Author Archives: Jorge Cadena

La Ley Orgánica de Protección de Datos Personales (“LOPDP”) introduce  la figura del Delegado de Protección de Datos (“DPD”), quien es integrante del sistema de protección de datos personales.[1] El DPD desempeña un papel crucial en el marco regulatorio de protección de datos en Ecuador al supervisar y asesorar respecto al correcto cumplimiento de la LOPDP, el Reglamento General de la LOPDP (“Reglamento”) y la normativa secundaria emitida por la autoridad de protección de datos personales (en conjunto con la LOPDP y el Reglamento, “Normativa de Protección de Datos Personales”).[2]

El 30 de julio de 2025, la Superintendencia de Protección de Datos Personales (“SPDP” o “Autoridad”) expidió la Resolución No. SPDP-SPD-2025-0028-R que contiene el Reglamento del Delegado de Protección de Datos Personales (“Reglamento del DPD”), que regula sus actividades.  Este documento actualiza el alcance de las obligaciones, limitaciones y responsabilidades del DPD para el cumplimiento de la Normativa de Protección de Datos Personales.

              I.          Características del DPD

     1.         Definición de DPD

Inspirada en el régimen europeo de protección de datos personales, la LOPDP define al DPD como la persona natural encargada de asesorar y supervisar, con independencia, el cumplimiento de la Normativa de Protección de Datos Personales por parte de la organización y cooperar con la Autoridad actuando como punto de contacto con ella.[3]

Esta definición destaca tres características principales del DPD: i) debe ser persona natural; ii) sus actividades comprenden velar y supervisar el cumplimiento de las obligaciones legales en materia de protección de datos de la organización; y, iii) debe cooperar con la Autoridad.

     2.         Requisitos para ser DPD

Los artículos 55 del Reglamento y 11 del Reglamento del DPD establecen los siguientes requisitos para ser DPD:

1. Estar en goce de los derechos políticos;
2. Ser mayor de edad;
3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías;
4. Acreditar experiencia profesional de por lo menos cinco años; y,
5. Aprobar un programa de profesionalización oficializado por la SPDP.[4]

Este último requisito busca garantizar que los DPD cuenten con el conocimiento necesario para asesorar adecuadamente a las organizaciones que contraten sus servicios. No obstante, su cumplimiento será obligatorio a partir del 1 de enero de 2029. El programa de profesionalización deberá ser dictado por una institución de educación superior cuya malla académica incluya el contenido mínimo establecido en la Resolución No. SPDP-SPD-2025-0004-R que contiene el Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales. Las instituciones de educación superior habilitadas para impartir estos programas de profesionalización deberán notificar a la SPDP los títulos académicos o diplomas emitidos.

Los requisitos previamente mencionados generan una interrogante: ¿el DPD puede ser una persona de nacionalidad extranjera?

Respecto a esta pregunta, los artículos 61 de la Constitución y 2 del Código de la Democracia establecen, que los ciudadanos ecuatorianos gozan de derechos políticos o de participación y las personas extranjeras cuando les sea aplicable.[5] En consecuencia, la función de DPD estaría limitada a los ciudadanos ecuatorianos. Por ello, los extranjeros únicamente podrán ejercer este cargo cuando tengan la calidad de residentes.

     3.         Designación, nombramiento y registro del DPD

El DPD deberá ser designado de manera oficial por la organización a través de su representante legal o apoderado. El nombramiento del DPD deberá incluir los siguientes elementos:

1. Fecha del nombramiento;
2. Datos de identificación de la organización;
   1. En el caso de sociedades domiciliadas en Ecuador: Razón social y número del registro único de contribuyentes.
   2. En el caso de sociedades no domiciliadas: Razón social, número de identificación tributaria, domicilio, teléfonos y correos electrónicos de la casa matriz u oficina principal.

1. Nombre del representante legal;
2. Nombre del DPD;
3. Funciones del DPD;
4. Firma del representante legal o apoderado;
5. Aceptación expresa del cargo por parte del DPD;
6. Nombramiento o poder que acredite la calidad de representante legal o apoderado; y,
7. Documentos que comprueben la existencia legal de la sociedad.[6]

Una vez que el DPD haya sido designado, la organización deberá registrar el nombramiento ante la SPDP dentro de los siguientes quince días laborales para que la Autoridad lo inscriba y publique la identidad y datos de contacto de la organización, así como el correo electrónico del DPD para fines de transparencia.[7] El incumplimiento de esta obligación constituye una infracción grave por el incumplimiento de medidas de seguridad, la cual puede ser sancionada con una multa equivalente al 0,7% al 1% del volumen de negocio de la organización..

     4.         Modalidades de contratación del DPD

El DPD puede ser contratado directamente o a través de una persona jurídica, siempre y cuando se establezca en el contrato quién es la persona natural que ocupará el cargo. Los artículos 49 del Reglamento y 12 del Reglamento del DPD permiten que la contratación sea bajo relación de dependencia o prestación de servicios profesionales.[8] Sin perjuicio de la forma de contratación, el DPD se debe garantizar la independencia para ejercer su rol y estar habilitado para dar recomendaciones y observaciones para el correcto cumplimiento de la Normativa de Protección de Datos Personales.

Bajo cualquiera de estas situaciones, el contrato entre el DPD y la organización debe asegurar el contacto directo entre el DPD y la alta directiva de la organización, la entrega de las herramientas necesarias para el desempeño del cargo, incluir cláusulas de confidencialidad para proteger la información de la sociedad y definir las funciones, impedimentos y responsabilidades del cargo.

Además, el DPD requerirá tiempo para adaptarse, conocer la organización y así desempeñar adecuadamente sus funciones, por lo que es recomendable que ejecute una auditoría interna para conocer el grado de cumplimiento de la sociedad en materia de protección de datos personales, con el objetivo de conocer qué riesgos son los que se deben mitigar.

a)    DPD interno

En este caso pueden presentarse dos situaciones: i) contratar una nueva persona para que desempeñe el cargo de DPD, o ii) designar a un empleado que se encuentre en la nómina de la organización para que asuma tales funciones. El segundo supuesto involucra que la persona se dedique exclusivamente a ejercer este rol, toda vez que no podrá ejecutar o participar en las actividades de tratamiento de datos personales de la organización, en virtud de que esto podría configurar un conflicto de interés.

b)    DPD externo

En este caso, además de los elementos señalados previamente, el contrato entre el DPD y la organización debe definir la duración del servicio y su modalidad. Además, el DPD externo requiere contar con un punto de contacto interno.

     5.         DPO para grupos empresariales

El artículo 50 del Reglamento permite que un grupo empresarial designe un mismo DPO para todas las empresas que lo conforman, siempre y cuando no se presente un conflicto de interés y pueda ejercer sus actividades adecuadamente.[9]

     6.         Personas con impedimento para ser DPD

Los artículos 56 del Reglamento y 16 del Reglamento del DPD establecen que no pueden ser DPD:

1. Quienes formen parte de los órganos de administración y control de la organización;
2. Socios o accionistas de la organización;
3. Cónyuges de los administradores, directores o comisarios de la organización, en caso de haberlos, del responsable y encargado, o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad;
4. Quienes tengan conflictos de intereses con la organización, acorde a la normativa que emita la SPDP;
5. Quienes estuvieren designados como oficiales de seguridad de la información en la organización;
6. El oficial de cumplimiento de la organización;
7. Los apedreadores especiales de organizaciones extranjeras que realizaren actividades de tratamiento de datos personales en Ecuador; y,
8. Quienes ejercieren cargos del nivel jerárquico superior en el sector público.[10]

Estas prohibiciones buscan garantizar que el DPD pueda cumplir sus funciones de manera adecuada y objetiva, sin conflictos de interés.

     7.         Casos de conflicto de interés

El Reglamento del DPDP establece que existe conflicto de interés por parte del DPD cuando: (i) ejecuta o participa en actividades de tratamiento de datos personales de la organización, incluso de forma ocasional; (ii) brinda asesoría ajena a sus funciones que tuviere por objetivo salvaguardar los intereses de la organización; y (iii) tome decisiones sobre la organización, sus actividades o sus gestiones internas.[11]

Además, el DPD está impedido de ejecutar las siguientes actividades que comprometen su imparcialidad:

1. Ejecutar funciones propias del responsable o del encargado del tratamiento.
2. Implementar directamente la normativa de protección de datos personales.
3. Ejecutar directamente la gestión de riesgos o las evaluaciones de impacto en materia de protección de datos. El DPO deberá limitarse a emitir observaciones no vinculantes sobre dichas evaluaciones.
4. Tomar decisiones sobre las finalidades o medios del tratamiento.
5. Representar a la organización ante la SPDP.
6. Desempeñar las funciones de oficial de seguridad de la información, oficial de cumplimiento, implementador u otros cargos que pudieren generar conflictos de interés.
7. Desempeñar funciones que comprometan su independencia, autonomía, imparcialidad u objetividad como DPO.[12]

Previo a la aceptación del cargo, el DPD deberá declarar y hacer manifiesta cualquier situación que pudiera suscitarle un potencial o real conflicto de interés. De existir el mencionado conflicto de interés, la organización se deberá abstener de designarlo, y en el caso que el DPD haya sido nombrado, se deberá proceder con la revocatoria del cargo.

     8.         Independencia del DPD

La independencia es una característica fundamental para que el DPD pueda velar y supervisar el cumplimiento de la Normativa de Protección de Datos Personales sin presiones o interferencias de terceros, internos o externos, a la organización. La independencia del DPD se refleja en tres aspectos clave: i) su facultad de supervisión, ii) su relación con la Autoridad y otros interesados y (iii) la implementación de controles que garanticen esta condición.

a)     Facultad de supervisión

El DPD tiene la obligación de supervisar el cumplimiento de la Normativa Aplicable de Protección de Datos Personales por parte de la organización. Esta facultad implica observar, vigilar y realizar recomendaciones. Sin embargo, implementar las recomendaciones le corresponde a la organización, caso contrario, el DPD estaría inmerso en un conflicto de interés.

b)     Relación con la Autoridad y otros interesados

El DPD mantiene una relación directa con la Autoridad, quien puede hacerle requerimientos específicos para validar el correcto cumplimiento de la Normativa Aplicable de Protección de Datos Personales por parte de la organización. Los requerimientos de la SPDP deberán ser tramitados por el DPD de manera autónoma, es decir, sin recibir instrucciones de quien contrata sus servicios.

Adicionalmente, el DPD tiene relación con los titulares de datos personales. Por ello, la LOPDP establece como parte del derecho de información de los titulares, la obligación de la organización de informar la identidad y los datos de contacto del DPD.[13] Esto concuerda con lo establecido en el numeral 6 del artículo 50 de la LOPDP que dispone que el titular de los datos personales podrá contactar al DPO con el fin de ejercer sus derechos.[14] Sin embargo, esto no implica que el DPD deba responder directamente a los titulares, puesto que ello corresponde a la organización responsable del tratamiento. Al ser una obligación del DPD velar y supervisar el cumplimiento de la Normativa Aplicable de Protección de Datos Personales, esto incluye velar por el cumplimiento de los derechos de los titulares.

c)    Controles para garantizar la independencia del DPD

Las organizaciones deben implementar los siguientes controles para garantizar que el DPD pueda ejercer su rol de forma independiente:

1. Tener contacto directo con el más alto nivel ejecutivo y de decisión de la organización.
2. Disponibilidad de recursos técnicos, financieros y humanos.
3. Mecanismos para la consideración efectiva de las observaciones y recomendaciones efectuadas por el DPO, relacionadas a las actividades de tratamiento de datos personales ejecutadas por la organización.
4. Informes que determinen el nivel de cumplimiento de la normativa de protección de datos personales por parte de la organización.[15]

La implementación de estos controles deberá ser evaluado por la organización anualmente. La evaluación no podrá ser ejecutada por el mismo DPD, dado a que se vería comprometida su objetividad. En consecuencia, es recomendable que el área de auditoría interna o cumplimiento de la organización examine el cumplimiento de estos controles, y en el evento de que la sociedad no cuente con estas áreas, lo encarguen a un consultor o auditor externo para garantizar la imparcialidad de los resultados.

     9.         Protección especial para el DPD

El numeral 4 del artículo 50 de la LOPDP establece: “[n]o podrán destituir o sancionar al delegado de protección de datos personales por el correcto desempeño de sus funciones.”[16] (destacado fuera de texto)

Por lo tanto, siempre que sus actuaciones se ajusten a la Normativa Aplicable de Protección de Datos Personales, la organización no podrá tomar medidas disciplinarias contra él. No obstante, el DPD puede ser sancionado o removido por incumplimiento de sus responsabilidades.

En el evento de que el DPD sea destituido o sancionado injustamente o en caso de que se ponga en riesgo su independencia, este podrá presentar una denuncia en contra de la organización ante la SPDP. En este caso, la Autoridad iniciará un proceso de investigación para determinar si corresponde imponer sanciones.

            II.         Funciones del DPO

     1.         Funciones

El artículo 49 de la LOPDP dispone que las funciones del DPO son:

(…) 1) Asesorar al responsable, al personal del responsable y al encargado del tratamiento de datos personales, sobre las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

2) Supervisar el cumplimiento de las disposiciones contenidas en esta Ley, el reglamento, las directrices, lineamientos y demás regulaciones emitidas por la Autoridad de Protección de Datos Personales;

3) Asesorar en el análisis de riesgo, evaluación de impacto y evaluación de medidas de seguridad, y supervisar su aplicación;

4) Cooperar con la Autoridad de Protección de Datos Personales y actuar como punto de contacto con dicha entidad, con relación a las cuestiones referentes al tratamiento de datos personales; y,

5) Las demás que llegase a establecer la Autoridad de Protección de Datos Personales con ocasión de las categorías especiales de datos personales. (…).[17]

El artículo 13 del Reglamento del DPD resalta que las funciones y atribuciones del DPD se limitan al asesoramiento y a la supervisión a la organización. Además de las funciones previamente señaladas, esta disposición establece que el asesoramiento y supervisión se restringe a:

1. Análisis de riesgos, evaluaciones de impacto y la adopción de medidas de seguridad para transferencias de datos personales;
2. Atención de solicitudes de ejercicio de derechos;
3. Gestión de vulneraciones a la seguridad y su la notificación a los titulares, la SPDP y la ARCOTEL;
4. El control de eficacia y eficiencia de las medidas de seguridad que se hubieren implementado;
5. El cumplimiento de los registros de actividades de tratamiento; y,
6. El cumplimiento de la normativa de protección de datos personales respecto a las actividades de tratamiento que se realizaren.

Por lo anterior, el DPD debe estar en constante alerta y capacitación respecto de las actualizaciones y reformas que tenga la Normativa Aplicable de Protección de Datos Personales. A partir de este conocimiento, el DPD asesora a la organización respecto de cualquier actualización documental, organizativo y las medidas de seguridad que se deban adoptar.

A partir del programa de protección de datos que implemente la organización, el DPD debe velar por el cumplimiento de la Normativa Aplicable de Protección de Datos Personales. Esta supervisión se puede lograr a través de auditorías internas o externas para analizar el nivel de cumplimiento de la organización. Los informes y resultados obtenidos a través de los diferentes procesos de control deberán ser reportados a los altos ejecutivos y a las áreas correspondientes para adoptar las medidas correctivas del caso.

Adicionalmente, el DPD asesora en la ejecución de análisis de riesgo y evaluaciones de impacto de datos personales. Es importante señalar que estas metodologías van relacionadas a la gestión de riesgos del tratamiento de datos personales y operativos. El DPD debe tener conocimiento de las metodologías de análisis de riesgo y evaluación de impacto para poder asesorar y supervisar su aplicación cuando se requiera.

La Autoridad puede requerirle al DPD información respecto al correcto cumplimiento de la Normativa Aplicable de Protección de Datos Personales. De allí la necesidad de su independencia.  Recordamos que el DPD no es el defensor de la organización en la que presta sus servicios, pues ello implicaría un conflicto de interés en su rol de supervisión y asesoramiento sobre el correcto cumplimiento de la Normativa Aplicable de Protección de Datos Personales.

     2.         Alcance de la responsabilidad del DPD

El artículo 49 de la LOPDP establece que el DPD responderá administrativa, civil y penalmente en caso de incumplimiento de sus funciones.[18] Sin embargo, el Reglamento del DPD establece que el DPD no tendrá responsabilidad siempre que fuere capaz de demostrar que actuó de forma diligente en el cumplimiento de sus funciones.[19] Con el objetivo de precisar el alcance de la responsabilidad del DPD, a continuación, analizamos las tres áreas de responsabilidad.

a. Responsabilidad administrativa

La responsabilidad administrativa nace de una infracción administrativa. El artículo 29 del Código Orgánico Administrativo (“COA”), establece que “[s]on infracciones administrativas las acciones u omisiones en la ley. A cada infracción administrativa le corresponde una sanción administrativa”.[20] En consecuencia, tanto las infracciones, como sus sanciones, deben estar claramente establecidas en la ley, de acuerdo con el principio de reserva de ley consagrado en el numeral 2 del artículo 132 de la Constitución.[21]

La LOPDP no contempla infracciones, ni sanciones administrativas específicas para el DPD. Además, la LOPDP no establece una remisión o autorización normativa a favor a la SPDP que le permita tipificar infracciones en contra del DPD en función de la colaboración reglamentaria, dado que en dicho cuerpo legal no se delimitan los elementos esenciales o núcleo básico del comportamiento ilícito que permita la tipificación de una infracción.[22] En consecuencia, la Autoridad carece de facultad para investigar y sancionar el incumplimiento de las funciones y responsabilidad del DPD.

b. Responsabilidad civil

La responsabilidad civil se fundamenta en el cometimiento de un daño que debe ser reparado.[23] Para que este sea indemnizable se debe comprobar que haya un daño producto de un acto antijurídico, la causalidad entre el daño y el ilícito y la culpabilidad, la cual tiene mayor relevancia en el régimen de responsabilidad civil contractual. Se distinguen dos tipos de responsabilidad civil: contractual y extracontractual. El DPD será civilmente responsable por el incumplimiento de las obligaciones establecidas en el contrato celebrado con la organización que le generen un daño a esta última. En este caso, el DPD tendrá responsabilidad contractual al comprobarse el daño producto de una violación derivada de una obligación pactada en el contrato.  La responsabilidad extracontractual del DPD se origina en el deber general de no causar un daño. Por lo tanto, el comportamiento antijurídico del DPD le genera la obligación de indemnizar cuando se compruebe un daño ajeno a una obligación contractual, por ejemplo, una obligación establecida en la ley. Así, el DPD podría ser responsable por los daños ocasionados a la organización o a los titulares de datos personales. Tanto la responsabilidad contractual, como la extracontractual deben ser declaradas por el juez competente o por el árbitro en su caso.

c. Responsabilidad penal

La responsabilidad penal nace del cometimiento de un acto típico, antijurídico y culpable. La jurisprudencia de la Corte Constitucional establece que, para sancionar una infracción penal, esta debe estar tipificada en una norma contenida en la ley.

De esta forma, en materia penal, que es de última ratio, la reserva de ley es absoluta dado que, para garantizar el orden social, ante el cometimiento de ilícitos penales –las faltas más graves–, es necesario imponer sanciones más severas y restrictivas de derechos fundamentales, por ejemplo, la pena privativa de la libertad.[24] (destacado fuera de texto)

Nuestro ordenamiento jurídico no consagra una disposición específica que tipifique como ilícito penal el incumplimiento de las funciones del DPD. Esto no impide que el DPD pueda acarrear responsabilidad penal por el cometimiento de una infracción penal en el desempeño de sus funciones. Por ejemplo, adulteración de documentos.

          III.         Obligación de designar un DPD

     1.         ¿Cuándo es obligatorio designar un DPD?

El numeral 13 del artículo 47 de la LOPDP establece la obligación de designar un DPD en los casos que corresponda.[25] El artículo 48 del mismo cuerpo legal especifica quiénes y en qué situaciones deben designarlo :

1. Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;
2. Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;
3. Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y
4. Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.[26]

Por lo tanto, todos los entes que conforman el sector público deben designar un DPD. En los casos de los literales b) y c), será necesario realizar un análisis individual para determinar la obligación de designar o no un DPO. Para el efecto, es necesario que la Autoridad emita normativa secundaria que precise el significado de ciertos términos como “número de interesados o titulares, bien como cifra concreta o como proporción de la población correspondiente”, “volumen de datos o la verdad de elementos de datos que son objeto del tratamiento”, “alcance geográfico de la actividad de tratamiento”, entre otros.[27] También será necesario precisar el alcance del literal d) del citado artículo  que establece que será obligatorio designar un DPD “cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva (…)”. (destacado fuera del texto). Bajo esta premisa, consideramos necesario reformar el literal d) del artículo 48 de la LOPDP, con el objetivo de corregir la redacción de la citada norma eliminando la palabra “no” de modo que se aclare que la obligación de designar un DPD procede cuando el tratamiento se refiera a datos relacionados con la seguridad nacional y defensa del Estado calificados de reservados. Caso contrario, por regla general, sería obligatorio que toda organización designe un DPD.

Adicional a lo establecido en la LOPDP, el Reglamento del DPD establece los casos especiales bajo los cuales se debe designar un DPD, independientemente de si se trata de actividades que persiguen el lucro o no. El listado de los sectores y organizaciones que tiene la obligación de designar un DPD se encuentra como Anexo 1 al presente artículo.

Cabe destacar que el listado establece la obligación de designar un DPD a toda institución que trate datos de menores de edad, incluso cuando dicha actividad no se enmarque dentro del ámbito educativo. Sin embargo, esta causal resulta excesivamente amplia, considerando que, en cumplimiento de obligaciones legales de carácter laboral y tributario, es una práctica habitual que las organizaciones recopilen copias de las cédulas de identidad de las cargas familiares de sus trabajadores para efectos del pago de utilidades y la aplicación de la rebaja del impuesto a la renta. En virtud de lo anterior, se considera necesario que la Autoridad aclare el alcance de esta causal, con el fin de evitar la imposición desproporcionada de la obligación de designación.

     2.         Consecuencias por no designar un DPD

En los casos que resulte obligatorio designar un DPD, las organizaciones podrán cumplir con esta obligación desde el 1 de noviembre hasta el 31 de diciembre de 2025. No designar un DPD cuando corresponda conforme a la Normativa de Protección de Datos Personales, constituye una infracción grave para el responsable del tratamiento que se podría sancionar con multa entre el 0.7% al 1% del volumen del negocio de la organización.[28]

          IV.         Conclusiones

La figura del DPD es esencial en el marco regulatorio de protección de datos. El DPD apoya a las organizaciones en el cumplimiento de las obligaciones establecidas en la Normativa de Protección de Datos Personales, minimizando los riesgos legales asociados al tratamiento de datos personales, mediante su asesoría y supervisión. Además, su designación contribuye al cumplimiento del principio de responsabilidad proactiva y demostrada.[29]

Aunque la designación de un DPD constituye una obligación legal para ciertos sectores, su impacto trasciende el simple cumplimiento normativo, pues está vinculado a la correcta implementación de un régimen novedoso que plantea diversas interrogantes en el tratamiento de datos personales. Por lo tanto, la designación de un DPD debería ser vista como una oportunidad de mejora para que las organizaciones gestionen de forma adecuada el tratamiento de datos personales con el apoyo de un profesional con conocimiento en la materia.

La expedición de la Resolución del DPD ha contribuido en aclarar respecto a los casos de designación obligatoria, las funciones de este cargo, impedimentos para ejercerlo, actividades que tiene prohibido ejecutar y casos que generar un conflicto de interés. Sin embargo, la Normativa de Protección de Datos Personales sigue presentando desafíos, debido a la ambigüedad e imprecisión de ciertos conceptos jurídicos indeterminados. Por ello, le corresponde a la SPDP aclarar el alcance de estos conceptos a través de normativa secundaria.

Además, consideramos desproporcionado atribuirle responsabilidad penal al DPD. Esto podría desincentivar a los profesionales a asumir este cargo que tiene alta relevancia en el ecosistema de protección de datos personales. A modo de referencia, en la legislación española, el DPD no asume responsabilidad personal por infracciones a la normativa de protección de datos personales, en virtud de que dicha responsabilidad es exclusiva de los responsables o encargados del tratamiento.

Finalmente, es importante destacar que la designación de un DPD no exime a los responsables y encargados del tratamiento de cumplir con sus obligaciones en materia de protección de datos. El DPD desempeña un rol de apoyo y supervisión, pero el cumplimiento integral de la Normativa de Protección de Datos Personales le corresponde a las organizaciones.

Anexo 1

Casos especiales que requieren la designación de un DPD

1. Instituciones de educación inicial.
2. Instituciones de educación general básico y/o bachillerato.
3. Cualquier institución que trate datos de menores de edad, sin que se limite al ámbito educativo.
4. Instituciones de educación superior que traten categorías especiales de datos personales para la ejecución de actividades académicas o administrativas.
5. Personas jurídicas que realizaren actividades financieras y que traten directa o indirectamente datos personales.
6. Personas jurídicas que realizaren operaciones de seguros:
   1. Compañías o intermediarios de seguros;
   2. Compañías o intermediarios de reaseguros;
   3. Asesores productores de seguros;
   4. Corredores;
   5. Agentes;
   6. Prestadores del sector asegurador.
7. Las personas jurídicas que realizaren prospección comercial, actividades de publicidad, investigación de mercados; que lleven a cabo tratamiento de datos personales basados en preferencias, intereses o comportamientos de los titulares o que impliquen la elaboración de perfiles.
8. Actores del sistema de salud obligados al mantenimiento de las historias clínicas de los pacientes (exceptúan los profesionales que ejercen la profesión de manera particular.
9. Los establecimientos del sector farmacéutico que ejecutaren actividades de producción, distribución y comercialización de productos farmacéuticos, laboratorios, cases de representación de medicamente, distribuidoras farmacéuticas y farmacias.
10. Personas jurídicas de seguridad privada.
11. Personar jurídicas de derecho privado o fideicomisos que administraren urbanizaciones o conjuntos residenciales o privados; o de propiedad horizontal.
12. Federaciones o asociaciones deportivas profesionales.
13. Sociedades anónimas deportivas, clubes profesionales o academias deportivas.
14. Personas jurídicas de derecho privado que prestaren servicios de telecomunicaciones.
15. Personas jurídicas de derecho privado que presten servicios de video vigilancia masiva.
16. Personas jurídicas de derecho privado que presten servicios de geolocalización.
17. Personas jurídicas de derecho privado que presten servicios de tecnologías de la información, inclusive las dedicadas al desarrollo, implementación o despliegue de inteligencia artificial.
18. Personas jurídicas de derecho público o privado que fueran concesionarias de servicios públicos, incluyendo alianzas público-privadas que distribuyan, comercialicen o suministren servicios públicos.

[1] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 5.

[2] Ibid., artículo 4.

[3] Reglamento General de Protección de Datos (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, artículo 39.

[4] Reglamento General de la Ley Orgánica de Protección de Datos Personales, R.O.S. No. 435, 13 de noviembre de 2023, artículo 55; y, Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 11.

[5] Constitución de la República, R.O. No. 449, 20 de octubre de 2008, artículo 61; Código de la Democracia, R.O.S. No. 578, 27 de abril de 2009, artículo 2.

[6] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 4.

[7] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículos 5, 6 y 7.

[8] Reglamento General de la Ley Orgánica de Protección de Datos Personales, R.O.S. No. 435, 13 de noviembre de 2023, artículo 49; y, Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 12.

[9] Reglamento General de la Ley Orgánica de Protección de Datos Personales, R.O.S. No. 435, 13 de noviembre de 2023, artículo 50. “Los grupos empresariales podrán designar a un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que esto genere conflicto de intereses.”

[10] Ibid., artículo 56; y, Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 16.

[11] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 18.

[12] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 15.

[13] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 12, numeral 9. “(…) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales, que incluirá: dirección domiciliaria, número de teléfono y correo electrónico; (…)”.

[14] Ibid., artículo 50, numeral 6. “(…) 6) El titular de los datos personales podrá contactar al delegado de protección de datos personales con relación al tratamiento de sus datos personales a fin de ejercer sus derechos; (…)”. (destacado fuera de texto).

[15] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 22.

[16] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 50, numeral 4.

[17] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 49.

[18] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 49. “(…) En caso de incumplimiento de sus funciones, el delegado de protección de datos personales responderá administrativa, civil y penalmente, de conformidad con la ley.” (destacado fuera de texto)

[19] Resolución No. SPDP-SPD-2025-0028-R, 30 de julio de 2025, artículo 13.

[20] Código Orgánico Administrativo, R.O.S. No. 31, 7 de julio de 2017, artículo 29.

[21]Constitución de la República, R.O. No. 449, 20 de octubre de 2008, artículo 132, numeral 2. “(…) [s]e requerirá de ley en los siguientes casos: 2. Tipificar infracciones y establecer las sanciones correspondientes (…)”. (destacado fuera de texto)

[22] Corte Constitucional del Ecuador, sentencia No. 34-17-IN/21, R.O. Edición Constitucional No. 211, 24 de agosto de 2021, ¶ 37. “(…) Sin embargo, aquello no es suficiente, pues la reserva de ley en materia de infracciones y sanciones administrativas exige que el legislador, en su remisión o autorización normativa, mínimamente, delimite sus elementos esenciales o el núcleo básico calificado como ilícito. (…)”. (destacado fuera de texto)

[23] Código Civil, R.O.S. No. 22, 22 de octubre de 2009, artículo 2214.

[24] Corte Constitucional del Ecuador, sentencia No. 46-16-IN/22, R.O. Edición Constitucional No. 120, 21 de noviembre de 2022, ¶ 21.

[25] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 47, numeral 13.

[26] Ley Orgánica de Protección de Datos Personales, R.O.S. 459, 26 de mayo de 2021, artículo 48.

[27] Si bien, los artículos 53 y 54 del Reglamento General a la LOPDP establecen parámetros que ayudan a determinar si una actividad de tratamiento es de control permanente y sistematizado, o de tratamiento a gran escala de datos de categorías especiales, su contenido no es del todo claro, siendo necesario acudir a la legislación comparada para comprender de mejor manera estos conceptos. Además, en ambos artículos se le otorga la potestad a la autoridad de protección de datos de determinar aspectos adicionales para establecer si una actividad de tratamiento es de control permanente y sistematizado, o de tratamiento a gran escala de categorías especiales.

[28] Ley Orgánica de Protección de Datos Personales, R.O.S. No. 459, 26 de mayo de 2021, artículos 68 numeral 12, y 72.

[29] Ibid., artículo 10, literal k).

Rafael Serrano
Partner at CorralRosales
rserrano@corralrosales.com 

Juan Martín Chavez
Associate at CorralRosales
jchavez@corralrosales.com 

El canje de medicamentos es una figura prevista en la normativa ecuatoriana que faculta  a las instituciones del Sistema Nacional de Salud a obligar a sus proveedores a reemplazar   medicamentos próximos a caducar, por otros con iguales especificaciones técnicas, y una vida útil superior (“canje”). Esta figura se encuentra regulada exclusivamente para productos definidos como: (i) medicamentos en general, (ii) medicamentos biológicos y (iii) kits de medicamentos que incluyen dispositivos médicos (todo lo anterior referido en adelante como “Medicamentos”), pero no para dispositivos médicos, los cuales son artículos o aparatos diseñados para tratar enfermedades, así como para apoyar funciones fisiológicas en el cuerpo humano, sin actuar por medios farmacológicos. No existen normas expresas o implícitas que obliguen a canjear estos últimos, lo que genera incertidumbre respecto de la aplicabilidad del canje a estos productos cuando están próximos a caducar, y, de producirse esa situación, cómo ejecutarlo.

El artículo 175 de la Ley Orgánica de Salud y  el Acuerdo Ministerial N° 00015 – 2019, obligan a los proveedores a canjear Medicamentos, incluso si la documentación del proceso de contratación no contiene dicha obligación. Sin embargo, ni el mencionado régimen ni otra  normativa regulan el canje de dispositivos médicos. Este vacío genera dudas a los proveedores, pues, en principio,  no están obligados a canjear dichos productos.

En la práctica las entidades contratantes incluyen este requisito en las distintas fases del proceso de compras públicas. Este escenario resulta particularmente oneroso cuando esta obligación no determina límites tanto en volumen como en periodicidad o causalidad. Debido a la imprecisión de las cláusulas respectivas se podría llegar al extremo de que el proveedor sea considerado incumplido si no logra satisfacerlas.

Para evitar estos riesgos, el proveedor debe asegurarse de que la norma contractual de canje disponga que este se ejecutará de acuerdo con el Acuerdo Ministerial N° 00015 – 2019, o alguno de sus límites referentes a cantidad, periodicidad o causalidad, pues éstos son razonables para el contratista, además de que le permite prever posibles impactos financieros.

Además de lo expresado en párrafos anteriores, para fortalecer la prevención de riesgos desde la etapa precontractual, es recomendable que el proveedor adopte  medidas como:

1. verificar si la obligación de canje se limita exclusivamente a medicamentos y no se extiende a dispositivos médicos;
2. formular preguntas orientadas a delimitar el alcance del canje durante la fase de preguntas y aclaraciones, a fin de determinar claramente la obligación; y,
3. analizar el consumo histórico de la entidad contratante mediante su informe de necesidad, a efectos de anticipar la rotación del producto solicitado, ya que una baja rotación frente a un alto volumen de suministro podría traducirse en múltiples solicitudes de canje.

Si no se adoptan medidas como las señaladas, la experiencia indica que los proveedores podrían enfrentar canjes que alcanzan incluso el 100% de los dispositivos médicos vendidos.

Gabriela Vázquez
Asociada en CorralRosales
gvazquez@corralrosales.com