Nuevo reglamento define funciones, deberes y plazos para los delegados de protección de datos personales
El 31 de julio de 2025, la Superintendencia de Protección de Datos Personales (SPDP) emitió la Resolución No. SPDP-SPD-2025-0028-R, publicada en el Registro Oficial, mediante la cual se expide el Reglamento del Delegado de Protección de Datos Personales, en cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General.
Esta norma regula la designación, registro, funciones, impedimentos y garantías de independencia de los delegados, quienes se convierten en actores claves para garantizar la protección de datos en el país. El reglamento tiene un ámbito de aplicación general para todas las entidades públicas y privadas obligadas a cumplir la LOPDP.
Establece que la SPDP es la autoridad competente para supervisar el registro de delegados, verificar su idoneidad, y sancionar el incumplimiento de estas obligaciones, fortaleciendo la seguridad jurídica y la confianza en el tratamiento de datos personales en Ecuador.
Disposiciones clave
1. Designación y registro del delegado
Toda organización, pública o privada, que actúe como responsable o encargado del tratamiento de datos deberá designar un delegado de protección de datos. El nombramiento debe formalizarse con firma manuscrita o electrónica e inscribirse ante la SPDP.
- Si se realiza con firma electrónica, el registro en el portal institucional debe efectuarse en un plazo de 15 días.
- Si se realiza en papel, la presentación es presencial.
- Los registros extemporáneos son aceptados, pero constituyen un incumplimiento jurídico.
2. Designación obligatoria
El reglamento exige la designación de un delegado en los siguientes casos:
- Sector público: Todas las entidades amparadas por el artículo 225 de la Constitución, salvo excepciones autorizadas por la SPDP.
- Sectores privados específicos: educación, salud, farmacéutico, financiero, seguros, seguridad privada, telecomunicaciones, deportes, publicidad con elaboración de perfiles, tratamiento de datos de menores o categorías especiales, y concesionarios de servicios públicos.
3. Funciones y responsabilidad limitada
El delegado tiene la misión de asesorar, supervisar y velar por el cumplimiento de la normativa de datos personales. Entre sus funciones se destacan:
- Supervisar medidas de seguridad, análisis de riesgos y evaluaciones de impacto.
- Asistir en la gestión de vulneraciones de seguridad y solicitudes de los titulares.
- Garantizar el cumplimiento de registros y obligaciones previstas en la LOPDP y su reglamento.
- El delegado no es responsable de las decisiones finales del responsable o encargado si demuestra haber actuado con debida diligencia, limitando su responsabilidad a casos de negligencia comprobada.
4. Independencia y conflictos de interés
El delegado debe actuar con independencia absoluta. Se prohíbe que ocupe cargos que generen conflictos de interés, como oficial de seguridad, oficial de cumplimiento o apoderado especial de encargados extranjeros. Cualquier vulneración a su independencia o represalia puede ser denunciada ante la SPDP, que investigará y sancionará al responsable o encargado infractor.
5.Plazos clave para el sector privado
Los responsables y encargados privados deberán registrar a sus delegados en la plataforma digital de la SPDP entre el 1 de noviembre y el 31 de diciembre de 2025. La omisión del registro se considerará un incumplimiento de medidas de seguridad jurídica según la LOPDP.
