La Resolución Nº SPDP‑SPD‑2025‑0028‑R, emitida por la Superintendencia de Protección de Datos Personales (SPDP) de Ecuador, aprueba el Reglamento del Delegado de Protección de Datos Personales. Su objetivo es regular las actividades de las y los delegados de protección de datos personales (DPO) para garantizar el cumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General. A continuación se presentan los puntos más relevantes.
El reglamento dispone que el responsable o encargado del tratamiento de datos debe designar a un delegado. La designación puede realizarla la persona natural titular o su apoderado; la persona jurídica de derecho privado a través de su representante legal; o la persona jurídica de derecho público mediante su máxima autoridad. El nombramiento debe contener la fecha de otorgamiento, los datos de la organización, el nombre completo y número de identificación del delegado, las funciones que desempeñará y la aceptación del cargo. El nombramiento se inscribirá en la SPDP, a través de su portal, dentro de los quince días posteriores a la designación.
La SPDP, mediante la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales, mantiene un registro de delegados accesible al público. Este registro muestra el nombre del responsable o encargado, su dirección comercial y el correo electrónico del delegado.
El reglamento establece designaciones forzosas. El artículo 9 indica que todos los organismos del sector público están obligados a designar un delegado de protección de datos. Además, el artículo 10 describe casos especiales en los que la designación es obligatoria, incluso para entidades privadas que realicen determinadas actividades. Los sectores obligados son:
| Nº | Sector o actividad | Fundamentación |
|---|---|---|
| 1 | Instituciones educativas: educación inicial, básica, bachillerato, sostenimiento público, fiscomisional o particular, con modalidades presencial o a distancia, y cualquier institución que trate datos de menores. | El reglamento señala que deben designar delegado las instituciones que traten datos de menores, aun fuera del ámbito educativo. |
| 2 | Instituciones de educación superior (públicas o privadas). | Se consideran por el tratamiento de categorías especiales de datos para actividades académicas y administrativas. |
| 3 | Actividades que traten datos personales de categorías especiales de menores. | Toda actividad que conlleve tratamiento de datos de menores está obligada. |
| 4 | Personas jurídicas que realicen actividades financieras. | Incluye cualquier entidad con acceso a datos personales, directa o indirectamente. |
| 5 | Compañías de seguros y reaseguros, agentes y asesores de seguros. | Deben designar delegado por el tratamiento de datos de clientes. |
| 6 | Empresas de publicidad, prospección comercial o investigación de mercados que elaboren perfiles basados en preferencias, intereses o comportamientos. | La obligación se justifica por el uso de datos para análisis de perfiles. |
| 7 | Actores del sistema de salud obligados a mantener historias clínicas, excepto profesionales independientes. | El reglamento obliga a quienes conservan historias clínicas. |
| 8 | Establecimientos del sector farmacéutico (producción, distribución y comercialización de medicamentos; laboratorios y farmacias). | Se exige delegado por el tratamiento de datos de pacientes y clientes. |
| 9 | Personas jurídicas de seguridad privada y administradores de urbanizaciones o conjuntos residenciales (fideicomisos o propiedades horizontales) por el control de accesos. | El control de accesos implica tratamiento de datos personales. |
| 10 | Federaciones o asociaciones deportivas profesionales, sociedades anónimas deportivas, clubes y academias deportivas. | Deben nombrar delegado por el manejo de datos de deportistas y afiliados. |
| 11 | Colegios o gremios profesionales. | Por el tratamiento de datos de sus miembros. |
| 12 | Personas jurídicas de derecho privado que prestan servicios de telecomunicaciones. | Se incluye a operadores de telefonía e internet. |
| 13 | Personas jurídicas privadas que ofrecen servicios de videovigilancia masiva, geolocalización o tecnologías de la información, incluidas las dedicadas a inteligencia artificial. | El uso intensivo de datos exige un delegado. |
| 14 | Concesionarios de servicios públicos y alianzas público‑privadas que distribuyen o suministran servicios públicos. | Deben designar delegado por la naturaleza de sus actividades. |
Para ejercer, el delegado debe cumplir con los requisitos generales establecidos en el Reglamento General de la LOPDP, más aprobar un programa profesionalizante oficializado por la SPDP. Aunque pueda tener relación de dependencia, debe mantener independencia e imparcialidad; las organizaciones pueden contratar servicios de delegados externos.
Las funciones del delegado incluyen asesorar y supervisar al responsable en el análisis de riesgos, evaluaciones de impacto, medidas de seguridad, gestión de solicitudes de los titulares, notificación de violaciones de seguridad, control de eficacia de las medidas implementadas y cumplimiento del registro de actividades de tratamiento. El delegado no decide sobre la finalidad del tratamiento ni implementa de forma directa la normativa; su rol es supervisar y asesorar. Están prohibidas ciertas compatibilidades: no puede ser simultáneamente oficial de seguridad de la información o de cumplimiento, ni apoderado especial de responsables extranjeros, ni ocupar cargos jerárquicos superiores en el sector público.
Además, el delegado debe declarar cualquier conflicto de interés potencial o real, y la organización debe tomar medidas correctivas. Se considera conflicto de interés si el delegado participa en el tratamiento de datos, asesora para salvaguardar intereses de la organización o toma decisiones sobre la gestión interna.
El reglamento garantiza la independencia del delegado. Puede denunciar ante la SPDP cualquier hecho que menoscabe su autonomía. Al presentar la denuncia debe detallar la organización, describir los hechos y adjuntar documentos. La SPDP investigará y sancionará a quienes vulneren la independencia del delegado. Las organizaciones deben asegurar que el delegado tenga contacto directo con el nivel más alto de decisión, recursos suficientes y un proceso anual de evaluación institucional que no sea jerárquico ni se utilice como mecanismo de presión. Si se comprueba que la organización limitó la independencia del delegado o lo sancionó injustificadamente, se aplicarán sanciones conforme al régimen sancionatorio de la LOPDP.
El reglamento establece que la Intendencia General de Innovación Tecnológica desarrollará un sistema para el registro digital de delegados en un plazo de tres meses desde su publicación. Los responsables del sector privado deberán registrar a sus delegados entre el 1 de noviembre y el 31 de diciembre de 2025; el incumplimiento se considerará una falta de medidas de seguridad. Otras disposiciones establecen plazos para desarrollar un mecanismo de defensa de la independencia del delegado y para que instituciones del sector público que designaron como delegados a personas de nivel jerárquico superior corrijan dichas designaciones.
El Reglamento del Delegado de Protección de Datos Personales complementa la LOPDP y define de forma detallada el procedimiento para designar, inscribir y supervisar a las y los delegados. Establece quiénes deben designarlos, incluidas entidades del sector público y sectores privados sensibles como educación, salud, finanzas, seguros, telecomunicaciones, seguridad privada y proveedores de tecnología. Además, refuerza la independencia y protección del delegado, imponiendo sanciones a quienes intenten influir en su trabajo. Las organizaciones ecuatorianas deben prepararse para cumplir los plazos y requisitos, y comprender que contar con un delegado no es solo una obligación legal, sino una pieza clave para la protección de los datos personales y el fortalecimiento de la confianza ciudadana.
En KahuData Solutions ofrecemos el servicio de Delegado de Protección de Datos, así como asesoría especializada en protección de datos personales en Ecuador.
Puedes contactarnos en info@kahudata.com o al +593 99 881 5397.
Ayudamos a empresas a implementar la LOPDP de forma práctica y alineada con mejores estándares.
Necesitas o tienes dudas sobre el cumplimiento de la LOPDP, estamos listos para ayudarte.
Contacta hoy y descubre cómo convertir el cumplimiento en una ventaja competitiva.
Primera consulta GRATUITA ¡Agéndala ahora!
Suscríbete a nuestro boletín para recibir noticias y consejos sobre protección de datos.
