegado de Protección de Datos Personales de una sociedad conforme lo determina la Disposición Transitoria Primera de la Resolución No. SPDP-SPD-2025-0028-R, sin perjuicio de que el referido delegado se encuentre dentro de las limitaciones y prohibiciones para desarrollar su cargo?”

De acuerdo con el análisis realizado, se evidencia que las funciones desempeñadas por el oficial de cumplimiento, el oficial de seguridad de la información y el apoderado especial se encuentran comprendidas dentro de las causales de impedimento previstas en el artículo 56 del Reglamento a la Ley Orgánica de Protección de Datos Personales. En consecuencia, su designación como Delegados de Protección de Datos Personales resulta contraria tanto a la LOPDP como al propio RLOPDP, independientemente de que dicha designación se haya producido antes o después de la expedición de la Resolución No. SPDP-SPD-2025-0028-R.

Por lo tanto, ninguna persona natural que ejerza alguna de las funciones mencionadas puede continuar desempeñándose como delegado de protección de datos personales. Además, al encontrarse estos cargos comprendidos en los impedimentos establecidos por el RLOPDP, norma vigente desde el año 2023, no les resulta aplicable la disposición transitoria primera de la citada resolución, al no cumplirse las condiciones excepcionales allí previstas.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.

Oficio N° SPDP-IRD-2025-0198-O

Preguntas

“Se solicita a la Autoridad que determine el modo en que una empresa extranjera que trata datos personales de nacionales ecuatorianos, pero sin estar sujeta a un modelo de encargo ni de corresponsabilidad, debe cumplir con la exigencia prevista en el artículo 6, inciso primero, de la Resolución N.° SPDPSPDP-2024-0002-R relativa al registro de apoderados y presentación de un acuerdo de corresponsabilidad o encargo de tratamiento.”

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio s/n el 25 de agosto de 2025, y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:
“Se solicita a la Autoridad que determine el modo en que una empresa extranjera que trata datos personales de nacionales ecuatorianos, pero sin estar sujeta a un modelo de encargo ni de corresponsabilidad, debe cumplir con la exigencia prevista en el artículo 6, inciso primero, de la Resolución N.° SPDPSPDP-2024-0002-R relativa al registro de apoderados y presentación de un acuerdo de corresponsabilidad o encargo de tratamiento.”

En atención a lo expuesto, cuando el responsable del tratamiento se encuentre domiciliado fuera del territorio ecuatoriano y actúe de manera autónoma, sin mantener una relación jurídica que lo vincule como responsable conjunto ni que haya encargado un determinado tratamiento de datos personales, no le será aplicable la obligación prevista en el numeral 1 del artículo 6 de la Resolución No. SPDP-SPD-2024-0002-R, dado que no existe una relación jurídica que sustente la suscripción de un acuerdo de corresponsabilidad o de encargo. No obstante, las demás obligaciones establecidas en el artículo 6 de la mencionada Resolución mantienen su carácter imperativo, por lo que el responsable deberá cumplirlas en su totalidad y, como buena práctica, podrá presentar documentación complementaria que acredite la ejecución de un tratamiento autónomo, diligente y seguro, así como la adopción de medidas de seguridad que garanticen la protección de los datos personales tratados.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales

Oficio N° SPDP-IRD-2025-0225-O

Preguntas

“¿La obligación prevista en el artículo 10, numeral 10?12, del Reglamento del Delegado de Protección de Datos Personales recae exclusivamente sobre las personas jurídicas de derecho privado que cuenten con un título habilitante otorgado por ARCOTEL para la prestación de servicios de telecomunicaciones, conforme a la normativa sectorial de telecomunicaciones?”

Análisis

De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N°SPDP-SPD-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir, como en efecto se emite, la presente absolución de consulta, a nombre y en representación de la SPDP en el siguiente sentido: El numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente: “Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)”(énfasis agregado). En concordancia con el artículo previamente citado, el artículo 4 de la LOPDP establece: “Art.4.- Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones: (…) Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos. Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales. Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.” (énfasis agregado). El artículo 5 de la LOPDP dispone lo siguiente: “Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a: (…) 13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda; (…) 15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia. El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo a la presente Ley y su reglamento.”
El artículo 47 de la LOPDP dispone lo siguiente: “Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a: (…) 13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda; (…) 15) Los demás establecidos en la presente Ley en su reglamento, en directrices, lineamientos, regulaciones emitidas por la Autoridad de Protección de Datos Personales y normativa sobre la materia. El encargado de tratamiento de datos personales tendrá las mismas obligaciones que el responsable de tratamiento de datos personales, en lo que sea aplicable, de acuerdo con la presente Ley y su reglamento.” Asimismo, el artículo 48 de la LOPDP establece lo siguiente: “Art. 48.- Delegado de protección de datos personales.- Se designará un delegado de protección de datos personales en los siguientes casos: 1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República; 2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales; 3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y, 4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia. La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales y emitirá, a dicho efecto, las directrices suficientes para su designación.”(énfasis agregado). En este sentido, el artículo 68 de la LOPDP indica lo siguiente: “Art. 68.- Infracciones graves del Responsable de protección de datos.- Se consideran infracciones graves las siguientes: (…)
12) No designar al delegado de protección de datos personales cuando corresponda; (…)”(énfasis agregado). En esta misma línea, el artículo 48 del RLOPDP dispone: “Art. 48.- Delegado de protección de datos - El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales. Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas. El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado. Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado.” El numeral 12 del artículo 10 del RDPDP, dispone lo siguiente: “Art. 10.- Además de lo establecido en la LOPDP y el RGLOPDP, estarán obligados a designar delegados los responsables o los encargados del tratamiento que tuvieren por objeto o que se dedicaren, de forma habitual, a las siguientes actividades aun cuando no persiguieren fin de lucro:: (…) “10.12. Las personas jurídicas de derecho privado que prestaren servicios de telecomunicaciones.” (énfasis agregado). A efectos de determinar el alcance del término “prestaren servicios de telecomunicaciones”, resulta necesario analizar el régimen jurídico sectorial correspondiente. El artículo 24 y 25 de la Ley Orgánica de Telecomunicaciones (LOT) disponen lo siguiente: “Art. 24.- Obligaciones de los prestadores de servicios de telecomunicaciones. Son deberes de los prestadores de servicios de telecomunicaciones, con independencia del título habilitante del cual se derive tal carácter, los siguientes: (…) Art. 25.- Derechos de los prestadores de servicios de telecomunicaciones. Son derechos de los prestadores de servicios de telecomunicaciones, con independencia del título habilitante del cual se derive tal carácter, los siguientes: (…)” (énfasis agregado). El numeral 4 del artículo 3 del Reglamento a la Ley Orgánica de Telecomunicaciones (RLOT) define: “4. Prestador del servicio del régimen general de telecomunicaciones.- Es la persona natural o jurídica que posee el título habilitante para la prestación del servicio de telecomunicaciones o de los servicios de radiodifusión de señal abierta o por suscripción.” (énfasis agregado). Por su parte, el artículo 13 del RGLOT dispone: “Art. 13.- Títulos habilitantes.- Para la prestación de servicios del régimen general de telecomunicaciones, así como, para el uso o explotación del espectro radioeléctrico, se requiere obtener, en forma previa, un título habilitante otorgado por la ARCOTEL, e inscrito en el Registro Público correspondiente. Los títulos habilitantes se clasifican en: 1. Títulos habilitantes para entidades y empresas públicas.- Para instituciones públicas que no tengan por finalidad la prestación de servicios del régimen general de telecomunicaciones, o para las empresas públicas creadas para la prestación de servicios del régimen general de telecomunicaciones, el título habilitante, inclusive para el uso y explotación del espectro radioeléctrico, será la Autorización. 2. Títulos habilitantes por delegación.- Para empresas de economía mixta en las cuales el Estado ecuatoriano tenga la mayoría accionaria; sociedades y asociaciones constituidas y conformadas por éstas, empresas públicas de propiedad estatal de los países que forman parte de la comunidad internacional; y, demás personas naturales y jurídicas pertenecientes al sector privado y los de la economía popular y solidaria. a. Concesión.- Para servicios tales como telefonía fija y servicio móvil avanzado, radiodifusión sonora, radiodifusión de televisión, así como para cualquier uso y explotación del espectro radioeléctrico y los demás que determine la ARCOTEL. b. Permiso.- Para la prestación de servicios de radiodifusión por suscripción. c. Registro de servicios.- Para la prestación de servicios portadores, operadores de cable submarino, segmento espacial, radioaficionados, valor agregado, de radiocomunicación, redes comunitarias, redes privadas, y actividades de uso privado, espectro para uso determinado en bandas libres y los demás que determine la ARCOTEL.” (énfasis agregado). En concordancia con la normativa previamente citada, se establece que la obligación de designar un Delegado de Protección de Datos Personales (DPD) se encuentra determinada por los criterios previstos en la LOPDP, su Reglamento General y, de manera específica, en la Resolución No. SPDP-SPD-2025-0028-R. Esta última establece lineamientos para garantizar que las organizaciones que desarrollan actividades de tratamiento de datos personales masivos o de alto riesgo cuenten con una figura especializada que vele por el cumplimiento normativo, la gestión de riesgos, la cooperación con la autoridad de control y con los titulares de datos personales.
Para poder dar respuesta a la consulta planteada es fundamental establecer que la aplicación de la norma de protección de datos personales se debe realizar en armonía con las normas vigentes que integran el bloque de constitucionalidad que puedan tener relación en un determinado tratamiento de datos personales. En este sentido es necesario analizar la figura del prestador de servicios de telecomunicaciones, el cual es la figura objeto de la consulta y, a la que se hace referencia expresa en el numeral 12 del artículo 10 del RDPDP. El numeral 4 del artículo 3 de la LOT define como “prestador del servicio del régimen general de telecomunicaciones” a toda persona natural o jurídica que POSEA un título habilitante. Por lo tanto, el RGLOT es claro al determinar que se considera prestador únicamente al sujeto que cumpla con la condicionante de poseer (contar) un título habilitante otorgado por el estado ecuatoriano. A partide de ahí, es necesario establecer la definición y la etimología de la palabra poseer, la cual de acuerdo con la Real Academia de la Lengua Española (RAE) la define como la acción de “[t]ener en su poder algo.” Y, según el Diccionario Etimológico de Chile se menciona que, “[e]l verbo poseer (tener algo bajo su poder) viene del latín posidere, compuesto con potis (poderoso) y sedere (sentarse). De poseer derivamos: Posesión – Acción y efecto de poseer. (…)”. En este sentido, se entiende que para que una persona pueda considerarse prestador del servicio de telecomunicaciones en el territorio ecuatoriano, ésta tiene que cumplir con la acción de tener en su poder el título habilitante correspondiente. Adicionalmente, el artículo 13 del RGLOT recalca que, para la prestación de servicios del régimen general de telecomunicaciones, es necesario obtener de forma previa el título habilitante que es otorgado por la autoridad competente que en este caso es la ARCOTEL y, como condición adicional, se establece que este título debe ser inscrito en el Registro Público correspondiente. En este sentido, para que una persona sea considerada prestador debe obligatoriamente cumplir con las condiciones establecidas por la normativa del sector correspondientes, siendo estas tres. Primero, que posea el título habilitante. Segundo, que sea otorgado por ARCOTEL y, tercero, que sea inscrito en el Registro Público correspondiente que disponga la autoridad competente. Ahora bien, una vez establecido quién es considerado “prestador” por la LOT y el RGLOT, es pertinente analizar lo que establece el RDPDP, para lo cual se realizará un análisis desde lo específico a lo general del artículo 10 del Reglamento previamente referido. En este sentido el numeral 12 del artículo 10 del RDPDP dispone lo siguiente: “[l]as personas jurídicas de derecho privado que prestaren servicios de telecomunicaciones”, es así como la obligación en un primer momento aplica solamente a un grupo de prestadores que entren en la categoría de personas jurídicas y solo de derecho privado, por lo tanto, no aplica a todo el universo de prestadores que establece el RGLOT. Una vez delimitada dicha especificación, es menester resaltar que la obligación utiliza la flexión verbal “prestaren”, la cual se relaciona directamente con la definición de “prestador” establecida en el RGLOT, ya que esta última hace referencia al sujeto y, la palabra utilizada en el RDPDP es el verbo, la acción, que realiza dicho sujeto. Por lo tanto, la obligación de designar un DPD recae solamente en los prestadores de servicio del régimen general de telecomunicaciones que sean personas jurídicas de derecho privado, que posean un título habilitante debidamente otorgado por ARCOTEL y, cumplan con los demás requisitos establecidos por la autoridad de telecomunicaciones correspondiente. Habiendo analizado la parte específica que corresponde al numeral 12 del artículo 10 del RDPDP, es oportuno mencionar que los supuestos contemplados en el artículo previamente consultado se encuentran condicionados a lo establecido en el primer inciso de éste. Es así como se cita el Oficio N° SPDP-IRD-2025-0180-O emitido por esta Autoridad en el cual se pronunció sobre la correcta aplicación del artículo 10 del RDPDP donde se menciona: “(…) se debe realizar un análisis ontológico de su contenido normativo en su totalidad, prestando especial atención a la integralidad del artículo en conjunto con todo el ordenamiento jurídico vigente. En este sentido, resulta pertinente considerar la parte inicial del artículo, que se cita a continuación: “ Art. 10.- Además de lo establecido en la LOPDP y el RGLOPDP, estarán obligados a designar delegados los responsables o los encargados del tratamiento que tuvieren por objeto o que se dedicaren, de forma habitual, a las siguientes actividades aun cuando no persiguieren fin de lucro: (…)” En este sentido, se advierte que existe una obligación de carácter general que surge en la primera parte del artículo antes señalado, es decir, en el texto previamente citado establece el presupuesto normativo general dentro del cual debe aplicarse a todos los numerales descritos en el mismo artículo. Asimismo, se concluye que dicha obligación establece dos condiciones previas necesarias para que resulten aplicables en los supuestos correspondientes a las actividades enunciadas posteriormente en el mismo artículo. Para analizar las condiciones, se procederá a examinar el supuesto objeto de la consulta, correspondiente al numeral 3. En este sentido, la primera condición que se identifica es que el responsable o encargado del tratamiento debe dedicarse a una actividad que implique el tratamiento de datos personales de categorías especiales relacionados con menores de edad. Según la Real Academia Española, en este contexto la expresión “por objeto” funciona como atributo o complemento predicativo, equivalente a “tener como finalidad”. La norma establece que debe “tener por objeto”, lo cual se presenta como opción disyuntiva frente a la segunda parte, que es que el responsable o encargado “se dedicaren” a la actividad. En el ámbito jurídicolingüístico, la expresión “dedicarse a” debe aplicarse conforme a las acepciones de la Real Academia Española, esto es, por un lado, destinar tiempo, recursos o esfuerzos a un fin determinado (acepción 1); y, por otro, ejercer de manera frecuente una actividad u ocupación profesional (acepción 2). En consecuencia, cuando un contrato, estatuto o disposición normativa establece que una persona natural o jurídica “se dedica a” determinada actividad, ello debe entenderse como la orientación estable y continua de su labor hacia un objeto o finalidad específica. Adicionalmente, como segunda condición se establece que esta se aplica únicamente si se cumple o configura la primera, esto es, si se establece que la actividad de tratamiento de datos personales de categorías especiales relacionadas con menores de edad debe realizarse, además de que el responsable o encargado del tratamiento tenga por objeto o se dedique a dicha actividad de manera “habitual”. El mencionado concepto deriva de habitus, vocablo latino que alude a lo que se realiza, tiene o sufre de manera continuada o con frecuencia. En el ámbito jurídico, la habitualidad no se identifica con un hecho aislado ni esporádico, sino con una conducta reiterada y permanente en el tiempo, que otorga a la actividad un carácter estable y reconocible. Tal calificación adquiere relevancia para distinguir entre actos ocasionales y actividades que, por su continuidad y permanencia, configuran un ejercicio profesional, económico o jurídico específico, generando así obligaciones y responsabilidades propias para quien las desarrolla de forma habitual.” Una vez analizada la normativa de telecomunicaciones y de datos personales, y al haberse establecido claramente que para cumplir con la obligación de designar un DPD se entiende como prestador a aquella persona jurídica de derecho privado que posea un título habilitante, esta autoridad entiende la incertidumbre del consultante, la cual se generó a partir de lo establecido en los artículo 24 y 25 de la LOT donde se hace referencia a las obligaciones y derechos de los prestadores con independencia de si tienen o no un título habilitante. A lo cual, esta autoridad entiende que dichos derechos y obligaciones son aplicables y referentes a los administrados frente a la autoridad de telecomunicaciones; sin embargo, en lo que respecta a la materia de protección de datos personales se entiende como prestador, de conformidad con la única definición establecida por la norma de telecomunicaciones que se encuentra en el RGLOT. Empero, se recalca que, si una persona natural o jurídica, pública o privada que no cuente con título habilitante, pero da un servicio de telecomunicaciones o radiodifusión, no incurre en el numeral 12 del artículo 10 del RDPDP, sin perjuicio de que pueda recaer en la obligación de designar un DPD por encuadrase en cualesquiera de los otros presupuestos establecidos en la LOPDP, RGLOPDP o el mismo RDPDP. Finalmente, esta interpretación debe entenderse conforme al principio de especialidad normativa, en armonía con el ordenamiento sectorial de telecomunicaciones, y bajo la competencia de la SPDP.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio s/n del 22 de septiembre de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente: “Las personas jurídicas de derecho privado que presten servicios de telecomunicaciones y se encuentren obligadas a designar un Delegado de Protección de Datos Personales conforme al numeral 10.12 del artículo 10 del Reglamento del Delegado de Protección de Datos Personales, ¿deben contar necesariamente con un título habilitante emitido por la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) para que dicha obligación sea aplicable?” De acuerdo con el análisis realizado, se concluye que el numeral 12 del artículo 10 del Reglamento del Delegado de Protección de Datos Personales se refiere a los prestadores de servicios de telecomunicaciones, cuyo alcance se encuentra definido en el RGLOT. En consecuencia, únicamente las personas jurídicas de derecho privado que posean título habilitante vigente otorgado por la ARCOTEL pueden ser consideradas prestadores de servicios de telecomunicaciones para efectos de la obligación de designar un Delegado de Protección de Datos Personales. Por tanto, las entidades que no cuenten con el respectivo título habilitante, no se encuentran comprendidas dentro del presupuesto normativo previsto en el numeral 12 del artículo 10 del citado reglamento. Sin perjuicio de que, de conformidad con la naturaleza, alcance o volumen de sus actividades de tratamiento de datos personales, puedan estar obligadas a designar un DPD por otras condiciones previstas en la LOPDP, RGLOPDP o RDPDP. Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales. Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales

Oficio N° SPDP-IRD-2025-0241-O

Preguntas

1. ¿Debe interpretarse el artículo 55 del RGLOPDP en el sentido de que el título de tercer nivel en Derecho, Comunicación o TI es excluyente para el ejercicio del DPD, ¿o puede ser cumplido mediante formación profesionalizante reconocida por la SPDP conforme a la DT segunda del mismo reglamento?
2. ¿La Resolución SPDP-SPD-2025-0004-R, que regula el Programa Profesionalizante del DPD, constituye desarrollo técnico de la DT segunda del RGLOPDP, ¿habilitando equivalencias académicas para el cumplimiento del artículo 55?

Análisis

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio S/N del 6 de octubre de 2025 y debidamente subsanada el 22 de octubre de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:
“¿Debe interpretarse el artículo 55 del RGLOPDP en el sentido de que el título de tercer nivel en Derecho Comunicación, o TI es excluyente para el ejercicio del DPD, o puede ser cumplido mediante formación profesionalizante reconocida por la SPDP conforme a la DT segunda del mismo reglamento?
Esta autoridad aclara que ha entendido la pregunta en el sentido que el requisito de los títulos profesionales establecidos en el numeral 3 del artículo 55 del RLOPDP pueden ser remplazados mediante el cumplimiento de un programa profesionalizante reconocido por la SPDP los cuales se fundamentan en la disposición transitoria segunda del RLOPDP. A lo cual se responde, con base en el análisis previo, que el incumplimiento de los requisitos establecidos en el mencionado artículo del RLOPDP, para poder ejercer como DPD, es ilegal; y, el cumplimiento del programa profesionalizante no remplaza el requisito de contar con un título en una de las carreras profesionales establecidas en el RLOPDP, sino que es un requisito adicional que convive de manera armónica con el artículo en cuestión en cumplimiento de la disposición transitoria segunda del mismo cuerpo normativo.
“¿La Resolución SPDP-SPD-2025-0004-R, que regula el Programa Profesionalizante del DPD, constituye desarrollo técnico de la DT segunda del RGLOPDP, ¿habilitando equivalencias académicas para el cumplimiento del artículo 55?”
Respecto a la pregunta formulada, esta Autoridad se abstiene de responderla, por cuanto su contenido es ambiguo y conduce a interpretaciones erróneas.

Oficio N° SPDP-IRD-2025-0246-O

Preguntas

“¿La obligación impuesta por el Consejo de la Judicatura de registrar, conservar e incorporar al protocolo notarial información sensible, incluyendo los códigos dactilares de menores y comparecientes, las huellas dactilares de los comparecientes, así como la imagen facial del notario o de los funcionarios notariales vulnera el principio de minimización y proporcionalidad previsto en el artículo 11 literales e) y f) de la Ley Orgánica de Protección de Datos Personales?”

Análisis

De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPD-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir, como en efecto se emite, la presente absolución de consulta, a nombre y en representación de la SPDP en el siguiente sentido:

El numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:

“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)”(énfasis agregado).

Los artículos 424 y 425 de la CRE determinan:
“Art. 424.- La Constitución es la norma suprema y prevalece sobre cualquier otra del ordenamiento jurídico. Las normas y los actos del poder público deberán mantener conformidad con las disposiciones constitucionales; en caso contrario carecerán de eficacia jurídica.

La Constitución y los tratados internacionales de derechos humanos ratificados por el Estado que reconozcan derechos más favorables a los contenidos en la Constitución, prevalecerán sobre cualquier otra norma jurídica o acto del poder público.

Art. 425.- El orden jerárquico de aplicación de las normas será el siguiente: La Constitución; los tratados y convenios internacionales; las leyes orgánicas; las leyes ordinarias; las normas regionales y las ordenanzas distritales; los decretos y reglamentos; las ordenanzas; los acuerdos y las resoluciones; y los demás actos y decisiones de los poderes públicos.

En caso de conflicto entre normas de distinta jerarquía, la Corte Constitucional, las juezas y jueces, autoridades administrativas y servidoras y servidores públicos, lo resolverán mediante la aplicación de la norma jerárquica superior.
La jerarquía normativa considerará, en lo que corresponda, el principio de competencia, en especial la titularidad de las competencias exclusivas de los gobiernos autónomos descentralizados.”(énfasis agregado).

El artículo 426 de la CRE dispone:

“Art. 426.- Todas las personas, autoridades e instituciones están sujetas a la Constitución. Las juezas y jueces, autoridades administrativas y servidoras y servidores públicos, aplicarán directamente las normas constitucionales y las previstas en los instrumentos internacionales de derechos humanos siempre que sean más favorables a las establecidas en la Constitución, aunque las partes no las invoquen expresamente.

Los derechos consagrados en la Constitución y los instrumentos internacionales de derechos humanos serán de inmediato cumplimiento y aplicación. No podrá alegarse falta de ley o desconocimiento de las normas para justificar la vulneración de los derechos y garantías establecidos en la Constitución, para desechar la acción interpuesta en su defensa, ni para negar el reconocimiento de tales derechos.” (énfasis agregado).

El artículo 4 de la LOPDP dispone lo siguiente:

“Art. 4.- Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones: (…)

Datos sensibles: Datos relativos a: etnia, identidad de género, identidad cultural, religión, ideología, filiación política, pasado judicial, condición migratoria, orientación sexual, salud, datos biométricos, datos genéticos y aquellos cuyo tratamiento indebido pueda dar origen a discriminación, atenten o puedan atentar contra los derechos y libertades fundamentales. (…)”(énfasis agregado).

El artículo 10 de la LOPDP establece los siguientes principios:

“ Art. 10.- Principios.- Sin perjuicio de otros principios establecidos en la Constitución de la República, los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se regirá por los principios de:
d) Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular : no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

e) Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento. f) Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos.” (énfasis agregado).

El artículo 21 de la LOPDP dispone lo siguiente:

“Art. 21.-Derecho de niñas, niños y adolescentes a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas.- Además de los presupuestos establecidos en el derecho a no ser objeto de una decisión basada única o parcialmente en valoraciones automatizadas, no se podrán tratar datos sensibles o datos de niñas, niños y adolescentes a menos que se cuente con la autorización expresa del titular o de su representante legal; o, cuando, dicho tratamiento esté destinado a salvaguardar un interés público esencial, el cual se evalúe en atención a los estándares internacionales de derechos humanos, y como mínimo satisfaga los criterios de legalidad, proporcionalidad y necesidad, y además incluya salvaguardas específicas para proteger los derechos fundamentales de los interesados.

Los adolescentes, en ejercicio progresivo de sus derechos, a partir de los 15 años, podrán otorgar, en calidad de titulares, su consentimiento explícito para el tratamiento de sus datos personales, siempre que se les especifique con claridad sus fines.” (énfasis agregado).

El artículo 25 de la LOPDP dispone:

“(…)Art. 25.- Categorías especiales de datos personales.- Se considerarán categorías especiales de datos personales, los siguientes: a) Datos sensibles;
b) Datos de niñas, niños y adolescentes (…)”(énfasis agregado).

El artículo 26 de la LOPDP indica:

“ Tratamiento de datos sensibles.- Queda prohibido el tratamiento de datos personales sensibles salvo que concurra alguna de las siguientes circunstancias:
a) El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificándose claramente sus fines.
b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad y protección social.
c) El tratamiento es necesario para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento.
d) El tratamiento se refiere a datos personales que el titular ha hecho manifiestamente públicos.
e) El tratamiento se lo realiza por orden de autoridad judicial.
f) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular.
g) Cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la presente Ley.” (énfasis agregado).

El artículo 33 de la LOPDP establece que:

“Art. 33.- Transferencia o comunicación de datos personales.- Los datos personales podrán transferirse o comunicarse a terceros cuando se realice para el cumplimiento de fines directamente relacionados con las funciones legítimas del responsable y del destinatario, cuando la transferencia se encuentre configurada dentro de una de las causales de legitimidad establecidas en esta Ley, y se cuente, además, con el consentimiento del titular.
Se entenderá que el consentimiento es informado cuando para la transferencia o comunicación de datos personales el Responsable del tratamiento haya entregado información suficiente al titular que le permita conocer la finalidad a que se destinarán sus datos y el tipo de actividad del tercero a quien se pretende transferir o comunicar dichos datos.” (énfasis agregado).

El artículo 40 de la LOPDP establece que:
“Art. 40.- Análisis de riesgo, amenazas y vulnerabilidades.- Para el análisis de riesgos, amenazas y vulnerabilidades, el responsable y el encargado del tratamiento de los datos personales deberán utilizar una metodología que considere, entre otras:
1) Las particularidades del tratamiento;
2) Las particularidades de las partes involucradas; y,
3) Las categorías y el volumen de datos personales objeto de tratamiento.”

El artículo 42 de la LOPDP indica lo siguiente:
“Art. 42 .- Evaluación de impacto del tratamiento de datos personales.- El responsable realizará una evaluación de impacto del tratamiento de datos personales cuando se haya identificado la probabilidad de que dicho tratamiento, por su naturaleza, contexto o fines, conlleve un alto riesgo para los derechos y libertades del titular o cuando la Autoridad de Protección de Datos Personales lo requiera.
La evaluación de impacto relativa a la protección de los datos será de carácter obligatoria en caso de:
a) Evaluación sistemática y exhaustiva de aspectos personales de personas físicas que se base en un tratamiento automatizado, como la elaboración de perfiles, y sobre cuya base se tomen decisiones que produzcan efectos jurídicos para las personas naturales;
b) Tratamiento a gran escala de las categorías especiales de datos, o de los datos personales relativos a condenas e infracciones penales, o
c) Observación sistemática a gran escala de una zona de acceso público.
La Autoridad de Protección de Datos Personales establecerá otros tipos de operaciones de tratamiento que requieran una evaluación de impacto relativa a la protección de datos.
La evaluación de impacto deberá efectuarse previo al inicio del tratamiento de datos personales.” (énfasis agregado).

El numeral 9 del artículo 76 de la LOPDP determina que:
“Art. 76.- Funciones atribuciones y facultades.- La Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades:
9) Atender consultas en materia de protección de datos personales” (énfasis agregado).
Para poder realizar un correcto análisis, resulta necesario remitirse al régimen jurídico sectorial correspondiente, en este sentido, el artículo 40 de la Ley Notarial establece:
“Art. 40.- Cualquier persona puede pedir copia o testimonio de la escritura matriz o compulsa de los documentos protocolizados.” (énfasis agregado) Por su parte, la Resolución N° 063-2025 del Pleno del Consejo de la Judicatura expedida el 04 de septiembre de 2025 sobre el Procedimiento Notarial para Tramitar la Autorización de Salida del País de Niños, Niñas y Adolescentes, derogada a través de la Resolución N° 084-2025 del Pleno del Consejo de la Judicatura, disponía:

“Artículo 6.- Procedimiento: Las y los notarios deberán cumplir el siguiente procedimiento:   e) Tomar las huellas dactilares de los comparecientes en el acta notarial, con la finalidad de que las entidades de control migratorio verifiquen la correspondencia e idoneidad.   f) Tomar una fotografía de los comparecientes, con la finalidad de aportar elementos para el proceso de verificación de las entidades de control migratorio.” (énfasis agregado).

Mediante resolución 084-2025 del Pleno del Consejo de la Judicatura expedida el 29 de octubre de 2025, en su artículo único determina:
“Artículo Único.- Derogar la Resolución 063-2025, de 04 de septiembre de 2025, emitida por el Pleno del Consejo de la Judicatura, a través de la cual resolvió: “EXPEDIR EL REGLAMENTO PARA TRAMITAR LA AUTORIZACIÓN DE SALIDA DEL PAÍS DE NIÑOS, NIÑAS Y ADOLESCENTES EN EL SERVICIO NOTARIAL A NIVEL NACIONAL” (énfasis agregado).

En concordancia con la normativa previamente referida, se aclara que la consulta fue presentada cuando la Resolución N° 063- 2025 se encontraba vigente y establecía la obligación de registrar, conservar e incorporar al protocolo notarial datos biométricos y datos sensibles, incluyendo códigos dactilares, huellas dactilares y fotografías faciales. Sin embargo, ésta fue derogada mientras transcurría el tiempo de respuesta a la presente Consulta, por lo tanto, esta autoridad, en el presente análisis no se pronuncia sobre la legalidad de la resolución antes señalada y, actualmente, ya derogada. No obstante aquello, se realizará un análisis de la proporcionalidad de solicitar datos especiales biométricos en la actividad notarial.

Para tal efecto, es necesario mencionar en primer lugar que imponer una obligación de solicitar las huellas dactilares y fotografías de los comparecientes como parte del procedimiento notarial para tramitar la autorización de salida del país de niños, niñas y adolescentes implica en sí mismo una actividad de tratamiento. Al respecto, cabe aclarar que el artículo 4 de la LOPDP establece que dentro de los datos sensibles se encuentran los datos biométricos a los cuales en el mismo artículo los definen como “(…) [d]ato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros (...)” En este sentido, de conformidad con los artículos 25 y 26 de la norma ibídem, tanto la fotografía como las huellas dactilares constituyen datos personales especiales - sensibles de naturaleza biométrica. Al tratarse de información perteneciente a la esfera más íntima de una persona natural, requieren un nivel de protección reforzado, pues cualquier afectación a estos datos podría generar un daño considerablemente mayor.
Ahora bien, al ser considerados datos sensibles de naturaleza biométricos, estos deben cumplir con una de las bases de legitimación establecidas en el artículo 26 el cual establece las siguientes, de manera taxativa:

“a) El titular haya dado su consentimiento explícito para el tratamiento de sus datos personales, especificándose claramente sus fines. b) El tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del titular en el ámbito del Derecho laboral y de la seguridad y protección social. c) El tratamiento es necesario para proteger intereses vitales del titular o de otra persona natural, en el supuesto de que el titular no esté capacitado, física o jurídicamente, para dar su consentimiento. d) El tratamiento se refiere a datos personales que el titular ha hecho manifiestamente públicos. e) El tratamiento se lo realiza por orden de autoridad judicial. f) El tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del titular. g) Cuando el tratamiento de los datos de salud se sujete a las disposiciones contenidas en la presente Ley.” (énfasis agregado).

Es así que, en la consulta presentada, la única base de legitimación aplicable sería el consentimiento.
En concordancia con lo previamente mencionado el numeral 19 del artículo 66 de la CRE reconoce a todas las personas el derecho de protección de datos personales, el cual se menciona que para que sean debidamente tratados, esto es que estén legitimados, deberá solicitarse el consentimiento o el tratamiento deberá estar autorizado en una Ley. En este sentido, como se ha citado anteriormente la LOPDP establece en su artículo 26 las bases de legitimación por las cuales se puede tratar datos personales sensibles. En este mismo sentido, los artículos 424 y 425 de la CRE establece que toda la normativa que constituye el bloque de constitucionalidad debe ser armónica, para lo cual se establece una jerarquía normativa. Es así como la Ley Notarial debe entenderse en armonía con la LOPDP y, toda la normativa secundaria que emane de ésta deberá respetar la LOPDP, teniendo en cuenta que ésta última goza de mayor jerarquía normativa.   Adicionalmente, en caso de involucrar datos de niñas, niños y adolescentes, los cuales también constituyen categorías especiales de datos personales conforme a lo dispuesto en el artículo 25 de la LOPDP, habría que tener en consideración que se estarían tratando datos personales sensibles sumamente delicados ya que hay un tipo de acumulación en la especialidad de los datos tratados debido a que en una primera instancia serían especiales, en segunda instancia serían sensibles de naturaleza biométrica y en tercera instancia serían de menores de edad, lo que suma un nivel extremadamente alto de protección. A su vez, el artículo 21 del mismo cuerpo normativo establece que no se podrán tratar datos sensibles ni datos de niñas, niños y adolescentes sin la autorización expresa del titular o de su representante legal, o sin acreditar un interés público esencial acompañado de criterios de legalidad, necesidad, proporcionalidad y salvaguardas específicas. En este sentido, todo tratamiento de datos personales debe cumplir con toda las obligaciones establecidas en la LOPDP, entre estos todos los principios reconocidos en la normativa y, en el tratamiento de datos personales especiales de naturaleza biométrica, ya sean de menores de edad o de titulares de datos mayores de edad, debe evaluarse con especial relevancia los principios de finalidad, pertinencia y minimización de datos personales, proporcionalidad del tratamiento y seguridad de datos personales, los cuales se detallan a continuación. < En primer lugar, el principio de finalidad adquiere un carácter determinante en el tratamiento de datos biométricos, pues este tipo de información, al estar vinculada de manera inseparable con la identidad física del titular, no puede emplearse con propósitos amplios, indeterminados o susceptibles de reinterpretación futura. En consecuencia, el responsable del tratamiento debe definir de manera estricta y verificable para qué serán utilizados los datos biométricos, asegurando que tales fines sean legítimos y coherentes con la expectativa razonable del titular al momento de su recolección. Cualquier desviación o intento de reutilización para propósitos distintos sin una nueva justificación legal implicaría una afectación desproporcionada al derecho a la protección de datos personales, dada la imposibilidad del titular de sustituir o revocar elementos biométricos comprometidos.
En relación con el principio de pertinencia y minimización de datos personales, su observancia es aún más rigurosa cuando se trata de datos sensibles. Esto implica que únicamente se deben recopilar y tratar aquellos datos biométricos estrictamente indispensables para alcanzar la finalidad definida, excluyendo toda información adicional que no aporte valor operativo real. La minimización actúa como una salvaguarda frente a la recopilación excesiva o indiscriminada, evitando la construcción de bases de datos biométricos innecesarias que aumenten la superficie de riesgo para los titulares. En este sentido, el responsable debe justificar objetivamente la elección del dato biométrico empleado y demostrar que no existe un método menos intrusivo que permita cumplir la misma finalidad.
Por su parte, el principio de proporcionalidad del tratamiento exige que la utilización de datos biométricos sea adecuada y equilibrada respecto del propósito que se pretende alcanzar. Esto implica evaluar si el uso de esta categoría especial de datos resulta indispensable o si, por el contrario, existen mecanismos alternativos que permitan cumplir el objetivo sin comprometer información tan sensible. La proporcionalidad funciona, como un criterio de ponderación que evita la adopción de medidas excesivas o invasivas, especialmente cuando se trata del tratamiento de datos de menores de edad o de grupos en situación de vulnerabilidad, en quienes la protección reforzada debe ser aún mayor.
Finalmente, el principio de seguridad de los datos personales exige la implementación de medidas de seguridad físicas, administrativas, organizativas, legales y técnicas robustas que sean acordes con el nivel de sensibilidad de los datos especiales tratados. Debido a que esta información, una vez comprometida, no puede ser modificada ni reemplazada por el titular, el nivel de protección requerido es significativamente más alto que en el tratamiento de datos ordinarios. El responsable debe garantizar mecanismos de cifrado, controles de acceso estrictos, trazabilidad de las operaciones de tratamiento, segmentación de bases de datos y medidas preventivas frente a riesgos asociados a filtraciones, accesos indebidos o vulneraciones. El incumplimiento de este principio no solo expone al titular a un daño irreversible, sino que además incrementa de manera sustancial las consecuencias jurídicas para el responsable del tratamiento.

A partir de estos principios, se observa que todo tratamiento de datos personales tiene la obligación de realizar un análisis de riesgos de acuerdo con el artículo 40 de la LOPDP y al tratar datos personales especiales- sensibles de naturaleza biométrica sería recomendable que se realice una evaluación de impacto debido a que existe un riesgo elevado al tratar datos extremadamente sensibles, esto de acuerdo con el artículo 42 de la LOPDP.

En consecuencia, de lo analizado anteriormente se concluye que todo tratamiento de datos personales y, de manera específica, aquellos que involucren datos personales especiales deben cumplir estrictamente con los estándares establecidos en la LOPDP. Ello implica contar con una base de legitimación válida, observar rigurosamente los principios de la LOPDP y elaborar un análisis de riesgos, así como una evaluación de impacto cuando corresponda. Asimismo, para habilitar un tratamiento legítimo de datos biométricos y otros datos sensibles, particularmente cuando involucran información de niñas, niños y adolescentes, es indispensable aplicar las medidas de seguridad más robustas y estrictas, en atención al alto nivel de sensibilidad de la información tratada.

Del mismo modo, se destaca que el derecho a la protección de datos personales constituye un derecho fundamental reconocido en la CRE y desarrollado en la LOPDP. En virtud de ello, toda normativa que forma parte del bloque de constitucionalidad debe respetar y garantizar lo dispuesto en dicho marco jurídico. En consecuencia, ningún tratamiento de datos personales puede considerarse legítimo basándose únicamente en disposiciones contenidas en resoluciones que no tienen rango de ley. Por tanto, todo tratamiento deberá sustentarse necesariamente en una de las bases de legitimación previstas en los artículos 7 y 26 de la LOPDP, según corresponda.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio N° CNP- HVM-2025-00034 del 14 de octubre de 2025, recibido el 15 de octubre de 2025 y debidamente subsanado mediante oficio N° CNP-P-HVM-2025-00047 del 19 de noviembre de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“¿La obligación impuesta por el Consejo de la Judicatura de registrar, conservar e incorporar al protocolo notarial información sensible, incluyendo los códigos dactilares de menores y comparecientes, las huellas dactilares de los comparecientes, así como la imagen facial del notario o de los funcionarios notariales vulnera el principio de minimización y proporcionalidad previsto en el artículo 11 literales e) y f) de la Ley Orgánica de Protección de Datos Personales?”

Con base en el análisis efectuado, esta Intendencia determina que no se puede pronunciar sobre la legalidad de una norma derogada, sobre la cual se realizó la consulta específica ya que la misma y por ende sus obligaciones están fuera del ordenamiento jurídico vigente. Sin embargo, esta autoridad sí puede pronunciarse, y en dicho sentido, así lo hace, respecto a la necesidad de cumplimiento obligatorio de los principios de la LOPDP, la obligación de contar con una base de legitimación de tratamiento, la obligación de realizar un análisis de riesgos y una evaluación de impacto, en TODOS los tratamientos de datos personales especiales, sensibles de naturaleza biométrica e implementar todas las medidas de seguridad de categoría tecnológica, organizativa, administrativa, legal y física que correspondan para garantizar la integridad, disponibilidad y confidencialidad de la información y, aun con mayor rigurosidad en caso de que los datos tratados pertenezcan a niños, niñas y adolescentes.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.

Oficio N° SPDP-IRD-2025-0262-O

Preguntas

1. ¿El requisito previsto en el artículo 11 de la Resolución N.º SPDP-SPD-2025-0028-R, esto es, aprobar obligatoriamente el Programa Profesionalizante de Delegados de Protección de Datos Personales aplica también a profesionales que ya cuentan con maestrías, posgrados o certificaciones nacionales o internacionales en protección de datos personales reconocidos por la SENESCYT?, De ser así ¿tales acreditaciones podrían ser consideradas equivalentes a efectos de cumplir con dicho requisito?

2. ¿La acreditación de “experiencia profesional de al menos cinco años” se refiere exclusivamente a experiencia en materia de protección de datos personales o comprende la experiencia profesional general en las áreas habilitadas por la norma (Derecho, Sistemas de Información, Comunicación o Tecnologías)?

3. ¿El requisito previsto en el artículo 11 de la Resolución N.º SPDP-SPD-2025-0028-R, relativo a la obligación de aprobar el Programa Profesionalizante de Delegados de Protección de Datos, resulta igualmente exigible al Delegado de Protección de Datos Internacional (DPD Internacional, no residente en Ecuador), o pueden considerarse equivalentes, para efectos de esta obligación, las certificaciones, títulos universitarios, posgrados o maestrías internacionales en protección de datos personales reconocidos por la SENESCYT?

4. ¿Los responsables o encargados del tratamiento que han designado a un Delegado de Protección de Datos Internacional (no residente en Ecuador) están sujetos al mismo plazo de registro del nombramiento previsto en la Disposición Transitoria Tercera de la Resolución N.º SPDP-SPD-2025-0028-R?

5. ¿En los casos en que se ha designado a un Delegado de Protección de Datos Internacional, el registro del nombramiento, exigido en la Disposición Transitoria Tercera, debe ser realizado exclusivamente por el apoderado especial domiciliado en Ecuador, o también puede el propio responsable, encargado o delegado extranjero efectuar dicho registro de manera directa y virtual a través del portal institucional de la SPDP?

Análisis

De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R, y en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir la presente absolución de consulta a nombre y en representación de la SPDP en el siguiente sentido:

El numeral 19 del artículo 66 Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales mediante lo siguiente:

“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).

Asimismo, el artículo 226 de la CRE determina:

“Art. 226.- Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley.” (énfasis agregado).

El artículo 4 de la LOPDP dispone lo siguiente:

“Art. 4.- Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:

Autoridad de Protección de Datos Personales: Autoridad pública independiente encargada de supervisar la aplicación de la presente Ley, reglamento y resoluciones que ella dicte, con el fin de proteger los derechos y libertades fundamentales de las personas naturales, en cuanto al tratamiento de sus datos personales(…)

Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.” (énfasis agregado).

El artículo 23 de la LOPDP dispone lo siguiente:

“Art. 23. Derecho a la educación digital.- Las personas tienen derecho al acceso y disponibilidad del conocimiento, aprendizaje, preparación, estudio, formación, capacitación, enseñanza e instrucción relacionados con el uso y manejo adecuado, sano, constructivo, seguro y responsable de las tecnologías de la información y comunicación, en estricto apego a la dignidad e integridad humana; los derechos fundamentales y libertades individuales con especial énfasis en la intimidad, la vida privada, autodeterminación informativa, identidad y reputación en línea, ciudadanía digital y el derecho a la protección de datos personales, así como promover una cultura sensibilizada en el derecho de protección de datos personales.

El derecho a la educación digital tendrá un carácter inclusivo sobre todo en lo que respecta a las personas con necesidades educativas especiales.

El sistema educativo nacional, incluyendo el sistema de educación superior, garantizará la educación digital no solo a favor de los estudiantes de todos los niveles sino también de los docentes, debiendo incluir dicha temática en su proceso de formación.” (énfasis agregado).

El numeral 13 del artículo 47 de la LOPDP, en su parte pertinente insta lo siguiente:

“Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a:(…)

13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda; (…)” (énfasis agregado).

El artículo 48 de la LOPDP prevé lo siguiente:

“Art. 48.- Delegado de protección de datos personales.- Se designará un delegado de protección de datos personales en los siguientes casos:

1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;

2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;

3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y,

4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.

La Autoridad de Protección de Datos Personales podrá definir nuevas condiciones en las que deba designarse un Delegado de Protección de Datos Personales y emitirá, a dicho efecto, las directrices suficientes para su designación” (énfasis agregado).

El numeral 3 del artículo 50 de la LOPDP dispone lo siguiente:

“Art. 50.- Consideraciones especiales para el delegado de protección de datos personales.- Para la ejecución de las funciones del delegado de protección de datos, el responsable y el encargado de tratamiento de datos personales, deberán observar lo siguiente:(…)

3) Capacitar y actualizar en la materia al delegado de protección de datos personales, de conformidad con la normativa técnica que emita la Autoridad de Protección de Datos Personales; (…)” (énfasis agregado).

El numeral 5 del artículo 76 de la LOPDP señala:

“Art. 76.- Funciones atribuciones y facultades.- La Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la presente Ley y en su reglamento de aplicación, para lo cual le corresponde las siguientes funciones, atribuciones y facultades: (…)

5) Emitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales”. (énfasis agregado).

El artículo 48 del RLOPDP, expone que:

“Art. 48.- Delegado de protección de datos - El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.

Podrá realizar otras actividades relacionadas con la protección de datos personales que le sean encomendadas por el responsable, siempre que no supongan o exijan del delegado una preparación diversa ni exista un conflicto con las responsabilidades previamente adquiridas.

El delegado de protección de datos personales desempeñará sus funciones de manera profesional, con total independencia del responsable y del encargado del tratamiento de datos personales, quienes estarán obligados a facilitar la asistencia, recursos y elementos que les sea oportunamente requeridos para garantizar el cumplimiento de los deberes, funciones y responsabilidades a cargo del delegado.

Sin perjuicio de lo que disponga la Ley y este Reglamento, corresponderá a la Autoridad de Protección de Datos Personales emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado”. (énfasis agregado).

En concordancia, el artículo 55 del RLOPDP establece lo siguiente:

“Art. 55.- Requisitos para ser delegado.- Sin perjuicio de otros requisitos que establezca la Autoridad de Protección de Datos Personales, para ser delegado de protección de datos personales, se requerirá:

1. Estar en goce de los derechos políticos;

2. Ser mayor de edad;

3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y,

4. Acreditar experiencia profesional de por lo menos cinco años.” (énfasis agregado).

La Disposición Transitoria Segunda del RLOPDP, establece lo siguiente:

“SEGUNDA.- En el plazo máximo de un (1) año, contado a partir de la fecha de implementación y funcionamiento de la Superintendencia de Protección de Datos Personales, esta coordinará y llevará a cabo capacitaciones técnicas y cursos de formación dirigidos al público en general, orientados a promover el ejercicio del derecho a la protección de datos personales y a la profesionalización de los delegados de protección de datos personales. Para tal efecto, podrá celebrar alianzas con instituciones de educación superior con experiencia en la materia, así como con organizaciones especializadas que promuevan la protección de datos personales.” (énfasis agregado).

En cumplimiento de la Disposición Transitoria Segunda, la SPDP emitió la Resolución N° SPDP-SPD-2025-0004-R, el 29 de abril del 2025 y publicada en Registro Oficial N° 42 de 20 de mayo del 2025, donde se aprobó el Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales la cual en su artículo 1 instituye que:

“Art. 1.- Aprobar el Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales, a fin de garantizar que los profesionales que fueren o se encontraren ya designados por los responsables y encargados del tratamiento, ejecuten las funciones establecidas en la LOPDP de manera proactiva y adecuada en cautela a los principios, derechos y obligaciones establecidos en el ordenamiento jurídico vigente.” (énfasis agregado).

El artículo 2 ídem, dispone que:

“Art. 2.- Los delegados de protección de datos personales, para cumplir las funciones que les asigna la LOPDP, deberán contar con cualificaciones en derecho, sistemas y en tecnologías de la información y comunicación, en aras de garantizar la tutela del derecho a la protección de datos personales”. (énfasis agregado).

En este sentido la Resolución N° SPDP-SPD-2025-0028-R, expedida el 30 de julio del 2025 y publicada en Registro Oficial N° 105 de 19 de agosto del 2025, que aprueba el Reglamento del Delegado de Protección de Datos Personales, en su artículo 3 precisa:

“Art. 3.- El delegado deberá ser designado por quien tuviere la calidad de responsable o, según corresponda, por quien tuviere el rol de encargado del tratamiento, esto es:

3.1. Por la persona natural, ya sea por sí misma o ya fuere representada por un apoderado especial;

3.2. Por la persona jurídica de derecho privado, a través de su representante legal o apoderado debidamente autorizado; o,

3.3. Por la persona jurídica de derecho público, autoridad pública u otro organismo, representada por la máxima autoridad que ejerciere la representación legal.

En este reglamento el responsable o el encargado podrán ser también aludidos, de manera indistinta, como “organización”.” (énfasis agregado).

El artículo 11 de la Resolución N° SPDP-SPD-2025-0028-R, prevé que:

“Art. 11.- El delegado, además de los requisitos establecidos en el RGLOPDP, para desempeñar sus funciones deberá cumplir y aprobar, en forma obligatoria, el contenido mínimo de formación del Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP.” (énfasis agregado).

La Disposición Reformatoria Primera de la Resolución N° SPDP-SPD-2025-0028-R, prescribe lo siguiente:

“Primera.- En la resolución N° SPDP-SPD-2025-0004-R publicada en Registro Oficial N° 42 del 20 de mayo del 2025, mediante la cual se aprobó el Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales, agréguense los siguientes artículos a continuación del artículo 3: (…)

Art. 5.- La IRD, en representación de la SPDP y en ejercicio de sus funciones y competencias, mediante acto administrativo, una vez cumplidos los requisitos establecidos y previo informe técnico favorable emitido para el efecto,
5.1. Autorizará la propuesta de programa profesionalizante de delegados de protección de datos personales presentada por la institución de educación, una vez que se hubiere acreditado la implementación los contenidos del Anexo I; y,

5.2. Otorgará, para dicho programa, el reconocimiento institucional oficial de la Superintendencia de Protección de Datos Personales. (…)

Art. 7.- Las instituciones de educación superior cuyos programas profesionalizantes de delegados de protección de datos personales fueren debidamente aprobados, estarán autorizadas para promocionar el reconocimiento concedido por la SPDP (…)” . (énfasis agregado).

La Disposición Transitoria Tercera de la Resolución SPDP-SPD-2025-0028-R manifiesta:

“Tercera.- Los responsables o los encargados del tratamiento de datos personales del sector privado que, de conformidad con la LOPDP y el RGLOPDP, deban contar con un delegado, deberán realizar la inscripción de sus respectivos delegados para así cumplir lo que se encuentra establecido en el artículo 5. Para ello, los responsables o los encargados podrán registrar los nombramientos de sus delegados de manera física, electrónica y/o digital ante la SPDP desde el 1 de noviembre y hasta el 31 de diciembre del 2025. El incumplimiento del registro por parte de los responsables o los encargados del tratamiento pertenecientes al sector privado, dentro del plazo señalado, será considerado como una falta de cumplimiento de medidas de seguridad de carácter jurídico, de acuerdo con la LOPDP”. (énfasis agregado).

La Resolución N° SPDP-SPDP-2024-0002-R, expedida el 6 de septiembre del 2024 y publicada en Tercer Registro Oficial Suplemento de 19 agosto 2024, que aprueba la Guía Técnica obligatoria para el Registro de los Apoderados Especiales de responsables, conjuntos o no, y encargados extranjeros que realicen actividades de tratamiento de datos personales en la República del Ecuador, que en el inciso primero del artículo 2 manda lo siguiente:

“Art. 2.- Designación de apoderado especial.- Los sujetos regulados deberán tener en el territorio, de manera permanente, un apoderado especial con amplias y suficientes facultades para comparecer, a nombre de sus representados, ante instancias administrativas y judiciales en materia de protección de datos personales; y, de manera señalada aunque no exclusiva, para atender y tramitar o, en su caso, para colaborar en el cumplimiento de la obligación de atender y tramitar las peticiones o quejas que presenten los titulares en ejercicio de los derechos que la LOPDP les confiere. (…)” (énfasis agregado).

El régimen jurídico ecuatoriano en protección de datos personales comprende la LOPDP, el RGLOPDP, y la normativa secundaria expedida por la SPDP, las cuales prevén su aplicación de manera armónica y conforme a derecho. Respecto a la primera pregunta, el delegado de protección de datos personales (“DPD”) por mandato legal prevé funciones, requisitos y prohibiciones que, garantizan que el profesional que detente o fuere a detentar el cargo, lo ejecute y proceda adecuadamente.

No obstante, la SPDP en el marco de las funciones, atribuciones y facultades establecidas en el artículo 76 de la LOPDP, es competente para emitir normativa general en garantía al ejercicio del derecho a la protección de datos personales, así como siempre que lo determine la Ley, está facultada para regular requisitos complementarios, los cuales deberán cumplirse de manera obligatoria, según corresponda.

Por consiguiente, esta autoridad mediante Resolución N° SPDP-SPD-2025-0028-R, específicamente en su artículo 11, dispone que los delegados de protección de datos personales obligatoriamente deberán cursar y aprobar el programa profesionalizante, requisito complementario a los establecidos en el artículo 55 del RGLOPDP, el cual tiene por objeto garantizar que los profesionales que ejerzan las funciones previstas en la LOPDP, su Reglamento General y la normativa secundaria expedida por la SPDP lo hagan de manera proactiva y adecuada y que, además, cuenten con las cualificaciones necesarias en derecho, sistemas y tecnologías de la información y comunicación, a fin de salvaguardar los principios, derechos y obligaciones en materia de protección de datos personales, de conformidad con lo dispuesto en los artículos 1 y 2 de la Resolución N° SPDP-SPD-2025-0004-R.

Con base en lo anterior, el requisito relacionado con la aprobación del programa profesionalizante es obligatorio para toda persona natural que aspire detentar o detente el cargo de delegado de protección de datos personales. Por lo que, este requisito no incluye a las maestrías, posgrados o certificaciones nacionales o internacionales que el profesional haya aprobado, sino garantiza la cualificación específica del profesional conforme con lo dispuesto en el artículo 11 de la Resolución N° SPDP-SDP-2025-0028-R.

Por otro lado, las maestrías, posgrados o certificaciones nacionales o internacionales en protección de datos personales aprobadas por los administrados y reconocidas por el Ministerio de Educación, Deporte y Cultura[1], a la luz de la Resolución N° SPDP-SPD-2025-0028-R, no prevén un procedimiento de homologación y/o equivalencia, ya que para ejercer el cargo de delegado protección de datos personales, es requisito aprobar el programa profesionalizante establecido por la SPDP en la Resolución N° SPDP-SPD-2025-0004-R con base en lo mencionado en los párrafos precedentes.

Sin perjuicio de anterior, el requisito de aprobar el programa profesionalizante aplica inclusive a todos los profesionales que ya aprobaron maestrías, posgrados o certificaciones en protección de datos personales, sean nacionales o internacionales, ya que estas acreditaciones, por sí solas, no pueden considerarse como un equivalente al requisito previamente analizado. En este sentido cabe mencionar que, el artículo 55 del RGLOPDP establece como uno de los requisitos para ser DPD el “(...) [t]ener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; (...)” , el cual es un requisito independiente del establecido en el artículo 11 de la Resolución N° SPDP-SPD-2025-0028-R.

En atención a la segunda pregunta , es importante traer a colación lo previsto en el art. 55 del RGLOPDP, el cual determina los requisitos que fundan el perfil para ser DPD, no obstante, en el marco de lo consultado, destaca el requisito establecido en el numeral 4 del mencionado artículo, respecto a la acreditación de experiencia profesional de por lo menos cinco (5) años por parte de la persona natural que detentare o detente el cargo en mención. En este sentido, el perfil profesional del DPD prevé un requisito académico, que exige título de tercer nivel en áreas del conocimiento tales como: derecho, sistemas de información, de comunicación, o de tecnologías, y otro requisito de experiencia profesional que, demanda un período mínimo de ejercicio de la profesión sin especificar un subcampo temático concreto dentro de esas áreas.

En este sentido, ambos requisitos operan de manera complementaria, por un lado, la formación académica prevé la especialización de los conocimientos teóricos técnico-jurídicos de una de las materias específicas previamente mencionadas las cuales dan un perfil apto para que una persona pueda tener los conocimientos necesarios para ser DPD. Mientras que la experiencia profesional garantiza la aplicación práctica de los conocimientos adquiridos de manera teórica en casos concretos, aplicando soluciones viables requeridas en situaciones reales. Es así que, la acreditación profesional de los cinco (5) años de experiencia no es en protección de datos personales, sino en una de las materias reconocidas en el numeral 3 del artículo 55 del RGLOPDP, contadas a partir de la obtención del título profesional de tercer nivel, en aplicación coherente y armónica del todos los requisitos establecidos en el artículo previamente referido.

En contexto de la tercera pregunta, el régimen jurídico ecuatoriano en protección de datos personales no establece excepcionalidades o determina un régimen diferenciado para las funciones, requisitos y prohibiciones del DPD que no residan en la República del Ecuador, por lo tanto, este profesional sea nacional o internacional deberá cumplir con lo dispuesto en la LOPDP, el RGLOPDP y la normativa secundaria expedida por la SPDP. Por consiguiente, la Resolución N° SPDP-SPD-2025-0028-R en su parte pertinente y de forma obligatoria dispone que todos los DPD deberán cursar y aprobar el programa profesionalizante impartido por una de las instituciones de educación superior debidamente autorizada, esto en atención a que el régimen jurídico en la materia no es excluyente y debe ser aplicado a todas las personas naturales que detentaren o detenten el cargo.

Por otra parte, la Resolución N° SPDP-SPD-2025-0004-R dispone que el programa profesionalizante de delegados de protección de datos personales es un mecanismo que garantiza la cualificación del profesional, a fin de que éste posea conocimientos técnico-jurídicos en derecho, sistemas y en tecnologías de la información y comunicación, y así ejerza las funciones establecidas en la LOPDP, el RGLOPDP y la normativa secundaria expedida por la SPDP, de manera proactiva y diligente.

En consecuencia, las certificaciones, títulos universitarios, de posgrado o de maestrías internacionales en materia de protección de datos personales, aun cuando se encuentren debidamente reconocidos por el Ministerio de Educación, Cultura y Deporte, no constituyen un reemplazo del requisito objeto de análisis previsto en la Resolución N° SPDP-SPD-2025-0004-R ni en la Resolución N° SPDP-SPD-2025-0028-R. En tal sentido, el hecho de que un DPD resida fuera de la República del Ecuador o tenga nacionalidad extranjera no altera ni exonera el cumplimiento de dicho requisito. En este contexto, conforme se ha señalado en la respuesta a la primera pregunta formulada, el título de tercer nivel constituye un requisito expresamente establecido en el artículo 55 del RGLOPDP. Adicionalmente, esta autoridad, en ejercicio de su potestad normativa, ha previsto un requisito adicional y complementario en el artículo 11 de la Resolución N° SPDP-SPD-2025-0028-R, aplicable a toda persona que aspire a desempeñar la función de DPD.

En relación con la cuarta pregunta, la Resolución N° SPDP-SPD-2025-0028-R, en su Disposición Transitoria Tercera, establece que los responsables y encargados del tratamiento deben proceder al registro del nombramiento del DPD dentro del plazo señalado, es decir, hasta el 31 de diciembre de 2025. Este plazo es de cumplimiento obligatorio para TODOS los sujetos regulados. La disposición mencionada, en su redacción literal, no establece un régimen especial para el registro del DPD, ya que el plazo indicado es aplicable de manera uniforme a todos los sujetos regulados, sin hacer distinción alguna basada en la nacionalidad. En consecuencia, los responsables y encargados del tratamiento deberán registrar al DPD dentro del plazo previsto. En caso de incumplimiento, dicho hecho será considerado como una infracción a las medidas de seguridad de carácter jurídico, conforme a lo dispuesto en la LOPDP.

Por último, en referencia a la quinta pregunta, la Resolución N° SPDP-SPD-2025-0028-R determina específicamente en su artículo 5 que los sujetos obligados para realizar el registro de delegado de protección de datos personales ante la SPDP son los responsables del tratamiento y los encargados del tratamiento, estos podrán tener la calidad de representante legal o haber atribuido la facultad de registro a un apoderado especial, ya sea a través de un poder general o especial, siempre y cuando esté debidamente otorgado. Por lo tanto, el responsable de tratamiento directamente o a través de su apoderado, siempre y cuando se le hayan otorgado dichas funciones y cuente con las facultades representativas suficientes que permitan actuar a nombre y en representación del responsable o encargado, podrán registrar el nombramiento dentro del plazo previsto conforme el procedimiento previsto en la Resolución N° SPDP-SPD-2025-0028-R al DPD.

En paralelo, la Resolución N° SPDP-SPD-2025-0028-R determina que el registro del delegado de protección de datos personales podrá realizarse de manera digital mediante el portal web institucional o física, siempre que el nombramiento hubiese sido emitido en soporte papel con firmas manuscritas, por lo tanto, los responsables o encargados del tratamiento que no residan en la República del Ecuador, podrán realizar el registro del profesional en mención de manera digital, en el aplicativo implementado por la SPDP para el cumplimiento de la obligación.

En consecuencia, la normativa en protección de datos personales permite que el nombramiento del delegado de protección de datos personales sea registrado tanto por los responsables o encargados del tratamiento como también por el apoderado especial, siempre y cuando se ejecute cabalmente el procedimiento establecido en el artículo 3 y dentro del plazo establecido en la Disposición Transitoria Tercera establecidos en la Resolución N° SPDP-SPF-2025-0028-R.

Finalmente, la LOPDP, el RGLOPDP, y la normativa secundaria, no permite que el DPD sea quien registre su nombramiento ante la SPDP, puesto que sus funciones son de asesoría y supervisión, pues en ningún momento puede actuar a nombre del representante o encargado, así como de cooperación con la autoridad de control, no obstante, la designación y el registro del nombramiento, le corresponde a los responsables y encargados del tratamiento de conformidad con lo establecido en el régimen normativo vigente en protección de datos personales, sin perjuicio de ésta facultad se le atribuya al apoderado especial debidamente designado.

[1] Decreto Ejecutivo N° 100 expedido el 15 de agosto del 2025 y publicado en Tercer Suplemento Registro Oficial N° 105 de 19 de agosto del 2025, fusionó determinadas instituciones del Estado, entre ellas, la Secretaría de Educación Superior, Ciencia, Tecnología e Innovación.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio S/N del 21 de octubre de 2025 y debidamente subsanada el 19 de noviembre de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“¿El requisito previsto en el artículo 11 de la Resolución N.º SPDP-SPD-2025-0028-R, esto es, aprobar obligatoriamente el Programa Profesionalizante de Delegados de Protección de Datos Personales aplica también a profesionales que ya cuentan con maestrías, posgrados o certificaciones nacionales o internacionales en protección de datos personales reconocidos por la SENESCYT?, De ser así ¿tales acreditaciones podrían ser consideradas equivalentes a efectos de cumplir con dicho requisito?

Esta autoridad en el contexto del artículo 11 de la Resolución N° SPDP-SPD-2025-0028-R, determina que es obligatorio que el delegado de protección de datos personales curse y apruebe el programa profesionalizante, el cual constituye un requisito distinto y adicional a los establecidos en el artículo 55 del RGLOPDP, buscando asegurar que los profesionales que ostenten el cargo de DPD tengan los conocimientos necesarios y sólidos requeridos para que ejerzan las funciones establecidas en la LOPDP, el RGLOPDP y la normativa secundaria expedida por la SPDP de manera proactiva y diligente, tomando en consideración que el perfil del DPD tiene dos esferas principales, la legal y la técnica, las cuales, normalmente, en un título de tercer nivel no van de la mano, por lo que se busca profesionalizar al DPD y completar los conocimientos que requiera ya sean legales o técnicos dependiendo del título de tercer nivel que posea.

El requisito de aprobación del programa profesionalizante es aplicable a toda persona natural que aspire o detente el cargo de delegado de protección de datos personales, con independencia de su formación académica de tercer nivel establecida en el ordenamiento jurídico vigente. No obstante, las maestrías, posgrados o certificaciones, sean nacionales o internacionales, no se consideran equivalentes, ni se ha determinado un procedimiento de homologación y/o equivalencia para estas acreditaciones a la luz de la Resolución N° SPDP-SPD-2025-0028-R. Por lo tanto, la aprobación del programa profesionalizante es un requisito obligatorio, incluso para los profesionales que ya cuenten con otras certificaciones en la materia.

“¿La acreditación de “experiencia profesional de al menos cinco años” se refiere exclusivamente a experiencia en materia de protección de datos personales o comprende la experiencia profesional general en las áreas habilitadas por la norma (Derecho, Sistemas de Información, Comunicación o Tecnologías)?”

Oficio N° SPDP-IRD-2025-0277-O

Preguntas

Solicitamos a su autoridad inteligencie sobre la aplicación del artículo 12 de la Resolución N° SPDP-SPD-2025-0028-R y si el mismo debe entenderse como si las personas jurídicas cuyo objeto social esté relacionado con servicios jurídicos o servicios relacionados con sistemas de la información, de comunicación, o tecnologías, pueden brindar el servicio de delegado de protección de datos, mediante personas naturales que tengan relación de dependencia o no con ellas.

Análisis

De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N°SPDP-SPD-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir, como en efecto se emite, la presente absolución de consulta, a nombre y en representación de la SPDP en el siguiente sentido:

El numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:

“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)”(énfasis agregado).

El artículo 76 numeral 3 de la CRE dispone:

“Art. 76.- En todo proceso en el que se determinen derechos y obligaciones de cualquier orden, se asegurará el derecho al debido proceso que incluirá las siguientes garantías básicas (…)

3. Nadie podrá ser juzgado ni sancionado por un acto u omisión que, al momento de cometerse, no esté tipificado en la ley como infracción penal, administrativa o de otra naturaleza; ni se le aplicará una sanción no prevista por la Constitución o la ley. Sólo se podrá juzgar a una persona ante un juez o autoridad competente y con observancia del trámite propio de cada procedimiento.(…)”

El artículo 82 de la CRE dispone:

“Art. 82.-El derecho a la seguridad jurídica se fundamenta en el respeto a la Constitución y en la existencia de normas jurídicas previas, claras, públicas y aplicadas por las autoridades competentes”

Asimismo, el artículo 226 de la CRE determina: 

“Art. 226.- Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley.” (énfasis agregado). 

Los artículos 424 y 425 de la CRE determinan: “Art. 424.- La Constitución es la norma suprema y prevalece sobre cualquier otra del ordenamiento jurídico. Las normas y los actos del poder público deberán mantener conformidad con las disposiciones constitucionales; en caso contrario carecerán de eficacia jurídica.

La Constitución y los tratados internacionales de derechos humanos ratificados por el Estado que reconozcan derechos más favorables a los contenidos en la Constitución, prevalecerán sobre cualquier otra norma jurídica o acto del poder público. Art. 425.- El orden jerárquico de aplicación de las normas será el siguiente: La Constitución; los tratados y convenios internacionales; las leyes orgánicas; las leyes ordinarias; las normas regionales y las ordenanzas distritales; los decretos y reglamentos; las ordenanzas; los acuerdos y las resoluciones; y los demás actos y decisiones de los poderes públicos.

En caso de conflicto entre normas de distinta jerarquía, la Corte Constitucional, las juezas y jueces, autoridades administrativas y servidoras y servidores públicos, lo resolverán mediante la aplicación de la norma jerárquica superior.

La jerarquía normativa considerará, en lo que corresponda, el principio de competencia, en especial la titularidad de las competencias exclusivas de los gobiernos autónomos descentralizados.” (énfasis agregado).

El artículo 426 de la CRE dispone:

“Art. 426.- Todas las personas, autoridades e instituciones están sujetas a la Constitución. Las juezas y jueces, autoridades administrativas y servidoras y servidores públicos, aplicarán directamente las normas constitucionales y las previstas en los instrumentos internacionales de derechos humanos siempre que sean más favorables a las establecidas en la Constitución, aunque las partes no las invoquen expresamente.

Los derechos consagrados en la Constitución y los instrumentos internacionales de derechos humanos serán de inmediato cumplimiento y aplicación. No podrá alegarse falta de ley o desconocimiento de las normas para justificar la vulneración de los derechos y garantías establecidos en la Constitución, para desechar la acción interpuesta en su defensa, ni para negar el reconocimiento de tales derechos.” (énfasis agregado).

El artículo 4 de la LOPDP determina lo siguiente:

“Art. 4.- Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:

Delegado de protección de datos: Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos. (…)”.

En concordancia con el artículo previamente citado, el artículo 5 establece:

“Art. 5.- Integrantes del sistema de protección de datos personales.- Son parte del sistema de protección de datos personales, los siguientes: 

1) Titular; 

2) Responsable del tratamiento; 

3) Encargado del tratamiento; 

4) Destinatario; 

5) Autoridad de Protección de Datos Personales; y, 

6) Delegado de protección de datos personales.” (énfasis agregado). 

El artículo 47 de la LOPDP determina:

“Art. 47.- Obligaciones del responsable y encargado del tratamiento de datos personales.- El responsable del tratamiento de datos personales está obligado a: (…)

13) Designar al Delegado de Protección de Datos Personales, en los casos que corresponda;” (énfasis agregado). 

Por su parte el Reglamento General de la Ley Orgánica de Protección de Datos Personales (RGLOPDP) en su artículo 48 determina:

“Art. 48 .- Delegado de protección de datos - El delegado de protección de datos personales es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.” (énfasis agregado).

El artículo 55 del Reglamento establece:

“Art. 55 .- Requisitos para ser delegado.- Sin perjuicio de otros requisitos que establezca la Autoridad de Protección de Datos Personales, para ser delegado de protección de datos personales, se requerirá:

1. Estar en goce de los derechos políticos;

2. Ser mayor de edad;

3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y,

4. Acreditar experiencia profesional de por lo menos cinco años.” (énfasis agregado).

El artículo 49 habla de las funciones del delegado y determina:

 ”Art. 49.- Funciones del delegado de protección de datos personales.- El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones: 1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales; 2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales; 3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación; 4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y, 5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales. En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.” (énfasis agregado).

En cumplimiento de dicha disposición, la SPDP expidió la Resolución N° SPDP-SPD 2025-0028-R, expedida el 30 de julio del 2025 y publicada en Registro Oficial N° 105 de 19 de agosto del 2025, que aprueba el Reglamento del Delegado de Protección de Datos Personales, en su artículo 3 determina:

“Art. 3.- El delegado deberá ser designado por quien tuviere la calidad de responsable o, según corresponda, por quien tuviere el rol de encargado del tratamiento, esto es:  
3.1. Por la persona natural, ya sea por sí misma o ya fuere representada por un apoderado especial; 
3.2. Por la persona jurídica de derecho privado, a través de su representante legal o apoderado debidamente autorizado; o,  
3.3. Por la persona jurídica de derecho público, autoridad pública u otro organismo, representada por la máxima autoridad que ejerciere la representación legal.  
En este reglamento el responsable o el encargado podrán ser también aludidos, de manera indistinta, como “organización”.

El artículo 11 ibídem prevé que:

“Art. 11.- El delegado, además de los requisitos establecidos en el RGLOPDP, para desempeñar sus funciones deberá cumplir y aprobar, en forma obligatoria, el contenido mínimo de formación del Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP” (énfasis agregado).

El artículo 12 de la misma Resolución determina que:

“Art. 12.- Incluso si prestare sus servicios bajo relación de dependencia, el delegado deberá mantener total independencia e imparcialidad en el ejercicio de sus funciones. No obstante, los responsables o los encargados del tratamiento podrán contar con el servicio de delegados mediante la suscripción de contratos de prestación de servicios técnicos especializados, así como contratar servicios de soporte, asesoría, implementación y/o consultoría en materia de protección de datos personales con personas jurídicas de derecho privado domiciliadas en la República del Ecuador.” (énfasis agregado).

En concordancia con la normativa previamente referida, el Consultante solicita el inteligenciamiento del artículo 12 de la Resolución N° SPDP-SPD-2025-0028-R, a fin de determinar si dicha disposición permite que personas jurídicas de derecho privado cuyo objeto social esté relacionado con servicios jurídicos o con sistemas de información, comunicación o tecnología, pueden brindar el servicio de delegado de protección de datos personales (“DPD”) a través de sus trabajadores.

En este sentido, el análisis que se desarrolla a continuación se orienta a analizar el alcance del artículo 12, diferenciando entre la forma de contratación del DPD, reservada a personas naturales, y la prestación de servicios de soporte, asesoría, implementación o consultoría en materia de protección de datos personales por parte de personas jurídicas, conforme a la LOPDP, su Reglamento General y la normativa secundaria aplicable. Una vez clarificado el alcance del articulo objeto de inteligenciamiento de la presente consulta, se procederá a subsumir su aplicación a la pregunta realizada.

En el sistema ecuatoriano de protección de datos personales, la figura del DPD constituye un mecanismo estructural de garantía del derecho fundamental a la protección de datos, cuya finalidad es asegurar que las obligaciones previstas en la normativa de protección de datos personales no se limiten a una observancia meramente formal, sino que se integren de manera efectiva y permanente en la gestión del responsable y encargado del tratamiento de datos personales. Esta finalidad se refleja en la definición contenida en el artículo 4 de la LOPDP, que concibe al DPD como una persona natural encargada de informar al responsable o al encargado del tratamiento, según haya sido contratado, sobre sus obligaciones legales en materia de protección de datos. La configuración del DPD como persona natural busca que las funciones que le son asignadas tengan un responsable de llevarlas a cabo y ejecutarlas. Estas funciones exigen el ejercicio de criterio técnico, autonomía de actuación, responsabilidad individual y una interlocución directa y efectiva tanto con el responsable y encargado del tratamiento como con la SPDP.

Asimismo, el artículo 49 de la LOPDP delimita las funciones y atribuciones del DPD como un rol eminentemente técnico, preventivo y de supervisión, orientado a garantizar la correcta aplicación del marco normativo en materia de protección de datos personales. En este sentido, el DPD debe asesorar al responsable, a su personal y al encargado del tratamiento respecto del cumplimiento de la LOPDP, el RGLOPDP y la normativa emitida por la SPDP, supervisar el cumplimiento efectivo de dichas disposiciones, asesorar en la identificación y gestión de riesgos, así como en la evaluación de impacto y de las medidas de seguridad, vigilar su adecuada aplicación, y cooperar con la SPSP, actuando como punto de contacto institucional en lo relativo a las actividades de tratamiento. Estas funciones podrán ampliarse en atención a las categorías especiales de datos personales que se traten, y su inobservancia genera responsabilidad administrativa, civil y penal, en caso de que corresponda.

Habiéndose señalado las funciones del DPD, es menester establecer la naturaleza y una característica sustancial del DPD, la cual corresponde a su independencia. En este sentido, el artículo 48 del RGLOPDP, establece que el DPD debe ejercer sus funciones de asesorar, velar y supervisar de manera independiente respecto de las obligaciones asignadas por la normativa al responsable y del encargado del tratamiento. Esta independencia garantiza que el DPD pueda tener la libertad necesaria en su accionar para identificar riesgos, advertir incumplimientos y formular recomendaciones técnicas sin verse atado a intereses personales, organizacionales, comerciales o estratégicos.

Con base en las funciones previamente mencionadas que tiene el DPD y, precisamente por la especialidad de sus funciones, se exige que el DPD cumpla con requisitos profesionales específicos, previstos en el artículo 55 del RGLOPDP, los cuales corresponden a que la persona designada debe encontrarse en goce de sus derechos políticos, ser mayor de edad, contar con un título de tercer nivel en derecho, sistemas de información, comunicación o tecnologías, y acreditar una experiencia profesional mínima de cinco años. Estos requisitos buscan asegurar que el DPD cuente con la idoneidad técnica, jurídica y profesional necesaria para desempeñar sus funciones con un alto nivel. A esto se suma la obligación establecida en el artículo 11 de la Resolución N° SPDP-SPD-2025-0028-R, que impone la aprobación obligatoria del Programa Profesionalizante de DPD, como mecanismo para garantizar un estándar mínimo homogéneo de conocimientos técnicos y jurídicos, requisito el cual entrará en vigencia en enero del 2029.

Ahora bien, habiéndose establecido las funciones y la naturaleza del DPD, resulta un imposible jurídico que una persona jurídica pueda ejercer directamente la función de DPD por el mero hecho de ser una persona jurídica. En consecuencia, la interpretación sistemática de la LOPDP, su Reglamento General y la Resolución N° SPDP-SPD-2025-0028-R conduce a concluir que la función del DPD se encuentra reservada de manera exclusiva a personas naturales, en atención a la naturaleza de las funciones asignadas, a los requisitos profesionales exigidos y al régimen de independencia y responsabilidad que caracteriza a esta figura dentro del sistema ecuatoriano de protección de datos personales.

Una vez determinada la función de DPD y su naturaleza, corresponde analizar el alcance del artículo 12 de la Resolución N° SPDP-SPD-2025-0028-R, a fin de establecer de qué manera las personas jurídicas de derecho privado pueden intervenir legítimamente en el sistema de cumplimiento en materia de protección de datos personales, sin desnaturalizar la figura del DPD. El artículo 12 está compuesto por dos oraciones, en los cuales se contemplan tres nociones, por lo que para un mejor análisis de cada una de éstas es necesario separar las tres. En este sentido la primera noción se identifica en la primera oración, la cual menciona lo siguiente:

“Incluso si prestare sus servicios bajo relación de dependencia, el delegado deberá mantener total independencia e imparcialidad en el ejercicio de sus funciones. (...)”

En la cita previamente referida se hace alusión a que un responsable o encargado del tratamiento puede contratar un DPD bajo relación de dependencia, esto es bajo un contrato que se rige por el Código de Trabajo por lo que surgirá inevitablemente una relación de subordinación entre el trabajador y el empleador. Sin embargo, se recalca que en caso de que se contrate un DPD bajo dicha modalidad se deberá garantizar la característica esencial de la mencionada figura la cual es la independencia, como se ha analizado anteriormente.

La segunda oración del artículo citado contiene dos nociones, para lo cual a continuación se desglosa la oración y se cita solamente la primera premisa:

“(…) No obstante, los responsables o los encargados del tratamiento podrán contar con el servicio de delegados mediante la suscripción de contratos de prestación de servicios técnicos especializados, (…)”

Como se evidencia en la cita previa, ésta a diferencia de la primera oración del artículo, presupone la posibilidad de que el responsable o encargado del tratamiento de datos personales pueda contratar el DPD por servicios profesionales, esto es bajo la figura de servicios profesionales a través de la facturación respetiva, sin relación de dependencia. En este sentido, el artículo da la flexibilidad necesaria para que se contrate a un DPD dependiendo de las necesidades de cada responsable o encargado del tratamiento según su giro de negocio.

Finalmente, el artículo 12 contempla una última noción la cual se transcribe a continuación:
“(…) así como contratar servicios de soporte, asesoría, implementación y/o consultoría en materia de protección de datos personales con personas jurídicas de derecho privado domiciliadas en la República del Ecuador.”

La idea plasmada en el texto referido establece que el responsable o encargado del tratamiento puedan contratar servicios de soporte, asesoría, implementación y/o consultoría en caso de que lo consideren necesario, toda vez que es facultativo no obligatorio; sin embargo, al dar la norma la posibilidad de que se contrate la implementación, el servicio es distinto a las funciones y rol del DPD. Adicionalmente, a que, en esta última premisa planteada, se hace referencia expresa a “personas jurídicas”, por lo tanto, sería un despropósito asumir que esta noción hace referencia a las actividades propias de los DPD, ya que sería expresamente contraria a la LOPDP y el RGLOPDP. En este sentido, el artículo 12 no confiere a ninguna persona jurídica la calidad de DPD, ni les transfiere ni pueden asumir las funciones propias de esta figura. Por el contrario, lo que habilita es la participación de personas jurídicas en actividades de carácter instrumental y de apoyo, orientadas a fortalecer la capacidad técnica, jurídica u organizativa del responsable o encargado del tratamiento.

Es así que personas jurídicas cuyo objeto social esté relacionado con servicios jurídicos o servicios relacionados con sistemas de la información, de comunicación, o de tecnología pueden ofertar los servicios de un DPD, que puede estar bajo su relación de dependencia o no, siempre y cuando cumpla con las condiciones previstas en la normativa de protección de datos personales, especialmente respecto del instrumento jurídico que lo vincula al responsable o encargado del tratamiento previsto en el artículo 12 de la Resolución SPDP-SPD-2025-0028-R.

Cabe destacar que, frente a esta autoridad de protección de datos personales y los titulares de datos personales, el DPD que se inscriba como tal para un responsable o encargado del tratamiento es plenamente responsable de sus acciones u omisiones y responderá de manera personal en caso de incumplimiento en instancias civiles, penales y administrativas según corresponda. En NINGUN CASO, la persona natural, dependiente o no vinculada a una persona jurídica, que haya optado por prestar sus servicios como DPD podrá eximirse o eludir su responsabilidad aludiendo que actuó en nombre de la persona jurídica para quien trabaja.

En este sentido, la normativa permite que el DPD una persona natural actúe de manera externa al responsable del tratamiento, bajo un contrato de prestación de servicios profesionales celebrado directamente con dicho responsable, sin que exista vínculo alguno con una persona jurídica intermediaria. De igual forma, el DPD puede ser una persona natural que mantenga una relación de dependencia con una persona jurídica que presta servicios de soporte, asesoría, implementación o consultoría en materia de protección de datos personales, siempre que dicha relación no comprometa la independencia funcional del DPD ni habilite a la persona jurídica a incidir en sus decisiones, criterios técnicos o funciones de supervisión.

En ambos supuestos, lo jurídicamente relevante no es la modalidad contractual ni la existencia de una relación laboral o civil, sino el respeto efectivo de la autonomía del DPD en el ejercicio de sus funciones, la ausencia de conflictos de interés y la preservación de su rol como garante del cumplimiento normativo y punto de contacto con la Autoridad de Protección de Datos Personales. En consecuencia, la persona jurídica que presta servicios de apoyo no puede dirigir, condicionar, revisar ni sustituir las decisiones del DPD, ni asumir directa o indirectamente las funciones que la normativa reserva de manera exclusiva para el mismo.

Adicionalmente, la referencia a “personas jurídicas de derecho privado” contenida en el artículo 12 no introduce restricciones vinculadas al objeto social, al sector económico o al giro de negocio de dichas entidades. La norma no condiciona que la persona jurídica tenga un objeto social específico ni establece categorías diferenciadas entre estudios jurídicos, empresas tecnológicas u otras formas societarias. Esta ausencia de limitaciones debe interpretarse conforme al principio de legalidad y seguridad jurídica consagrados en los artículos 76 numeral 3 y 82 de la Constitución de la República del Ecuador, en virtud de los cuales, en el ámbito privado, no pueden imponerse restricciones, prohibiciones o exigencias que no se encuentren expresamente previstas en la norma.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio S/N del 23 de octubre de 2025 y debidamente subsanada el 18 de noviembre de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente: 

“Solicitamos a su autoridad inteligencie sobre la aplicación del artículo 12 de la Resolución N° SPDP-SPD-2025-0028-R y si el mismo debe entenderse como si las personas jurídicas cuyo objeto social esté relacionado con servicios jurídicos o servicios relacionados con sistemas de la información, de comunicación, o tecnologías, pueden brindar el servicio de delegado de protección de datos, mediante personas naturales que tengan relación de dependencia o no con ellas.”

Al respecto, esta autoridad determina que la función de DPD se encuentra reservada de manera exclusiva a personas naturales, en atención a la naturaleza personalísima de sus funciones, a los requisitos profesionales exigidos por la normativa vigente y al régimen de independencia y responsabilidad que caracteriza a dicha figura dentro del sistema ecuatoriano de protección de datos personales. En consecuencia, una persona jurídica no puede ejercer directamente la función de DPD ni asumir las atribuciones que la normativa asigna a esta figura.

No obstante, el artículo 12 de la Resolución N° SPDP-SPD-2025-0028-R habilita expresamente a las personas jurídicas de derecho privado domiciliadas en la República del Ecuador a prestar servicios de soporte, asesoría, implementación y/o consultoría en materia de protección de datos personales, sin que dicha habilitación se encuentre condicionada al objeto social, al sector económico o al giro de negocio de la entidad prestadora. En este marco, dichas personas jurídicas pueden brindar servicio de DPD a través de personas naturales que mantengan o no una relación de dependencia con ellas, siempre que dichas personas que funjan como DPD sean personas naturales y cumplan con las funciones y obligaciones que establece la normativa de protección de datos personales para dicha figura.

Cabe destacar que, frente a la SPDP y los titulares de datos personales, el DPD que se inscriba como tal para un responsable o encargado del tratamiento es plenamente responsable de su actuar y responderá de manera personal en caso de incumplimiento en instancias civiles, penales y administrativas según corresponda y, en NINGUN CASO la persona natural, dependiente o no vinculada a una persona jurídica, que haya optado por prestar sus servicios como DPD puede eximirse de responsabilidad alegando que actuó en representación de la persona jurídica para la que quien trabaja.

Este presente pronunciamiento constituye una opinión técnica emitida en el marco de la atención de consultas y debe ser entendido conforme a los antecedentes y al análisis desarrollado en el presente oficio. No tiene carácter vinculante ni limita el ejercicio de las facultades de supervisión, control y sanción atribuidas a la Superintendencia de Protección de Datos Personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales. 

Oficio N° SPDP-IRD-2025-0279-O

Preguntas

“Sobre la base del artículo 14 de la Resolución N°SPDP-SPD-2025-0028-R, que señala, “el delegado se limitara a supervisar al responsable, al personal del responsable o al encargado del tratamiento para que ejecuten de manera correcta, el procedimiento de atención de las solicitudes para el ejercicio de derechos que fueren presentados por los titulares respecto de sus datos personales, de conformidad con lo establecido en la normativa vigente” ¿El Delegado de Protección de Datos Personales, puede ser custodio de las contraseñas de las bases de Datos de la Institución?”

Análisis

Pronunciamiento

Oficio N° SPDP-IRD-2026-0001-O

Consulta

¿Es jurídicamente procedente que el tratamiento de datos personales consistente en la captación de imágenes mediante sistemas de videovigilancia, implementados por una entidad pública como el Benemérito Cuerpo de Bomberos de Machala para fines de seguridad institucional y protección de personas, se legitime en la base prevista en el artículo 7, numeral 4 de la Ley Orgánica de Protección de Datos Personales, relativa al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable? (…)

Consulta (reformulada):

Conforme al artículo 12 de la LOPDP, ¿puede considerarse que la colocación de señalética informativa visible en zonas videovigiladas constituye un mecanismo válido para garantizar el derecho a la información de los titulares de datos personales, sin que ello implique que la Superintendencia defina contenidos específicos no regulados, sino en cuanto a la interpretación general del alcance del principio de información? (…)

Consulta:

¿Cuál es la correcta interpretación y aplicación de los principios de proporcionalidad y de pertinencia y minimización de datos, previstos en el artículo 10, literales e y f de la LOPDP, en relación con la definición de las ubicaciones de cámaras de videovigilancia dentro de instalaciones públicas? (…)

Consulta (reformulada):

Con base en el principio de conservación de datos personales previsto en el artículo 10, literal i de la LOPDP, ¿cómo debe interpretarse el criterio de que los datos personales no sean conservados por un plazo mayor al necesario para cumplir la finalidad del tratamiento, en el contexto de sistemas de videovigilancia implementados por entidades públicas?”

Análisis

ANÁLISIS

De conformidad con lo dispuesto en el numeral 9 del primer inciso del artículo 10 de la Resolución N° SPDP-SPDP-2024-0001-R que aprobó el Estatuto de Arranque de la SPDP y, en ejercicio de la competencia administrativa delegada a la Intendencia General de Regulación de Protección de Datos Personales, establecida en el literal c del artículo 4 de la Resolución N° SPDP-SPD-2025-0001-R, se procede a emitir como en efecto se emite la presente absolución de consulta a nombre y en representación de la SPDP en el siguiente sentido:

El numeral 19 del artículo 66 Constitución de la República del Ecuador (“CRE”) reconoce el derecho a la protección de datos personales estableciendo lo siguiente:

“Art. 66.- Se reconoce y garantizará a las personas: (…) 19. El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley (…)” (énfasis agregado).

Asimismo, los artículos 225 y 226 de la CRE establece:

“Art. 425.- El orden jerárquico de aplicación de las normas será el siguiente: La Constitución; los tratados y convenios internacionales; las leyes orgánicas; las leyes ordinarias; las normas regionales y las ordenanzas distritales; los decretos y reglamentos; las ordenanzas; los acuerdos y las resoluciones; y los demás actos y decisiones de los poderes públicos.

En caso de conflicto entre normas de distinta jerarquía, la Corte Constitucional, las juezas y jueces, autoridades administrativas y servidoras y servidores públicos, lo resolverán mediante la aplicación de la norma jerárquica superior.

La jerarquía normativa considerará, en lo que corresponda, el principio de competencia, en especial la titularidad de las competencias exclusivas de los gobiernos autónomos descentralizados.

Art. 226.- Las instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos y las personas que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley.” (énfasis agregado).

El artículo 4 de la LOPDP define lo siguiente:

“Términos y definiciones.- Para los efectos de la aplicación de la presente Ley se establecen las siguientes definiciones:

Dato biométrico: Dato personal único, relativo a las características físicas o fisiológicas, o conductas de una persona natural que permita o confirme la identificación única de dicha persona, como imágenes faciales o datos dactiloscópicos, entre otros. (…)

Dato personal: Dato que identifica o hace identificable a una persona natural, directa o indirectamente. (…)

Encargado del tratamiento de datos personales: Persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente con otros trate datos personales a nombre y por cuenta de un responsable de tratamiento de datos personales. (…)

Responsable de tratamiento de datos personales: persona natural o jurídica, pública o privada, autoridad pública, u otro organismo, que solo o conjuntamente con otros decide sobre la finalidad y el tratamiento de datos personales.” (énfasis agregado).

El artículo 7 de la LOPDP se establece lo siguiente:

“Art. 7.- Tratamiento legítimo de datos personas (sic).- El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:

1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;

2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;

3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente Ley;

4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;

5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;

6) Para proteger intereses vitales del interesado o de otra persona natural, como su vida, salud o integridad;

7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,

8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.” (énfasis agregado).

El artículo 10 de la LOPDP dispone lo siguiente:

“Principios.- Sin perjuicio de otros principios establecidos en la Constitución de la República, los instrumentos internacionales ratificados por el Estado u otras normas jurídicas, la presente Ley se regirá por los principios de:

a) Juridicidad.- Los datos personales deben tratarse con estricto apego y cumplimiento a los principios, derechos y obligaciones establecidas en la Constitución, los instrumentos internacionales, la presente Ley, su Reglamento y la demás normativa y jurisprudencia aplicable.

b) Lealtad.- El tratamiento de datos personales deberá ser leal, por lo que para los titulares debe quedar claro que se están recogiendo, utilizando, consultando o tratando de otra manera, datos personales que les conciernen, así como las formas en que dichos datos son o serán tratados.

En ningún caso los datos personales podrán ser tratados a través de medios o para fines, ilícitos o desleales.

c) Transparencia.- El tratamiento de datos personales deberá ser transparente, por lo que toda información o comunicación relativa a este tratamiento deberá ser fácilmente accesible y fácil de entender y se deberá utilizar un lenguaje sencillo y claro.

Las relaciones derivadas del tratamiento de datos personales deben ser transparentes y se rigen en función de las disposiciones contenidas en la presente Ley, su reglamento y demás normativa atinente a la materia.

d) Finalidad.- Las finalidades del tratamiento deberán ser determinadas, explícitas, legítimas y comunicadas al titular: no podrán tratarse datos personales con fines distintos para los cuales fueron recopilados, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta Ley.

El tratamiento de datos personales con fines distintos de aquellos para los que hayan sido recogidos inicialmente solo debe permitirse cuando sea compatible con los fines de su recogida inicial. Para ello, habrá de considerarse el contexto en el que se recogieron los datos, la información facilitada al titular en ese proceso y, en particular, las expectativas razonables del titular basadas en su relación con el responsable en cuanto a su uso posterior, la naturaleza de los datos personales, las consecuencias para los titulares del tratamiento ulterior previsto y la existencia de garantías adecuadas tanto en la operación de tratamiento original como en la operación de tratamiento ulterior prevista.

e) Pertinencia y minimización de datos personales.- Los datos personales deben ser pertinentes y estar limitados a lo estrictamente necesario para el cumplimiento de la finalidad del tratamiento.

f) Proporcionalidad del tratamiento.- El tratamiento debe ser adecuado, necesario, oportuno, relevante y no excesivo con relación a las finalidades para las cuales hayan sido recogidos o a la naturaleza misma, de las categorías especiales de datos. (…)

l) Aplicación favorable al titular.- En caso de duda sobre el alcance de las disposiciones del ordenamiento jurídico o contractuales, aplicables a la protección de datos personales, los funcionarios judiciales y administrativos las interpretarán y aplicarán en el sentido más favorable al titular de dichos datos.(…)”(énfasis agregado).

El artículo 12 de la LOPDP indica:

“Art. 12.- Derecho a la información.- El titular de datos personales tiene derecho a ser informado conforme los principios de lealtad y transparente por cualquier medio sobre:

1) Los fines del tratamiento;
2) La base legal para el tratamiento;
3) Tipos de tratamiento;
4) Tiempo de conservación;
5) La existencia de una base de datos en la que constan sus datos personales;
6) El origen de los datos personales cuando no se hayan obtenido directamente del titular;
7) Otras finalidades y tratamientos ulteriores;
8) Identidad y datos de contacto del responsable del tratamiento de datos personales, que incluirá: dirección del domicilio legal, número de teléfono y correo electrónico;
9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico;
10) Las transferencias o comunicaciones, nacionales o internacionales, de datos personales que pretenda realizar, incluyendo los destinatarios y sus clases, así como las finalidades que motivan la realización de estas y las garantías de protección establecidas;
11) Las consecuencias para el titular de los datos personales de su entrega o negativa a ello;
12) El efecto de suministrar datos personales erróneos o inexactos;
13) La posibilidad de revocar el consentimiento;
14) La existencia y forma en que pueden hacerse efectivos sus derechos de acceso, eliminación, rectificación y actualización, oposición, anulación, limitación del tratamiento y a no ser objeto de una decisión basada únicamente en valoraciones automatizadas.
15) Los mecanismos para hacer efectivo su derecho a la portabilidad, cuando el titular lo solicite;
16) Dónde y cómo realizar sus reclamos ante el responsable del tratamiento de datos personales y la Autoridad de Protección de Datos Personales, y;
17) La existencia de valoraciones y decisiones automatizadas, incluida la elaboración de perfiles.
En el caso que los datos se obtengan directamente del titular, la información deberá ser comunicada de forma previa a este, es decir, en el momento mismo de la recogida del dato personal.
Cuando los datos personales no se obtuvieren de forma directa del titular o fueren obtenidos de una fuente accesible al público, el titular deberá ser informado dentro de los siguientes treinta (30) días o al momento de la primera comunicación con el titular, cualquiera de las dos circunstancias que ocurra primero. Se le deberá proporcionar información expresa, inequívoca, transparente, inteligible, concisa, precisa y sin barreras técnicas.
La información proporcionada al titular podrá transmitirse de cualquier modo comprobable en un lenguaje claro, sencillo y de fácil comprensión, de preferencia propendiendo a que pueda ser accesible en la lengua de su elección.
En el caso de productos o servicios dirigidos, utilizados o que pudieran ser utilizados por niñas, niños y adolescentes, la información a la que hace referencia el presente artículo será proporcionada a su representante legal conforme a lo dispuesto en la presente Ley.”
El artículo 7 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) dispone lo siguiente:

“Art. 7.-Tratamiento legítimo.- Para efectos del correcto tratamiento de datos personales, se considerará lo siguiente:

1. Cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos: Se entenderá que el tratamiento de datos personales está basado en el cumplimiento de una misión realizada en interés público o en ejercicio de poderes públicos, debidamente motivado y de acuerdo con los principios establecidos en la Ley, cuando la competencia correspondiente esté atribuida en una norma con rango de ley.
El tratamiento de datos personales realizado sobre esta base legitimadora deberá observar lo siguiente:
a. Los tipos de datos objeto del tratamiento;
b. Los titulares o interesados afectados;
c. Las entidades a las que se pueden comunicar datos personales y los fines de tal comunicación;
d. La limitación de la finalidad:
e. Los plazos de conservación de los datos, así como las operaciones y los procedimientos del tratamiento, incluidas las medidas para garantizar un tratamiento lícito y equitativo.
El tratamiento de datos personales bajo esta base legitimadora deberá cumplir un objetivo de interés público y ser proporcional al fin legítimo perseguido. (…)”

El artículo 8 del RGLOPDP dispone lo siguiente:

“Art. 8.- Plazos de conservación de los datos personales.- Los plazos de conservación de los datos personales no deberán exceder aquéllos que sean estrictamente necesarios para el cumplimiento de las finalidades que justificaron el tratamiento.

La Autoridad de Protección de Datos regulará los plazos de conservación de datos personales atendiendo las disposiciones aplicables a la materia de que se trate.

Art. 9.- Eliminación, bloqueo o anonimización.- Una vez cumplida la o las finalidades del tratamiento y cuando no exista disposición legal o reglamentaria o no incurra la necesidad de mantener los datos en virtud del interés legítimo del responsable, o por cumplimiento de una obligación legal que establezca lo contrario, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos en su posesión.

El responsable establecerá procedimientos para la conservación, revisión periódica, eliminación de los datos personales.(…)” (énfasis agregado).

Asimismo, el artículo 11 RGLOPDP establece lo siguiente:

“Art. 11.-Eliminación de datos.- Finalizado el plazo de conservación de los datos, el responsable del tratamiento de datos deberá proceder a la eliminación segura de los mismos.

La eliminación de datos personales no aplicará cuando el tratamiento sea necesario en los siguientes supuestos:

1. Por razones de interés público en el ámbito de la salud pública y privada, así como en materia estatal, seguridad, laboral y educación:

2. Para la formulación, el ejercicio o la defensa de reclamaciones.

La Autoridad de Protección de Datos Personales podrá requerir información cuando lo considere necesario. Para el efecto, ajustará los requerimientos a normas, lineamientos sobre plazo de conservación y estándares internacionales sobre la eliminación de datos.” (énfasis agregado).

La resolución Nº SPDP-SPD-2025-0041-R suscrita y vigente desde el 07 de noviembre de 2025 la cual emite la Normativa General para la Aplicación del Interés Legítimo como Base de Legitimación para el Tratamiento de Datos Personales Dentro del Territorio de la República del Ecuador, en su artículo 3.1 menciona lo siguiente:

“Art. 3.- Las palabras enlistadas a continuación tendrán los siguientes significados:

3.1. Interés legítimo: Es una base de legitimación que le permite a una persona natural, a una persona jurídica o a otro organismo de derecho privado, tratar datos personales sin necesidad de obtener previamente el consentimiento de su titular, siempre que se verifique la prevalencia de los derechos y libertades del titular. (…)” (énfasis agregado).

Adicionalmente, para poder dar una contestación correcta es menester citar los artículos 1, 3 y 5 de la Ley Orgánica de la Contraloría General del Estado, donde se menciona:

“Art. 1.- Objeto de la Ley.- La presente Ley tiene por objeto establecer y mantener, bajo la dirección de la Contraloría General del Estado, el sistema de control, fiscalización y auditoría del Estado, y regular su funcionamiento con la finalidad de examinar, verificar y evaluar el cumplimiento de la visión, misión y objetivos de las instituciones del Estado y la utilización de recursos, administración y custodia de bienes públicos. (…)

Art. 3.- Recursos Públicos.- Para efecto de esta Ley se entenderán por recursos públicos, todos los bienes, fondos, títulos, acciones, participaciones, activos, rentas, utilidades, excedentes, subvenciones y todos los derechos que pertenecen al Estado y a sus instituciones, sea cual fuere la fuente de la que procedan, inclusive los provenientes de préstamos, donaciones y entregas que, a cualquier otro título realicen a favor del Estado o de sus instituciones, personas naturales o jurídicas u organismos nacionales o internacionales. Los recursos públicos no pierden su calidad de tales al ser administrados por corporaciones, fundaciones, sociedades civiles, compañías mercantiles y otras entidades de derecho privado, cualquiera hubiere sido o fuere su origen, creación o constitución hasta tanto los títulos, acciones, participaciones o derechos que representen ese patrimonio sean transferidos a personas naturales o personas jurídicas de derecho privado, de conformidad con la ley. (…)

Art. 5.- Sistema de Control, Fiscalización y Auditoría del Estado.- Las instituciones del Estado, sus dignatarios, autoridades, funcionarios y demás servidores, actuarán dentro del Sistema de Control, Fiscalización y Auditoría del Estado, cuya aplicación propenderá a que:

1.- Los dignatarios, autoridades, funcionarios y servidores públicos, sin excepción, se responsabilicen y rindan cuenta pública sobre el ejercicio de sus atribuciones, la utilización de los recursos públicos puestos a su disposición, así como de los resultados obtenidos de su empleo;

2.- Las atribuciones y objetivos de las instituciones del Estado y los respectivos deberes y obligaciones de sus servidores, sean cumplidos a cabalidad;

3.- Cada institución del Estado asuma la responsabilidad por la existencia y mantenimiento de su propio sistema de control interno; y,

4.- Se coordine y complemente con la acción que otros órganos de control externo ejerzan sobre las operaciones y actividades del sector público y sus servidores.”

Con base en los artículos previamente citados, para poder dar contestación a las cuatro preguntas planteadas en la Consulta presentada, se procederá a realizar el análisis correspondiente de cada una de las ellas en el orden en el cual fueron planteadas. Respecto a la primera pregunta, es preciso partir de la consideración de que el tratamiento de datos personales mediante sistemas de videovigilancia implementados por entidades del sector público constituye, por su propia naturaleza, una injerencia en el derecho fundamental a la protección de datos personales. En tal virtud, dicho tratamiento debe sujetarse de manera estricta a alguna de las bases de legitimación previstas en el artículo 7 de la LOPDP, así como a los artículos concordantes de su Reglamento General.

El uso de sistemas de videovigilancia conlleva un tratamiento particularmente invasivo, en la medida en que supone la captación sistemática de imágenes de personas y, por ende, el tratamiento de datos biométricos. En este contexto, la implementación de un sistema de videovigilancia debe necesariamente sustentarse en una base de legitimación expresamente consagrada en la ley, razón por la cual el consentimiento no puede constituir ni la única ni la principal base habilitante para este tipo de tratamiento, ya que estos tratamientos involucran el procesamiento de datos personales de grandes cantidades de personas. En el caso de sistemas utilizados o implementados por entidades públicas, en el ejercicio de sus competencias legalmente atribuidas, la legitimación del tratamiento debe fundarse en una base más adecuada, que resulte coherente con el cumplimiento de una misión en interés público o el ejercicio de poderes públicos, garantizando de forma efectiva en todo momento los derechos y libertades de los titulares de datos personales.

En el caso de las entidades del sector público, el legislador ha previsto como base de legitimación específica el interés público, conforme al numeral 4 del artículo 7 de la LOPDP. Esta disposición contempla dos supuestos diferenciados, el tratamiento necesario para el cumplimiento de una misión realizada en función del interés público; y, el tratamiento efectuado en el ejercicio de poderes públicos conferidos al responsable. Si bien ambos supuestos se encuentran enunciados de forma conjunta, responden a lógicas jurídicas distintas y requieren un análisis diferenciado. Esta distinción resulta relevante, en tanto que, en el ámbito de la actuación administrativa, el interés público no puede concebirse como una noción abstracta, genérica o discrecional, por el contrario, debe responder directamente de competencias, atribuciones y deberes expresamente establecidos en normas con rango de ley, las cuales brindan directrices claras y concretas para delimitar el alcance legítimo de la actuación estatal y, en consecuencia, del tratamiento de datos personales que de ella se derive.

Bajo esta premisa, el uso de sistemas de videovigilancia por parte de una entidad pública orientado a la seguridad institucional no se legitima de manera automática por la sola invocación del interés público, dicho tratamiento encuentra su sustento jurídico en la existencia de obligaciones legales específicas que imponen a la entidad la adopción de medidas para custodia, control y protección de bienes públicos. La Ley Orgánica de la Contraloría General del Estado establece un marco transversal de obligaciones para las entidades del sector público en relación con la custodia, administración y protección de los bienes y recursos del Estado, así como la responsabilidad derivada de su adecuada conservación y uso. Estas disposiciones configuran competencias legales que obligan a las instituciones públicas a adoptar medidas destinadas a garantizar el cumplimiento efectivo de dichas obligaciones.

En este sentido, los sistemas de videovigilancia se entienden como una medida de seguridad destinada a viabilizar el cumplimiento de las obligaciones legales de custodia, control y protección de los bienes y recursos del Estado, de conformidad con lo previsto en la Ley Orgánica de la Contraloría General del Estado. No obstante, la adopción de dicha medida no habilita un tratamiento irrestricto de datos personales, por cuanto su implementación y uso deben realizarse en estricta observancia de los principios consagrados en el marco legal aplicable en materia de protección de datos personales, así como en garantía de los derechos y libertades fundamentales de los titulares de datos personales, asegurando que el tratamiento sea necesario, proporcional y acorde con la finalidad que lo justifica.

Desde esta perspectiva, el tratamiento de datos personales derivado de la captación de imágenes mediante sistemas de videovigilancia encuentra su fundamento jurídico en el ejercicio de poderes públicos conferidos por normas con rango de ley, que imponen a las entidades públicas deberes concretos de custodia, control y protección de los bienes y recursos del Estado.

En consecuencia, el tratamiento de datos personales que consiste en la captación de imágenes mediante sistemas de videovigilancia implementados por una entidad pública, resulta jurídicamente procedente y se encuentra legítimamente amparado en la base prevista en el numeral 4 del artículo 7 de la LOPDP, exclusivamente en el supuesto del ejercicio de efectivo de poderes públicos conferidos al responsable derivados de una competencia atribuida por una norma con rango de ley, el cual, en este caso, sería a través de la obligación de custodia, control y protección de los bienes y recursos del estado, condicionando su validez al cumplimiento de los principios y garantías previstas en la normativa de protección de datos personales.

Respecto a la segunda pregunta, donde se establece la pregunta de si se puede considerar la colocación de señalética informativa visible en zonas videovigiladas un mecanismo válido para garantizar el derecho a la información de los titulares de datos personales contemplado en el artículo 12 de la LOPDP.

En este sentido y conforme al artículo 12 de la LOPDP, el principio de transparencia y el derecho a la información reconocidos en el artículo 10 de la misma ley, se exige que los titulares de datos personales conozcan, de manera previa o concurrente al tratamiento, la existencia y condiciones esenciales del mismo. En el contexto del tratamiento de imágenes mediante sistemas de videovigilancia, la colocación de señalética informativa visible en todo momento en las zonas vigiladas puede considerarse un mecanismo idóneo y válido para satisfacer dicho derecho, en la medida en que permita advertir razonablemente al titular sobre la captación de sus datos personales y sobre la identidad del responsable del tratamiento, sin exigirle esfuerzos desproporcionados para acceder a la información.

En tratamientos como la videovigilancia, caracterizados por su automatismo y por la imposibilidad material de informar de forma individualizada, el derecho a la información que se le comunica al titular de datos puede darse por capas, de modo que la señalética cumpla la función de primera capa informativa, remitiendo a canales complementarios donde el titular pueda acceder a información más detallada, sin que ello suponga una restricción al ejercicio de sus derechos. Y, de dicha manera el responsable del tratamiento cumple con el deber de informar sobre el tratamiento de datos personales de una manera práctica, estableciendo una señalética con información básica necesaria y, en una segunda capa que debe ser colocada en la misma señalética, el resto de información del tratamiento de videovigilancia específico con los demás requisitos establecidos en el artículo 12 de la LOPDP.

Desde una perspectiva de derecho comparado, la Guía sobre el uso de videocámaras para seguridad y otras finalidades de la Agencia Española de Protección de Datos (AEPD) refuerza este criterio al señalar que los distintivos visibles en accesos y zonas videovigiladas constituyen un instrumento adecuado para cumplir el deber de información, siempre que incluyan los elementos esenciales del tratamiento y faciliten el acceso a información adicional. Esta guía resulta plenamente compatible con el marco ecuatoriano, en tanto se fundamenta en los mismos principios estructurantes del derecho a la protección de datos también reconocidos en la LOPDP y su Reglamento General, especialmente los principios de: transparencia, lealtad y responsabilidad proactiva.

Con base en lo previamente mencionado los carteles de videovigilancia deben cumplen con el deber de informar que tiene el responsable del tratamiento de datos personales siempre y cuando, a través de un a segunda capa se dé la facilidad al titular de datos personales de acceder al resto de la información del tratamiento de datos correspondiente. En este sentido, los datos mínimos necesarios que deben constar en un cartel de videovigilancia deberían ser los siguientes:

Tratamiento de videovigilancia;
Identidad del responsable del tratamiento y sus contactos: correo electrónico o dirección física y teléfono de contacto;
La posibilidad de ejercer los derechos para el titular esto implica que se debe colocar un correo o canal ante el cual el titular puede ejercer sus derechos;
Segunda capa, dónde ampliar la información sobre el tratamiento de los datos personales.

Respecto a la tercera pregunta, donde se pregunta sobre cuál sería la correcta aplicación de los principios de proporcionalidad y de pertinencia y minimización de datos personales previstos en el artículo 10 de la LOPDP en relación con la ubicación de las cámaras de videovigilancia dentro de instalaciones públicas, es menester establecer que los principios de proporcionalidad y de pertinencia y minimización de datos constituyen parámetros esenciales para determinar la licitud y legitimidad del tratamiento. Su correcta interpretación exige que la definición de las ubicaciones de las cámaras responda exclusivamente a finalidades legítimas, explícitas y previamente determinadas, vinculadas a la seguridad de personas, bienes e instalaciones, descartando toda captación que resulte excesiva o innecesaria respecto de dichos fines. En consecuencia, la videovigilancia no puede concebirse como un mecanismo de control generalizado, sino como una medida puntual, idónea y estrictamente necesaria.

Desde la perspectiva del principio de proporcionalidad establecido en el literal f) del artículo 10 de la LOPDP, la instalación y orientación de las cámaras debe obedecer a una ponderación entre la finalidad perseguida y el grado de afectación a los derechos de los titulares de datos personales. Esto implica que las cámaras deben ser ubicadas únicamente en espacios donde exista un riesgo real, concreto y verificable para la seguridad institucional, y que se descarte su colocación en zonas en las que la expectativa de privacidad sea mayor o en las que la captación de imágenes resulte manifiestamente desproporcionada. Esta exigencia conlleva, además, que la autoridad o entidad pública que decida incorporarlas pueda justificar técnica y jurídicamente la necesidad de cada punto de captación, en coherencia con el principio de responsabilidad proactiva. Por ejemplo, no son aptos de videovigilancia los baños o vestidores u otros espacios físicos similares.

Por otro lado, el principio de pertinencia y minimización, reconocido en el literal e) del artículo 10 de la LOPDP, impone que las ubicaciones definidas permitan captar únicamente las imágenes estrictamente indispensables para cumplir la finalidad de seguridad, evitando espacios de circulación no relevantes o zonas ajenas al ámbito funcional de la instalación pública. En este sentido, resulta obligatorio adoptar medidas que restrinjan el campo visual de las cámaras, tales como una adecuada orientación, el uso de configuraciones técnicas limitadas o mecanismos de enmascaramiento, de forma que se reduzca al mínimo la captación de datos personales de personas que no guardan relación con el riesgo que se pretende prevenir. Así también, se entiende que la minimización no solo se hace referencia al volumen de datos tratados, sino también del número de cámaras, su tipología y su ubicación concreta. En este sentido, las ubicaciones de cámaras deben ser el resultado de un análisis previo de necesidad y riesgo, orientado a garantizar que el tratamiento de imágenes sea adecuado, pertinente y no excesivo, asegurando así una protección efectiva de los derechos de los titulares de datos personales.

Es pertinente, en la presente pregunta, hacer mención explícita al principio de finalidad reconocido en el literal d) del artículo previamente mencionado, el cual hace referencia a la finalidad que todo tratamiento de datos personales debe tener. En los tratamientos de videovigilancia es fundamental e indispensable que las finalidades para las cuales se lleva a cabo la videovigilancia sean claras, concretas y específicas, ya que son éstas las que van a ser ponderadas frente a los derechos de los titulares de datos personales, permitiendo delimitar de manera objetiva el alcance del tratamiento y justificar la eventual afectación a dichos derechos. En ausencia de una finalidad legítima y claramente determinada, la captación de imágenes deviene en un tratamiento excesivo a la LOPDP al tratarse de datos personales biométricos, incluso cuando se realice en espacios o instalaciones públicas.

Respecto a la cuarta pregunta, el Consultante establece la duda de cómo debe interpretarse el criterio de que los datos personales no sean conservados por un plazo mayor al necesario para cumplir con la finalidad del tratamiento en el contexto de videovigilancia. En este sentido, de conformidad con el principio de conservación de datos personales previsto en literal i) del artículo 10 de la LOPDP, la interpretación del criterio conforme al cual los datos no deben conservarse por un plazo mayor al necesario para cumplir la finalidad del tratamiento debe realizarse atendiendo a la naturaleza, contexto y fines específicos de cada operación de tratamiento. En el ámbito de los sistemas de videovigilancia implementados por entidades públicas, este principio exige que la conservación de imágenes se limite estrictamente al tiempo indispensable para cumplir la finalidad legítima que motivó su captación, particularmente cuando dicha finalidad se vincula al interés público, a la seguridad institucional o a la protección de recursos públicos.

Esta autoridad precisa que, a la fecha, no se ha emitido una normativa específica que establezca plazos concretos y uniformes de conservación de datos personales en ningún tipo de tratamiento. No obstante, ello no exime a los responsables del tratamiento del cumplimiento del marco constitucional y legal vigente, el cual proporciona criterios suficientes para determinar, caso a caso, plazos razonables de conservación. En este sentido, deben observarse las disposiciones contenidas en los artículos 7, 8, 9 y 11 del RGLOPDP, que desarrollan el principio de limitación del plazo de conservación y obligan a eliminar, bloquear o anonimizar los datos personales una vez cumplida la finalidad que justificó su tratamiento, salvo que concurra una obligación legal o causa legítima que justifique su conservación ulterior.

Tratándose de entidades públicas, la interpretación del plazo necesario de conservación debe además definir y documentar, de manera motivada y debidamente demostrada, los plazos de conservación de las grabaciones de videovigilancia, considerando factores como la detección o investigación de incidentes, eventuales requerimientos de órganos de control, procesos administrativos o judiciales, y las obligaciones derivadas del sistema de control y fiscalización del uso de recursos públicos, siempre bajo criterios de necesidad y proporcionalidad.

Finalmente, de conformidad con el principio de aplicación más favorable al titular de datos personales, previsto en el literal l) del artículo 10 de la LOPDP, cualquier duda respecto del alcance temporal de la conservación debe resolverse en favor de la protección reforzada de los derechos de las personas. En consecuencia, mientras esta autoridad no emita una regulación específica sobre plazos de conservación en materia de videovigilancia, las entidades públicas deberán ceñirse estrictamente a los principios constitucionales y legales citados, adoptando políticas internas claras de conservación, revisión periódica y eliminación segura de las grabaciones, de modo que el tratamiento de datos personales no se prolongue más allá de lo estrictamente necesario para cumplir la finalidad legítima que lo sustenta.

Pronunciamiento

En atención a los términos de la consulta realizada mediante Oficio NRO. SERCOP-CGAJ-2025-0230-OF de 7 de noviembre de 2025 y debidamente subsanada el 21 de noviembre de 2025, del análisis realizado y dando respuesta a la consulta planteada por el Consultante se determina lo siguiente:

“¿Es jurídicamente procedente que el tratamiento de datos personales consistente en la captación de imágenes mediante sistemas de videovigilancia, implementados por una entidad pública como el Benemérito Cuerpo de Bomberos de Machala para fines de seguridad institucional y protección de personas, se legitime en la base prevista en el artículo 7, numeral 4 de la Ley Orgánica de Protección de Datos Personales, relativa al cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable?”

De acuerdo con el análisis previamente realizado, resulta jurídicamente procedente que una entidad pública, en términos generales, aclarando esta autoridad que no se hace referencia expresa al Benemérito Cuerpo de Bomberos de Machala, legitime el tratamiento de datos personales derivado de la captación de imágenes mediante sistemas de videovigilancia, implementados con fines de seguridad institucional y protección de personas, con base en lo dispuesto en el numeral 4 del artículo 7, de la LOPDP. Ello, en el supuesto relativo al ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, específicamente en observancia de las obligaciones de custodia, control y protección de los bienes y recursos del Estado previstas en la Ley Orgánica de la Contraloría General del Estado, siempre que dicho tratamiento garantice los derechos y libertades fundamentales de los titulares de los datos personales.

“Conforme al artículo 12 de la LOPDP, ¿puede considerarse que la colocación de señalética informativa visible en zonas videovigiladas constituye un mecanismo válido para garantizar el derecho a la información de los titulares de datos personales, sin que ello implique que la Superintendencia defina contenidos específicos no regulados, sino en cuanto a la interpretación general del alcance del principio de información?”

Con base en el análisis efectuado, se concluye que la colocación de señalética informativa visible en zonas videovigiladas constituye un mecanismo válido e idóneo para garantizar el derecho a la información de los titulares de datos personales previsto en el artículo 12 de la LOPDP, siempre que se enmarque en los principios de transparencia y lealtad, en un cumplimiento por capas, en el cual la señalética actúe como primera capa informativa, comunicando de forma clara y accesible la existencia del tratamiento, la identidad y contacto del responsable y los mecanismos para el ejercicio de derechos, y remitiendo a una segunda capa donde se complete la información exigida por el artículo previamente referido.

“¿Cuál es la correcta interpretación y aplicación de los principios de proporcionalidad y de pertinencia y minimización de datos, previstos en el artículo 10, literales e y f de la LOPDP, en relación con la definición de las ubicaciones de cámaras de videovigilancia dentro de instalaciones públicas?”

Teniendo en cuenta el análisis realizado, la correcta interpretación y aplicación de los principios de proporcionalidad y de pertinencia y minimización de datos, previstos en los literales e y f del artículo 10, de la LOPDP, exige que la definición de las ubicaciones de las cámaras de videovigilancia en instalaciones públicas responda exclusivamente a finalidades legítimas, claras y previamente determinadas, vinculadas a la seguridad de personas, bienes e instalaciones. Las cámaras deben instalarse únicamente en espacios donde exista un riesgo real, concreto y verificable, evitando zonas con alta expectativa de privacidad o donde la captación resulte innecesaria o desproporcionada, como baños o vestidores o espacios físicos similares. Asimismo, debe garantizarse que se capten solo las imágenes estrictamente indispensables, mediante una adecuada orientación, limitación del campo visual y un número y tipo de cámaras justificado en un análisis previo de necesidad y riesgo, de modo que el tratamiento de datos personales sea adecuado, pertinente y no excesivo, en garantía de los derechos de sus titulares.

“Con base en el principio de conservación de datos personales previsto en el artículo 10, literal i de la LOPDP, ¿cómo debe interpretarse el criterio de que los datos personales no sean conservados por un plazo mayor al necesario para cumplir la finalidad del tratamiento, en el contexto de sistemas de videovigilancia implementados por entidades públicas?”

Respecto de esta pregunta, esta Autoridad se abstiene de emitir un pronunciamiento específico, en tanto a la fecha no se ha expedido normativa que regule de manera expresa los plazos de conservación de datos personales. No obstante, se precisa que los responsables del tratamiento que implementen sistemas de videovigilancia están obligados a cumplir con el principio de conservación de datos personales previsto en el literal i) del artículo 10 de la LOPDP, conforme al cual las imágenes captadas deben conservarse únicamente durante el tiempo estrictamente necesario para cumplir la finalidad legítima que motivó su tratamiento, atendiendo a la naturaleza, contexto y fines específicos de cada operación. En consecuencia, las entidades públicas deben definir y documentar de manera motivada sus plazos de conservación, aplicando criterios de necesidad y proporcionalidad y considerando eventuales requerimientos de control, administrativos o judiciales, resolviendo cualquier duda interpretativa en favor de la protección reforzada de los derechos de los titulares de datos personales.

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica sobre la normativa aplicable en materia de protección de datos personales.

Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la Superintendencia de Protección de Datos Personales.