Delegado de Protección de Datos: Características, funciones y obligación de su designación

La Ley Orgánica de Protección de Datos Personales (“LOPDP”) introduce  la figura del Delegado de Protección de Datos (“DPD”), quien es integrante del sistema de protección de datos personales.[1] El DPD desempeña un papel crucial en el marco regulatorio de protección de datos en Ecuador al supervisar y asesorar respecto al correcto cumplimiento de la LOPDP, el Reglamento General de la LOPDP (“Reglamento”) y la normativa secundaria emitida por la autoridad de protección de datos personales (en conjunto con la LOPDP y el Reglamento, “Normativa de Protección de Datos Personales”).[2]

 

El 30 de julio de 2025, la Superintendencia de Protección de Datos Personales (“SPDP” o “Autoridad”) expidió la Resolución No. SPDP-SPD-2025-0028-R que contiene el Reglamento del Delegado de Protección de Datos Personales (“Reglamento del DPD”), que regula sus actividades.  Este documento actualiza el alcance de las obligaciones, limitaciones y responsabilidades del DPD para el cumplimiento de la Normativa de Protección de Datos Personales.

 

              I.          Características del DPD

 

     1.         Definición de DPD

 

Inspirada en el régimen europeo de protección de datos personales, la LOPDP define al DPD como la persona natural encargada de asesorar y supervisar, con independencia, el cumplimiento de la Normativa de Protección de Datos Personales por parte de la organización y cooperar con la Autoridad actuando como punto de contacto con ella.[3]

 

Esta definición destaca tres características principales del DPD: i) debe ser persona natural; ii) sus actividades comprenden velar y supervisar el cumplimiento de las obligaciones legales en materia de protección de datos de la organización; y, iii) debe cooperar con la Autoridad.

 

     2.         Requisitos para ser DPD

 

Los artículos 55 del Reglamento y 11 del Reglamento del DPD establecen los siguientes requisitos para ser DPD:

 

  1. Estar en goce de los derechos políticos;
  2. Ser mayor de edad;
  3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías;
  4. Acreditar experiencia profesional de por lo menos cinco años; y,
  5. Aprobar un programa de profesionalización oficializado por la SPDP.[4]

 

Este último requisito busca garantizar que los DPD cuenten con el conocimiento necesario para asesorar adecuadamente a las organizaciones que contraten sus servicios. No obstante, su cumplimiento será obligatorio a partir del 1 de enero de 2029. El programa de profesionalización deberá ser dictado por una institución de educación superior cuya malla académica incluya el contenido mínimo establecido en la Resolución No. SPDP-SPD-2025-0004-R que contiene el Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales. Las instituciones de educación superior habilitadas para impartir estos programas de profesionalización deberán notificar a la SPDP los títulos académicos o diplomas emitidos.

 

Los requisitos previamente mencionados generan una interrogante: ¿el DPD puede ser una persona de nacionalidad extranjera?

 

Respecto a esta pregunta, los artículos 61 de la Constitución y 2 del Código de la Democracia establecen, que los ciudadanos ecuatorianos gozan de derechos políticos o de participación y las personas extranjeras cuando les sea aplicable.[5] En consecuencia, la función de DPD estaría limitada a los ciudadanos ecuatorianos. Por ello, los extranjeros únicamente podrán ejercer este cargo cuando tengan la calidad de residentes.

 

     3.         Designación, nombramiento y registro del DPD

 

El DPD deberá ser designado de manera oficial por la organización a través de su representante legal o apoderado. El nombramiento del DPD deberá incluir los siguientes elementos:

 

  1. Fecha del nombramiento;
  2. Datos de identificación de la organización;
    1. En el caso de sociedades domiciliadas en Ecuador: Razón social y número del registro único de contribuyentes.
    2. En el caso de sociedades no domiciliadas: Razón social, número de identificación tributaria, domicilio, teléfonos y correos electrónicos de la casa matriz u oficina principal.
  1. Nombre del representante legal;
  2. Nombre del DPD;
  3. Funciones del DPD;
  4. Firma del representante legal o apoderado;
  5. Aceptación expresa del cargo por parte del DPD;
  6. Nombramiento o poder que acredite la calidad de representante legal o apoderado; y,
  7. Documentos que comprueben la existencia legal de la sociedad.[6]

 

Una vez que el DPD haya sido designado, la organización deberá registrar el nombramiento ante la SPDP dentro de los siguientes quince días laborales para que la Autoridad lo inscriba y publique la identidad y datos de contacto de la organización, así como el correo electrónico del DPD para fines de transparencia.[7] El incumplimiento de esta obligación constituye una infracción grave por el incumplimiento de medidas de seguridad, la cual puede ser sancionada con una multa equivalente al 0,7% al 1% del volumen de negocio de la organización..

 

     4.         Modalidades de contratación del DPD

 

El DPD puede ser contratado directamente o a través de una persona jurídica, siempre y cuando se establezca en el contrato quién es la persona natural que ocupará el cargo. Los artículos 49 del Reglamento y 12 del Reglamento del DPD permiten que la contratación sea bajo relación de dependencia o prestación de servicios profesionales.[8] Sin perjuicio de la forma de contratación, el DPD se debe garantizar la independencia para ejercer su rol y estar habilitado para dar recomendaciones y observaciones para el correcto cumplimiento de la Normativa de Protección de Datos Personales.

 

Bajo cualquiera de estas situaciones, el contrato entre el DPD y la organización debe asegurar el contacto directo entre el DPD y la alta directiva de la organización, la entrega de las herramientas necesarias para el desempeño del cargo, incluir cláusulas de confidencialidad para proteger la información de la sociedad y definir las funciones, impedimentos y responsabilidades del cargo.

 

Además, el DPD requerirá tiempo para adaptarse, conocer la organización y así desempeñar adecuadamente sus funciones, por lo que es recomendable que ejecute una auditoría interna para conocer el grado de cumplimiento de la sociedad en materia de protección de datos personales, con el objetivo de conocer qué riesgos son los que se deben mitigar.

 

a)    DPD interno

 

En este caso pueden presentarse dos situaciones: i) contratar una nueva persona para que desempeñe el cargo de DPD, o ii) designar a un empleado que se encuentre en la nómina de la organización para que asuma tales funciones. El segundo supuesto involucra que la persona se dedique exclusivamente a ejercer este rol, toda vez que no podrá ejecutar o participar en las actividades de tratamiento de datos personales de la organización, en virtud de que esto podría configurar un conflicto de interés.

 

b)    DPD externo

 

En este caso, además de los elementos señalados previamente, el contrato entre el DPD y la organización debe definir la duración del servicio y su modalidad. Además, el DPD externo requiere contar con un punto de contacto interno.

     5.         DPO para grupos empresariales

El artículo 50 del Reglamento permite que un grupo empresarial designe un mismo DPO para todas las empresas que lo conforman, siempre y cuando no se presente un conflicto de interés y pueda ejercer sus actividades adecuadamente.[9]

 

     6.         Personas con impedimento para ser DPD

 

Los artículos 56 del Reglamento y 16 del Reglamento del DPD establecen que no pueden ser DPD:

 

  1. Quienes formen parte de los órganos de administración y control de la organización;
  2. Socios o accionistas de la organización;
  3. Cónyuges de los administradores, directores o comisarios de la organización, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad;
  4. Quienes tengan conflictos de intereses con la organización, acorde a la normativa que emita la SPDP;
  5. Quienes estuvieren designados como oficiales de seguridad de la información en la organización;
  6. El oficial de cumplimiento de la organización;
  7. Los apedreadores especiales de organizaciones extranjeras que realizaren actividades de tratamiento de datos personales en Ecuador; y,
  8. Quienes ejercieren cargos del nivel jerárquico superior en el sector público.[10]

 

Estas prohibiciones buscan garantizar que el DPD pueda cumplir sus funciones de manera adecuada y objetiva, sin conflictos de interés.

 

     7.         Casos de conflicto de interés

 

El Reglamento del DPDP establece que existe conflicto de interés por parte del DPD cuando: (i) ejecuta o participa en actividades de tratamiento de datos personales de la organización, incluso de forma ocasional; (ii) brinda asesoría ajena a sus funciones que tuviere por objetivo salvaguardar los intereses de la organización; y (iii) tome decisiones sobre la organización, sus actividades o sus gestiones internas.[11]

 

Además, el DPD está impedido de ejecutar las siguientes actividades que comprometen su imparcialidad:

 

  1. Ejecutar funciones propias del responsable o del encargado del tratamiento.
  2. Implementar directamente la normativa de protección de datos personales.
  3. Ejecutar directamente la gestión de riesgos o las evaluaciones de impacto en materia de protección de datos. El DPO deberá limitarse a emitir observaciones no vinculantes sobre dichas evaluaciones.
  4. Tomar decisiones sobre las finalidades o medios del tratamiento.
  5. Representar a la organización ante la SPDP.
  6. Desempeñar las funciones de oficial de seguridad de la información, oficial de cumplimiento, implementador u otros cargos que pudieren generar conflictos de interés.
  7. Desempeñar funciones que comprometan su independencia, autonomía, imparcialidad u objetividad como DPO.[12]

 

Previo a la aceptación del cargo, el DPD deberá declarar y hacer manifiesta cualquier situación que pudiera suscitarle un potencial o real conflicto de interés. De existir el mencionado conflicto de interés, la organización se deberá abstener de designarlo, y en el caso que el DPD haya sido nombrado, se deberá proceder con la revocatoria del cargo.

 

     8.         Independencia del DPD

 

La independencia es una característica fundamental para que el DPD pueda velar y supervisar el cumplimiento de la Normativa de Protección de Datos Personales sin presiones o interferencias de terceros, internos o externos, a la organización. La independencia del DPD se refleja en tres aspectos clave: i) su facultad de supervisión, ii) su relación con la Autoridad y otros interesados y (iii) la implementación de controles que garanticen esta condición.

 

a)     Facultad de supervisión

 

El DPD tiene la obligación de supervisar el cumplimiento de la Normativa Aplicable de Protección de Datos Personales por parte de la organización. Esta facultad implica observar, vigilar y realizar recomendaciones. Sin embargo, implementar las recomendaciones le corresponde a la organización, caso contrario, el DPD estaría inmerso en un conflicto de interés.

 

b)     Relación con la Autoridad y otros interesados

 

El DPD mantiene una relación directa con la Autoridad, quien puede hacerle requerimientos específicos para validar el correcto cumplimiento de la Normativa Aplicable de Protección de Datos Personales por parte de la organización. Los requerimientos de la SPDP deberán ser tramitados por el DPD de manera autónoma, es decir, sin recibir instrucciones de quien contrata sus servicios.

 

Adicionalmente, el DPD tiene relación con los titulares de datos personales. Por ello, la LOPDP establece como parte del derecho de información de los titulares, la obligación de la organización de informar la identidad y los datos de contacto del DPD.[13] Esto concuerda con lo establecido en el numeral 6 del artículo 50 de la LOPDP que dispone que el titular de los datos personales podrá contactar al DPO con el fin de ejercer sus derechos.[14] Sin embargo, esto no implica que el DPD deba responder directamente a los titulares, puesto que ello corresponde a la organización responsable del tratamiento. Al ser una obligación del DPD velar y supervisar el cumplimiento de la Normativa Aplicable de Protección de Datos Personales, esto incluye velar por el cumplimiento de los derechos de los titulares.

 

c)    Controles para garantizar la independencia del DPD

 

Las organizaciones deben implementar los siguientes controles para garantizar que el DPD pueda ejercer su rol de forma independiente:

 

  1. Tener contacto directo con el más alto nivel ejecutivo y de decisión de la organización.
  2. Disponibilidad de recursos técnicos, financieros y humanos.
  3. Mecanismos para la consideración efectiva de las observaciones y recomendaciones efectuadas por el DPO, relacionadas a las actividades de tratamiento de datos personales ejecutadas por la organización.
  4. Informes que determinen el nivel de cumplimiento de la normativa de protección de datos personales por parte de la organización.[15]

 

La implementación de estos controles deberá ser evaluado por la organización anualmente. La evaluación no podrá ser ejecutada por el mismo DPD, dado a que se vería comprometida su objetividad. En consecuencia, es recomendable que el área de auditoría interna o cumplimiento de la organización examine el cumplimiento de estos controles, y en el evento de que la sociedad no cuente con estas áreas, lo encarguen a un consultor o auditor externo para garantizar la imparcialidad de los resultados.

 

     9.         Protección especial para el DPD

 

El numeral 4 del artículo 50 de la LOPDP establece: “[n]o podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones.”[16] (destacado fuera de texto)

 

Por lo tanto, siempre que sus actuaciones se ajusten a la Normativa Aplicable de Protección de Datos Personales, la organización no podrá tomar medidas disciplinarias contra él. No obstante, el DPD puede ser sancionado o removido por incumplimiento de sus responsabilidades.

 

En el evento de que el DPD sea destituido o sancionado injustamente o en caso de que se ponga en riesgo su independencia, este podrá presentar una denuncia en contra de la organización ante la SPDP. En este caso, la Autoridad iniciará un proceso de investigación para determinar si corresponde imponer sanciones.

 

            II.         Funciones del DPO

 

     1.         Funciones

 

El artículo 49 de la LOPDP dispone que las funciones del DPO son:

 

(…) 1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

 

2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

 

3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;

 

4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,

 

5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales. (…).[17]

 

El artículo 13 del Reglamento del DPD resalta que las funciones y atribuciones del DPD se limitan al asesoramiento y a la supervisión a la organización. Además de las funciones previamente señaladas, esta disposición establece que el asesoramiento y supervisión se restringe a:

 

  1. Análisis de riesgos, evaluaciones de impacto y la adopción de medidas de seguridad para transferencias de datos personales;
  2. Atención de solicitudes de ejercicio de derechos;
  3. Gestión de vulneraciones a la seguridad y su la notificación a los titulares, la SPDP y la ARCOTEL;
  4. El control de eficacia y eficiencia de las medidas de seguridad que se hubieren implementado;
  5. El cumplimiento de los registros de actividades de tratamiento; y,
  6. El cumplimiento de la normativa de protección de datos personales respecto a las actividades de tratamiento que se realizaren.

 

Por lo anterior, el DPD debe estar en constante alerta y capacitación respecto de las actualizaciones y reformas que tenga la Normativa Aplicable de Protección de Datos Personales. A partir de este conocimiento, el DPD asesora a la organización respecto de cualquier actualización documental, organizativo y las medidas de seguridad que se deban adoptar.

 

A partir del programa de protección de datos que implemente la organización, el DPD debe velar por el cumplimiento de la Normativa Aplicable de Protección de Datos Personales. Esta supervisión se puede lograr a través de auditorías internas o externas para analizar el nivel de cumplimiento de la organización. Los informes y resultados obtenidos a través de los diferentes procesos de control deberán ser reportados a los altos ejecutivos y a las áreas correspondientes para adoptar las medidas correctivas del caso.

 

Adicionalmente, el DPD asesora en la ejecución de análisis de riesgo y evaluaciones de impacto de datos personales. Es importante señalar que estas metodologías van relacionadas a la gestión de riesgos del tratamiento de datos personales y operativos. El DPD debe tener conocimiento de las metodologías de análisis de riesgo y evaluación de impacto para poder asesorar y supervisar su aplicación cuando se requiera.

 

La Autoridad puede requerirle al DPD información respecto al correcto cumplimiento de la Normativa Aplicable de Protección de Datos Personales. De allí la necesidad de su independencia.  Recordamos que el DPD no es el defensor de la organización en la que presta sus servicios, pues ello implicaría un conflicto de interés en su rol de supervisión y asesoramiento sobre el correcto cumplimiento de la Normativa Aplicable de Protección de Datos Personales.

 

     2.         Alcance de la responsabilidad del DPD

 

El artículo 49 de la LOPDP establece que el DPD responderá administrativa, civil y penalmente en caso de incumplimiento de sus funciones.[18] Sin embargo, el Reglamento del DPD establece que el DPD no tendrá responsabilidad siempre que fuere capaz de demostrar que actuó de forma diligente en el cumplimiento de sus funciones.[19] Con el objetivo de precisar el alcance de la responsabilidad del DPD, a continuación, analizamos las tres áreas de responsabilidad.

 

a. Responsabilidad administrativa

 

La responsabilidad administrativa nace de una infracción administrativa. El artículo 29 del Código Orgánico Administrativo (“COA”), establece que “[s]on infracciones administrativas las acciones u omisiones en la ley. A cada infracción administrativa le corresponde una sanción administrativa”.[20] En consecuencia, tanto las infracciones, como sus sanciones, deben estar claramente establecidas en la ley, de acuerdo con el principio de reserva de ley consagrado en el numeral 2 del artículo 132 de la Constitución.[21]

 

La LOPDP no contempla infracciones, ni sanciones administrativas específicas para el DPD. Además, la LOPDP no establece una remisión o autorización normativa a favor a la SPDP que le permita tipificar infracciones en contra del DPD en función de la colaboración reglamentaria, dado que en dicho cuerpo legal no se delimitan los elementos esenciales o núcleo básico del comportamiento ilícito que permita la tipificación de una infracción.[22] En consecuencia, la Autoridad carece de facultad para investigar y sancionar el incumplimiento de las funciones y responsabilidad del DPD.

 

b. Responsabilidad civil

 

La responsabilidad civil se fundamenta en el cometimiento de un daño que debe ser reparado.[23] Para que este sea indemnizable se debe comprobar que haya un daño producto de un acto antijurídico, la causalidad entre el daño y el ilícito y la culpabilidad, la cual tiene mayor relevancia en el régimen de responsabilidad civil contractual. Se distinguen dos tipos de responsabilidad civil: contractual y extracontractual. El DPD será civilmente responsable por el incumplimiento de las obligaciones establecidas en el contrato celebrado con la organización que le generen un daño a esta última. En este caso, el DPD tendrá responsabilidad contractual al comprobarse el daño producto de una violación derivada de una obligación pactada en el contrato.  La responsabilidad extracontractual del DPD se origina en el deber general de no causar un daño. Por lo tanto, el comportamiento antijurídico del DPD le genera la obligación de indemnizar cuando se compruebe un daño ajeno a una obligación contractual, por ejemplo, una obligación establecida en la ley. Así, el DPD podría ser responsable por los daños ocasionados a la organización o a los titulares de datos personales. Tanto la responsabilidad contractual, como la extracontractual deben ser declaradas por el juez competente o por el árbitro en su caso.

 

c. Responsabilidad penal

 

La responsabilidad penal nace del cometimiento de un acto típico, antijurídico y culpable. La jurisprudencia de la Corte Constitucional establece que, para sancionar una infracción penal, esta debe estar tipificada en una norma contenida en la ley.

 

De esta forma, en materia penal, que es de última ratio, la reserva de ley es absoluta dado que, para garantizar el orden social, ante el cometimiento de ilícitos penales –las faltas más graves–, es necesario imponer sanciones más severas y restrictivas de derechos fundamentales, por ejemplo, la pena privativa de la libertad.[24] (destacado fuera de texto)

 

Nuestro ordenamiento jurídico no consagra una disposición específica que tipifique como ilícito penal el incumplimiento de las funciones del DPD. Esto no impide que el DPD pueda acarrear responsabilidad penal por el cometimiento de una infracción penal en el desempeño de sus funciones. Por ejemplo, adulteración de documentos.

 

          III.         Obligación de designar un DPD

 

     1.         ¿Cuándo es obligatorio designar un DPD?

El numeral 13 del artículo 47 de la LOPDP establece la obligación de designar un DPD en los casos que corresponda.[25] El artículo 48 del mismo cuerpo legal especifica quiénes y en qué situaciones deben designarlo :

 

  1. Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;
  2. Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;
  3. Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y
  4. Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.[26]

 

Por lo tanto, todos los entes que conforman el sector público deben designar un DPD. En los casos de los literales b) y c), será necesario realizar un análisis individual para determinar la obligación de designar o no un DPO. Para el efecto, es necesario que la Autoridad emita normativa secundaria que precise el significado de ciertos términos como “número de interesados o titulares, bien como cifra concreta o como proporción de la población correspondiente”, “volumen de datos o la verdad de elementos de datos que son objeto del tratamiento”, “alcance geográfico de la actividad de tratamiento”, entre otros.[27] También será necesario precisar el alcance del literal d) del citado artículo  que establece que será obligatorio designar un DPD “cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva (…)”. (destacado fuera del texto). Bajo esta premisa, consideramos necesario reformar el literal d) del artículo 48 de la LOPDP, con el objetivo de corregir la redacción de la citada norma eliminando la palabra “no” de modo que se aclare que la obligación de designar un DPD procede cuando el tratamiento se refiera a datos relacionados con la seguridad nacional y defensa del Estado calificados de reservados. Caso contrario, por regla general, sería obligatorio que toda organización designe un DPD.

 

Adicional a lo establecido en la LOPDP, el Reglamento del DPD establece los casos especiales bajo los cuales se debe designar un DPD, independientemente de si se trata de actividades que persiguen el lucro o no. El listado de los sectores y organizaciones que tiene la obligación de designar un DPD se encuentra como Anexo 1 al presente artículo.

 

Cabe destacar que el listado establece la obligación de designar un DPD a toda institución que trate datos de menores de edad, incluso cuando dicha actividad no se enmarque dentro del ámbito educativo. Sin embargo, esta causal resulta excesivamente amplia, considerando que, en cumplimiento de obligaciones legales de carácter laboral y tributario, es una práctica habitual que las organizaciones recopilen copias de las cédulas de identidad de las cargas familiares de sus trabajadores para efectos del pago de utilidades y la aplicación de la rebaja del impuesto a la renta. En virtud de lo anterior, se considera necesario que la Autoridad aclare el alcance de esta causal, con el fin de evitar la imposición desproporcionada de la obligación de designación.

 

     2.         Consecuencias por no designar un DPD

 

En los casos que resulte obligatorio designar un DPD, las organizaciones podrán cumplir con esta obligación desde el 1 de noviembre hasta el 31 de diciembre de 2025. No designar un DPD cuando corresponda conforme a la Normativa de Protección de Datos Personales, constituye una infracción grave para el responsable del tratamiento que se podría sancionar con multa entre el 0.7% al 1% del volumen del negocio de la organización.[28]

 

          IV.         Conclusiones

 

La figura del DPD es esencial en el marco regulatorio de protección de datos. El DPD apoya a las organizaciones en el cumplimiento de las obligaciones establecidas en la Normativa de Protección de Datos Personales, minimizando los riesgos legales asociados al tratamiento de datos personales, mediante su asesoría y supervisión. Además, su designación contribuye al cumplimiento del principio de responsabilidad proactiva y demostrada.[29]

 

Aunque la designación de un DPD constituye una obligación legal para ciertos sectores, su impacto trasciende el simple cumplimiento normativo, pues está vinculado a la correcta implementación de un régimen novedoso que plantea diversas interrogantes en el tratamiento de datos personales. Por lo tanto, la designación de un DPD debería ser vista como una oportunidad de mejora para que las organizaciones gestionen de forma adecuada el tratamiento de datos personales con el apoyo de un profesional con conocimiento en la materia.

 

La expedición de la Resolución del DPD ha contribuido en aclarar respecto a los casos de designación obligatoria, las funciones de este cargo, impedimentos para ejercerlo, actividades que tiene prohibido ejecutar y casos que generar un conflicto de interés. Sin embargo, la Normativa de Protección de Datos Personales sigue presentando desafíos, debido a la ambigüedad e imprecisión de ciertos conceptos jurídicos indeterminados. Por ello, le corresponde a la SPDP aclarar el alcance de estos conceptos a través de normativa secundaria.

 

Además, consideramos desproporcionado atribuirle responsabilidad penal al DPD. Esto podría desincentivar a los profesionales a asumir este cargo que tiene alta relevancia en el ecosistema de protección de datos personales. A modo de referencia, en la legislación española, el DPD no asume responsabilidad personal por infracciones a la normativa de protección de datos personales, en virtud de que dicha responsabilidad es exclusiva de los responsables o encargados del tratamiento.

 

Finalmente, es importante destacar que la designación de un DPD no exime a los responsables y encargados del tratamiento de cumplir con sus obligaciones en materia de protección de datos. El DPD desempeña un rol de apoyo y supervisión, pero el cumplimiento integral de la Normativa de Protección de Datos Personales le corresponde a las organizaciones.

 

 

Anexo 1

 

Casos especiales que requieren la designación de un DPD

 

  1. Instituciones de educación inicial.
  2. Instituciones de educación general básico y/o bachillerato.
  3. Cualquier institución que trate datos de menores de edad, sin que se limite al ámbito educativo.
  4. Instituciones de educación superior que traten categorías especiales de datos personales para la ejecución de actividades académicas o administrativas.
  5. Personas jurídicas que realizaren actividades financieras y que traten directa o indirectamente datos personales.
  6. Personas jurídicas que realizaren operaciones de seguros:
    1. Compañías o intermediarios de seguros;
    2. Compañías o intermediarios de reaseguros;
    3. Asesores productores de seguros;
    4. Corredores;
    5. Agentes;
    6. Prestadores del sector asegurador.
  7. Las personas jurídicas que realizaren prospección comercial, actividades de publicidad, investigación de mercados; que lleven a cabo tratamiento de datos personales basados en preferencias, intereses o comportamientos de los titulares o que impliquen la elaboración de perfiles.
  8. Actores del sistema de salud obligados al mantenimiento de las historias clínicas de los pacientes (exceptúan los profesionales que ejercen la profesión de manera particular.
  9. Los establecimientos del sector farmacéutico que ejecutaren actividades de producción, distribución y comercialización de productos farmacéuticos, laboratorios, cases de representación de medicamente, distribuidoras farmacéuticas y farmacias.
  10. Personas jurídicas de seguridad privada.
  11. Personar jurídicas de derecho privado o fideicomisos que administraren urbanizaciones o conjuntos residenciales o privados; o de propiedad horizontal.
  12. Federaciones o asociaciones deportivas profesionales.
  13. Sociedades anónimas deportivas, clubes profesionales o academias deportivas.
  14. Personas jurídicas de derecho privado que prestaren servicios de telecomunicaciones.
  15. Personas jurídicas de derecho privado que presten servicios de video vigilancia masiva.
  16. Personas jurídicas de derecho privado que presten servicios de geolocalización.
  17. Personas jurídicas de derecho privado que presten servicios de tecnologías de la información, inclusive las dedicadas al desarrollo, implementación o despliegue de inteligencia artificial.
  18. Personas jurídicas de derecho público o privado que fueran concesionarias de servicios públicos, incluyendo alianzas público-privadas que distribuyan, comercialicen o suministren servicios públicos.

 

[1] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 5.

[2] Ibid., artículo 4.

[3] Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, artículo 39.

[4] Reglamento General de la Ley Orgánica de Protección de Datos Personales, R.O.S. No. 435, 13 de noviembre de 2023, artículo 55; y, Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 11.

[5] Constitución de la República, R.O. No. 449, 20 de octubre de 2008, artículo 61; Código de la Democracia, R.O.S. No. 578, 27 de abril de 2009, artículo 2.

[6] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 4.

[7] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículos 5, 6 y 7.

[8] Reglamento General de la Ley Orgánica de Protección de Datos Personales, R.O.S. No. 435, 13 de noviembre de 2023, artículo 49; y, Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 12.

[9] Reglamento General de la Ley Orgánica de Protección de Datos Personales, R.O.S. No. 435, 13 de noviembre de 2023, artículo 50. “Los grupos empresariales podrán designar a un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que esto genere conflicto de intereses.”

[10] Ibid., artículo 56; y, Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 16.

[11] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 18.

[12] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 15.

[13] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 12, numeral 9. “(…) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico; (…)”.

[14] Ibid., artículo 50, numeral 6. “(…) 6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; (…)”. (destacado fuera de texto).

[15] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 22.

[16] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 50, numeral 4.

[17] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 49.

[18] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 49. “(…) En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.” (destacado fuera de texto)

[19] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 13.

[20] Código Orgánico Administrativo, R.O.S. No. 31, 7 de julio de 2017, artículo 29.

[21]Constitución de la República, R.O. No. 449, 20 de octubre de 2008, artículo 132, numeral 2. “(…) [s]e requerirá de ley en los siguientes casos: 2. Tipificar infracciones y establecer las sanciones correspondientes (…)”. (destacado fuera de texto)

[22] Corte Constitucional del Ecuador, sentencia No. 34-17-IN/21, R.O. Edición Constitucional No. 211, 24 de agosto de 2021, ¶ 37. “(…) Sin embargo, aquello no es suficiente, pues la reserva de ley en materia de infracciones y sanciones administrativas exige que el legislador, en su remisión o autorización normativa, mínimamente, delimite sus elementos esenciales o el núcleo básico calificado como ilícito. (…)”. (destacado fuera de texto)

[23] Código Civil, R.O.S. No. 22, 22 de octubre de 2009, artículo 2214.

[24] Corte Constitucional del Ecuador, sentencia No. 46-16-IN/22, R.O. Edición Constitucional No. 120, 21 de noviembre de 2022, ¶ 21.

[25] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 47, numeral 13.

[26] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 48.

[27] Si bien, los artículos 53 y 54 del Reglamento General a la LOPDP establecen parámetros que ayudan a determinar si una actividad de tratamiento es de control permanente y sistematizado, o de tratamiento a gran escala de datos de categorías especiales, su contenido no es del todo claro, siendo necesario acudir a la legislación comparada para comprender de mejor manera estos conceptos. Además, en ambos artículos se le otorga la potestad a la autoridad de protección de datos de determinar aspectos adicionales para establecer si una actividad de tratamiento es de control permanente y sistematizado, o de tratamiento a gran escala de categorías especiales.

[28] Ley Orgánica de Protección de Datos Personales, R.O.S. No. 459, 26 de mayo de 2021, artículos 68 numeral 12, y 72.

[29] Ibid., artículo 10, literal k).

Rafael Serrano
Partner at CorralRosales
rserrano@corralrosales.com 

Juan Martín Chavez
Associate at CorralRosales
jchavez@corralrosales.com 

Consideraciones sobre la omisión normativa del canje de dispositivos médicos en la contratación pública

El canje de medicamentos es una figura prevista en la normativa ecuatoriana que faculta  a las instituciones del Sistema Nacional de Salud a obligar a sus proveedores a reemplazar   medicamentos próximos a caducar, por otros con iguales especificaciones técnicas, y una vida útil superior (“canje”). Esta figura se encuentra regulada exclusivamente para productos definidos como: (i) medicamentos en general, (ii) medicamentos biológicos y (iii) kits de medicamentos que incluyen dispositivos médicos (todo lo anterior referido en adelante como “Medicamentos”), pero no para dispositivos médicos, los cuales son artículos o aparatos diseñados para tratar enfermedades, así como para apoyar funciones fisiológicas en el cuerpo humano, sin actuar por medios farmacológicos. No existen normas expresas o implícitas que obliguen a canjear estos últimos, lo que genera incertidumbre respecto de la aplicabilidad del canje a estos productos cuando están próximos a caducar, y, de producirse esa situación, cómo ejecutarlo.

El artículo 175 de la Ley Orgánica de Salud y  el Acuerdo Ministerial N° 00015 – 2019, obligan a los proveedores a canjear Medicamentos, incluso si la documentación del proceso de contratación no contiene dicha obligación. Sin embargo, ni el mencionado régimen ni otra  normativa regulan el canje de dispositivos médicos. Este vacío genera dudas a los proveedores, pues, en principio,  no están obligados a canjear dichos productos.

En la práctica las entidades contratantes incluyen este requisito en las distintas fases del proceso de compras públicas. Este escenario resulta particularmente oneroso cuando esta obligación no determina límites tanto en volumen como en periodicidad o causalidad. Debido a la imprecisión de las cláusulas respectivas se podría llegar al extremo de que el proveedor sea considerado incumplido si no logra satisfacerlas.

Para evitar estos riesgos, el proveedor debe asegurarse de que la norma contractual de canje disponga que este se ejecutará de acuerdo con el Acuerdo Ministerial N° 00015 – 2019, o alguno de sus límites referentes a cantidad, periodicidad o causalidad, pues éstos son razonables para el contratista, además de que le permite prever posibles impactos financieros.

Además de lo expresado en párrafos anteriores, para fortalecer la prevención de riesgos desde la etapa precontractual, es recomendable que el proveedor adopte  medidas como:

  1. verificar si la obligación de canje se limita exclusivamente a medicamentos y no se extiende a dispositivos médicos;
  2. formular preguntas orientadas a delimitar el alcance del canje durante la fase de preguntas y aclaraciones, a fin de determinar claramente la obligación; y,
  3. analizar el consumo histórico de la entidad contratante mediante su informe de necesidad, a efectos de anticipar la rotación del producto solicitado, ya que una baja rotación frente a un alto volumen de suministro podría traducirse en múltiples solicitudes de canje.

Si no se adoptan medidas como las señaladas, la experiencia indica que los proveedores podrían enfrentar canjes que alcanzan incluso el 100% de los dispositivos médicos vendidos.

Gabriela Vázquez
Asociada en CorralRosales
gvazquez@corralrosales.com 

REFORMAS EN PREDETERMINACIÓN Y DETERMINACIÓN DE RESPONSABILIDADES POR CONTRALORÍA

 

Mediante Acuerdo No. 027-CG-2025 publicado el 17 de julio de 2025 en el Registro Oficial Tercer Suplemento No. 83, se reformaron varias normas emitidas por la Contraloría General del Estado (la “Contraloría”) relacionadas con la predeterminación y determinación de responsabilidades civiles culposas.

Las normas reformadas son: (i) Estatuto Orgánico de Gestión Organizacional por Procesos; (ii) Reglamento para la Elaboración, Trámite y Aprobación de Informes de Auditoría Gubernamental; (iii) Reglamento Sustitutivo de Suscripción de Documentos; y (iv) Reglamento de Determinación de Responsabilidades.

A continuación, un resumen de las reformas.

  1. El director nacional de predeterminación de responsabilidades podrá decidir no predeterminar responsabilidades civiles culposas cuando la cuantía sea de hasta US$20.000. Para cuantías mayores, requerirá la autorización previa del subcontralor general del Estado.

 

  1. Para decidir la no predeterminación de responsabilidades civiles culposas, se deberán considerar, al menos, los siguientes criterios: (i) contradicción o incongruencia de la responsabilidad sugerida en el informe de auditoría con otros apartados del informe, documentos de descargo o normativa aplicable; (ii) falta de demostración del perjuicio económico; (iii) elaboración del informe de auditoría con normativa no vigente al momento de las actuaciones auditadas; y (iv) devolución o pago de los valores señalados en el informe por parte de los auditados.

 

  1. Si al aprobar el informe de auditoría se detecta que ha operado la caducidad para su aprobación, se deberá cancelar la orden de trabajo y se reprogramará la auditoría.

 

  1. Se aceptarán pruebas como inspección ocular, informes periciales, reconocimiento de documentos o similares, siempre que cumplan con la legislación procesal general y sean realizadas por peritos acreditados por el Consejo de la Judicatura

 

Hugo García Larriva, Socio en CorralRosales
hgarcia@corralrosales.com
+593 2 2544144

Mario Fernández, Asociado en CorralRosales
mfernandez@corralrosales.com
+593 2 2544144

© CORRALROSALES 2025
NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.

CORRALROSALES

RESOLUCIÓN NRO. SPDP‑SPD‑2025‑0030‑R – REGLAMENTO PARA LA SEUDONIMIZACIÓN, ANONIMIZACIÓN, BLOQUEO, SUSPENSIÓN Y ELIMINACIÓN DE DATOS PERSONALES

Mediante Resolución No. SPDP-SPD-2025-0030-R, de 7 de agosto 2025, la Superintendencia de Protección de Datos Personales (en adelante “SPDP”) expidió el Reglamento para la seudonimización, anonimización, bloqueo y eliminación de datos personales (en adelante “Reglamento”).

 

El objeto del Reglamento es establecer directrices para aplicar medidas de seguridad sobre los datos y garantizar el ejercicio efectivo de los derechos de los titulares.

A continuación, resumimos los principales aspectos del Reglamento:

 

I. De la seudonimización

 

Es una medida técnica que preserva la posibilidad de reidentificación de los datos objeto de tratamiento.

 

Los responsables o encargados del tratamiento podrán aplicar técnicas de seudonimización, previa ejecución del análisis de riesgo correspondiente, con el fin de técnicamente preservar la posibilidad de reidentificación de los datos objeto de tratamiento.

 

Los datos seudonimizados seguirán considerándose datos personales y por tanto les resultarán aplicables las disposiciones de la Ley Orgánica de Protección de Datos Personales.

 

La seudonimización podrá aplicarse en los siguientes casos: i) en la prestación de productos o servicios en los que no sea necesaria la identificación del titular; ii) en procesos de investigación científica, histórica o estadística; y, iii) en auditorías internas, pruebas de sistemas o análisis de seguridad.

 

En caso de que se realice una acción de reidentificación de la información seudonimizada, esta deberá registrarse en miras a garantizar el derecho a la protección de datos de los titulares.

 

II. De la anonimización

 

Es una medida de seguridad técnica empleada para impedir la identificación o reidentificación de un titular.

 

Para la aplicación de esta técnica se deberá ejecutar un análisis de riesgo sobre las implicaciones y además evaluar que esta medida no afecte la continuidad y calidad de los servicios que se presten.

 

Se requerirá de autorización de la SPDP para el tratamiento de datos de salud que estuvieran anonimizados.

 

En caso de que los datos personales estuvieren anonimizados, no se requerirá del consentimiento del titular para su transferencia.

 

III. Del bloqueo

 

Una vez cumplida la finalidad del tratamiento, los datos personales podrán ser conservados por el plazo que determinará la ley en cumplimiento de obligaciones legales o mientras exista una base de legitimación que así lo permita.

 

No obstante, se deberán aplicar técnicas de bloqueo sobre estos datos con el fin de que sean mantenidos de forma segura y el acceso a estos sea limitado y restringido para el cumplimiento de las finalidades que subsistan luego de haberse agotado la finalidad principal.

 

IV. De la suspensión

 

El titular tiene el derecho de solicitar al responsable o encargado que detenga temporalmente una determinada actividad de tratamiento. En estos casos, el responsable deberá suspender el tratamiento en un término no mayor a tres días.

 

En caso de que el tratamiento sea objeto de encargo, el responsable deberá notificar al encargado sobre la solicitud y este deberá suspender el tratamiento en un término máximo de tres días contados a partir de la notificación.

 

Asimismo, cuando un titular revoque su consentimiento, el responsable deberá cesar las actividades de tratamiento en un plazo máximo de tres (3) días contados desde la recepción de la notificación por parte del titular.

V. De la eliminación

 

El titular podrá requerir la eliminación de todos o parte de sus datos personales objeto del tratamiento. Esta solicitud solo procederá cuando el responsable no cuente con una base de legitimación que le exija continuar tratando los datos personales que hubieran sido objeto de la solicitud.

 

Si el titular ejerce este derecho y su solicitud es aceptada, el responsable deberá entregarle un documento que certifique la eliminación de sus datos personales.

Cuando el titular ejerza su derecho de eliminación, el responsable deberá notificar esta solicitud a todos los encargados del tratamiento y a los terceros a quienes previamente haya transferido los datos, para que también procedan con su eliminación en un término de tres (3) días.

 

En el contrato de encargo se deberán establecer las condiciones necesarias para ejecutar las acciones o mecanismos que permitan y garanticen la devolución o eliminación de los datos personales por parte del encargado del tratamiento.

 

El encargado del tratamiento, una vez concluida su relación jurídica con el responsable, deberá devolver o eliminar los datos personales en un término de cinco (5) días y entregar al responsable un documento que certifique dicha eliminación.

 

VI. Del derecho de portabilidad

 

El derecho a la portabilidad faculta al titular a recibir del responsable sus datos personales en un formato compatible. Esta transferencia deberá realizarse cuando fuere técnicamente posible.

 

Una vez que la transferencia de datos se hubiere completado al nuevo responsable, el responsable original deberá eliminar los datos transferidos de sus propios sistemas.

 

En un plazo de 6 meses contados a partir de la publicación del Reglamento en el Registro Oficial, la Intendencia General de Innovación Tecnología y Seguridad de Datos Personales deberá presentar la “Guía Técnica de Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación en Protección de Datos Personales”.

 

 

Rafael Serrano, Socio en CorralRosales
rserrano@corralrosales.com
+593 2 2544144

Juan Fernando Riera, Asociado en CorralRosales
jriera@corralrosales.com
+593 2 2544144

© CORRALROSALES 2025
NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.

CORRALROSALES

ACTUALIZACIÓN DEL RUC – SUJETOS OBLIGADOS A REPORTAR A LA UAFE

 

El 6 de agosto de 2025 el Servicio Nacional de Rentas Internas (“SRI”), emitió la Resolución Nro. NAC-DGERCGC25-000000018, publicada en el Registro Oficial No. 98, de 7 de agosto de 2025 (“Resolución”) mediante la cual se estableció que:

 

  1. En el Registro Único de Contribuyentes (“RUC”) se detallará si el sujeto pasivo es o no sujeto obligado a reportar ante la Unidad de Análisis Financiero y Económico (“UAFE”).

 

  1. El SRI podrá suspender de oficio el RUC de aquellos contribuyentes que no hubieran obtenido su Código de Registro emitido por la UAFE en un plazo de 30 días hábiles tras la apertura o actualización del RUC.

 

  • En caso se suspensión, esta se mantendrá hasta que el contribuyente presente al SRI el certificado de cumplimiento de obligaciones emitido por la UAFE.

 

Recomendamos revisar las actividades incluidas en el RUC para mantener únicamente aquellas actividades que el sujeto pasivo efectivamente realiza y eliminar aquellas que no ejecuta para evitar que sea clasificado como sujeto obligado a reportar ante la UAFE de forma errónea.

Andrea Moya, Socia en CorralRosales
amoya@corralrosales.com
+593 2 2544144

Juan Fernando Riera, Asociado en CorralRosales
jriera@corralrosales.com
+593 2 2544144

© CORRALROSALES 2025
NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.

CORRALROSALES

PRÓRROGA PARA PRESENTACIÓN DE PLANES DE IGUALDAD

El 30 de julio de 2025, el Ministerio del Trabajo emitió el Acuerdo Ministerial Nro. MDT-2025-083, que amplía el plazo para que los empleadores del sector privado con una nómina de 50 o más trabajadores realicen el registro de los “Planes de Igualdad” hasta el 31 de diciembre de 2025, a través del Sistema Único de Trabajo (SUT).

Concluido este plazo, el Ministerio del Trabajo iniciará el proceso de control y sanción correspondiente en caso de omisión en el registro.

 

Edmundo Ramos, Socio en CorralRosales
eramos@corralrosales.com
+593 2 2544144

 

María Victoria Beltrán, Asociada Senior en CorralRosales
mbeltran@corralrosales.com
+593 2 2544144

 

© CORRALROSALES 2024
NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.

CORRALROSALES

La Pandemia de COVID-19 No Constituye Caso de Fuerza Mayor que Justifique la Falta de Uso en el Sector Alimentario, Dictamina la Oficina de PI de Ecuador

  • Grupo Bimbo argumentó que la pandemia constituía un caso de fuerza mayor que interrumpió gravemente la comercialización de los productos amparados por la marca DONETTES.
  • Sin embargo, la Oficina de Propiedad Intelectual no estuvo de acuerdo, afirmando que ciertos productos —como los de la Clase 30— fueron constantemente considerados como bienes esenciales durante la pandemia.
  • La marca DONETTES abarcaba una amplia gama de productos, lo que ofrecía múltiples vías potenciales para demostrar su uso comercial continuo.

En una decisión histórica con implicaciones significativas para los titulares de marcas (Resolución No. OCDI-2025-388, Expediente OCDI-2021-547-AC), la Oficina de Propiedad Intelectual de Ecuador ha acogido una acción de cancelación por falta de uso contra la marca DONETTES, propiedad de Grupo Bimbo S.A.B. de C.V., subrayando los estrictos estándares probatorios necesarios para demostrar el uso de una marca, incluso en circunstancias extraordinarias como una pandemia global.

Antecedentes

El marco jurídico aplicable, la Decisión 486 de la Comunidad Andina que establece el Régimen Común sobre Propiedad Industrial, define con precisión el término «uso». Establece que una marca se considera usada cuando los bienes o servicios asociados son efectivamente colocados en el mercado o puestos a disposición del público de manera y en cantidad conforme a las prácticas comerciales habituales, teniendo en cuenta su naturaleza.

En su defensa, Grupo Bimbo sostuvo que el inicio de la pandemia de COVID-19 en 2020 —un período comprendido dentro del plazo relevante— constituía un caso de fuerza mayor que interrumpió gravemente la comercialización de los productos protegidos bajo la marca DONETTES. Además, Grupo Bimbo solicitó a la Oficina de PI una prórroga de cuatro meses al período relevante, invocando el estado de excepción declarado en Ecuador. Durante este período, se suspendieron temporalmente garantías constitucionales, como la libertad de tránsito y reunión, y numerosas instituciones públicas —incluida la propia Oficina de PI— suspendieron plazos en asuntos judiciales y administrativos.

Decisión

La Oficina de PI analizó cuidadosamente estos argumentos. Si bien reconoció que el estado de excepción impuso restricciones a ciertas actividades no esenciales, enfatizó que sectores esenciales como la producción, distribución y venta de alimentos estaban explícitamente exentos de muchas de estas limitaciones. Además, observó que canales comerciales como la entrega a domicilio y los servicios de telecomunicaciones permanecieron completamente operativos y continuaron facilitando el comercio durante la crisis.

Al evaluar los alegatos de Grupo Bimbo, la Oficina de PI prestó especial atención a la naturaleza y el alcance de los productos amparados por la marca DONETTES. Destacó que algunos bienes, como productos de panadería y pastelería (Clase 30), fueron constantemente tratados como artículos esenciales durante la pandemia. Asimismo, la marca DONETTES cubría una gama amplia de productos, lo cual ofrecía múltiples oportunidades para que Grupo Bimbo demostrara un uso comercial continuo.

En última instancia, la Oficina de PI concluyó que, si bien la pandemia fue indudablemente disruptiva, no impidió que Grupo Bimbo hiciera un uso genuino de la marca en relación con los diversos bienes protegidos. En consecuencia, consideró que los argumentos de Grupo Bimbo, incluidos los relativos a la fuerza mayor, eran insuficientes para justificar la falta de uso.

Comentario

Esta decisión sienta un precedente importante respecto al uso de las marcas. Refuerza con firmeza el principio de que los derechos marcarios están fundamentalmente condicionados a su uso real y efectivo en el comercio. Además, aclara que las defensas basadas en fuerza mayor u otras circunstancias extraordinarias serán interpretadas de manera restrictiva, especialmente cuando existen canales comerciales alternativos, categorías de productos exentas o cuando las circunstancias excepcionales no afectaron inequívocamente a los productos protegidos.

En tiempos de crisis, se insta a los titulares de marcas a preservar de manera proactiva evidencia clara y contemporánea del uso, en todos los canales posibles, para salvaguardar sus marcas de posibles cancelaciones por falta de uso.

Andrea Miño
Asociada en CorralRosales
andrea@corralrosales.com 

RESOLUCIÓN NO. SPDP-SPD-2025-0028-R

El 30 de julio de 2025, mediante la Resolución No. SPDP-SPD-2025-0028-R, la Superintendencia de Protección de Datos Personales (“SPDP”) expidió el Reglamento del Delegado de Protección de Datos Personales con el objetivo de regular las actividades de esa función.

 

A continuación, detallamos los aspectos más relevantes:

 

     I.         Nombramiento del Delegado de Protección de Datos Personales (“DPO” o “DPOs”)

 

El DPO deberá ser designado por el representante legal o apoderado autorizado de la organización en su rol de responsable o encargado del tratamiento.

 

El nombramiento deberá incluir:

 

  1. Fecha del nombramiento.
  2. Datos de identificación de la organización.

 

a. En el caso de sociedades domiciliadas: Razón social y número del registro único de contribuyentes.

b. En el caso de sociedades no domiciliadas: Razón social, número de identificación tributaria, domicilio, teléfonos y correos electrónicos de la casa matriz u oficina principal.

 

  1. Nombre del representante legal.
  2. Nombre del DPO.
  3. Funciones del DPO.
  4. Firma del representante legal o apoderado.
  5. Aceptación expresa del cargo por parte del DPO.

 

El nombramiento deberá ser presentado en la SPDP hasta quince (15) días después de haber sido otorgado. El incumplimiento a este plazo será considerado un incumplimiento de medidas de seguridad, sancionable como infracción grave.

 

El nombramiento será registrado en un registro público que deberá crear la SPDP.

 

   II.         Casos especiales de designación obligatoria

 

Además de los casos establecidos en la Ley Orgánica de Protección de Datos Personales (en adelante “LOPDP”), estarán obligados a designar un DPO:

 

  1. Entidades que traten datos de menores de edad.
  2. Instituciones de educación superior que traten categorías especiales de datos personales para la ejecución de actividades académicas o administrativas.
  3. Entidades que desarrollen actividades financieras.
  4. Entidades aseguradoras, compañías o intermediarios de reaseguros, así como los asesores productores de seguros, corredores, agentes y prestadores del sector asegurador.
  5. Empresas dedicadas a publicidad, prospección comercial o investigación de mercados que traten datos personales que impliquen la elaboración de perfiles.
  6. Integrantes del sistema de salud obligados al mantenimiento de historias clínicas de pacientes, a excepción de los profesionales de la salud que ejercieren su profesión de manera particular.
  7. Establecimientos del sector farmacéutico que ejecutaren actividades de producción, distribución y comercialización de productos farmacéuticos, así como los laboratorios, las casas de representación de medicamentos, las distribuidoras farmacéuticas y las farmacias.
  8. Empresas de seguridad privada, así como las personas jurídicas de derecho privado o fideicomisos que administraren urbanizaciones o conjuntos residenciales privados o propiedades horizontales, por el tratamiento de datos personales para el control de accesos.
  9. Federaciones o asociaciones deportivas profesionales, sociedades anónimas deportivas, clubes profesionales o academias deportivas.
  10. Los colegios o gremios de profesionales.
  11. Prestadores de servicios de telecomunicaciones.
  12. Empresas que ofertaren o prestaren servicios de videovigilancia masiva, geolocalización o de tecnologías de la información, inclusive las dedicadas al desarrollo, implementación o despliegue de inteligencia artificial.
  13. Personas jurídicas de derecho público o privado que fueren concesionarias de servicios públicos, así como las alianzas público-privadas que distribuyan, comercialicen o suministren servicios públicos.

 

Estos sujetos deberán designar un DPO independientemente de si actúan en calidad de responsables o encargados del tratamiento y tengan o no fines de lucro.

 

 III.         Requisitos adicionales para el DPO

 

Además de los requisitos establecidos en el Reglamento General a la LOPDP, el DPO tendrá la obligación de cumplir y aprobar el programa de profesionalización del DPO oficializado por la SPDP.

 

Esta última obligación entrará en vigencia el 1 de enero de 2029.

 

 IV.         Prohibiciones

 

El DPO no podrá realizar las siguientes actividades:

 

  1. Ejecutar funciones propias del responsable o del encargado del tratamiento.
  2. Implementar directamente la normativa de protección de datos personales.
  3. Ejecutar directamente la gestión de riesgos o las evaluaciones de impacto en materia de protección de datos. El DPO deberá limitarse a emitir observaciones no vinculantes sobre dichas evaluaciones.
  4. Tomar decisiones sobre las finalidades o medios del tratamiento.
  5. Representar a la organización ante la SPDP.
  6. Desempeñar las funciones de oficial de seguridad de la información, oficial de cumplimiento, implementador u otros cargos que pudieren generar conflictos de interés.
  7. Desempeñar funciones que comprometan su independencia, autonomía, imparcialidad u objetividad como DPO.

 

No podrán ser DPO los apoderados especiales de responsables y encargados extranjeros.

 

    V.         Conflictos de interés

 

Previo a su designación, el DPO deberá declarar cualquier conflicto de interés real, potencial o aparente. Si el conflicto se verifica antes o después del nombramiento, la organización deberá adoptar medidas correctivas, como no designarlo , modificar funciones o revocar el nombramiento, en su caso.

 

Se considerará conflicto de interés cuando el DPO:

 

  1. Ejecute o participe en actividades de tratamiento de datos personales, incluso de forma ocasional.
  2. Brindar asesoría ajena a sus funciones que tuvieren por objetivo salvaguardar los intereses de la organización.
  3. Tomar decisiones sobre la organización, sus actividades o sus gestiones internas.

 

 VI.         Imparcialidad e independencia del DPO

 

El DPO debe contar con plena independencia en el ejercicio de sus funciones.

 

La organización deberá garantizar la independencia e imparcialidad del DPO al implementar los siguientes mecanismos de control:

 

  1. Contacto directo con el más alto nivel ejecutivo y de decisión de la organización.
  2. Disponibilidad de recursos técnicos, financieros y humanos.
  3. Mecanismos para la consideración efectiva de las observaciones y recomendaciones efectuadas por el DPO, relacionadas a las actividades de tratamiento de datos personales ejecutadas por la organización.
  4. Informes que determinen el nivel de cumplimiento de la normativa de protección de datos personales por parte de la organización.

 

Esto deberá ser evaluado anualmente por la organización. En ningún caso la evaluación se podrá ejecutar por parte del DPO.

 

El DPO podrá denunciar al responsable o encargado del tratamiento ante la SPDP por los hechos que pudieran menoscabar su independencia o que pudieran constituir una represalia en consideración de sus actuaciones.

 

VII.         Consideraciones adicionales

 

Hasta el 31 de diciembre de 2025 los responsables y encargados del tratamiento deberán registrar a su DPO.

 

La falta del registro del DPO será considerada una infracción grave por la falta de implementación de medidas de seguridad.

Rafael Serrano, Socio de CorralRosales
rserrano@corralrosales.com
+593 2 2544144

Juan Martín Chavez, Asociado en CorralRosales
jchavez@corralrosales.com
+593 2 2544144

© CORRALROSALES 2025
NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.

CORRALROSALES