RESOLUCIÓN NO. SPDP-SPD-2025-0028-R

CorralRosales > Boletines > RESOLUCIÓN NO. SPDP-SPD-2025-0028-R
Categories Boletines Posted on Author Jorge Cadena Tags Ecuador, Quito

El 30 de julio de 2025, mediante la Resolución No. SPDP-SPD-2025-0028-R, la Superintendencia de Protección de Datos Personales (“SPDP”) expidió el Reglamento del Delegado de Protección de Datos Personales con el objetivo de regular las actividades de esa función.

 

A continuación, detallamos los aspectos más relevantes:

 

     I.         Nombramiento del Delegado de Protección de Datos Personales (“DPO” o “DPOs”)

 

El DPO deberá ser designado por el representante legal o apoderado autorizado de la organización en su rol de responsable o encargado del tratamiento.

 

El nombramiento deberá incluir:

 

  1. Fecha del nombramiento.
  2. Datos de identificación de la organización.

 

a. En el caso de sociedades domiciliadas: Razón social y número del registro único de contribuyentes.

b. En el caso de sociedades no domiciliadas: Razón social, número de identificación tributaria, domicilio, teléfonos y correos electrónicos de la casa matriz u oficina principal.

 

  1. Nombre del representante legal.
  2. Nombre del DPO.
  3. Funciones del DPO.
  4. Firma del representante legal o apoderado.
  5. Aceptación expresa del cargo por parte del DPO.

 

El nombramiento deberá ser presentado en la SPDP hasta quince (15) días después de haber sido otorgado. El incumplimiento a este plazo será considerado un incumplimiento de medidas de seguridad, sancionable como infracción grave.

 

El nombramiento será registrado en un registro público que deberá crear la SPDP.

 

   II.         Casos especiales de designación obligatoria

 

Además de los casos establecidos en la Ley Orgánica de Protección de Datos Personales (en adelante “LOPDP”), estarán obligados a designar un DPO:

 

  1. Entidades que traten datos de menores de edad.
  2. Instituciones de educación superior que traten categorías especiales de datos personales para la ejecución de actividades académicas o administrativas.
  3. Entidades que desarrollen actividades financieras.
  4. Entidades aseguradoras, compañías o intermediarios de reaseguros, así como los asesores productores de seguros, corredores, agentes y prestadores del sector asegurador.
  5. Empresas dedicadas a publicidad, prospección comercial o investigación de mercados que traten datos personales que impliquen la elaboración de perfiles.
  6. Integrantes del sistema de salud obligados al mantenimiento de historias clínicas de pacientes, a excepción de los profesionales de la salud que ejercieren su profesión de manera particular.
  7. Establecimientos del sector farmacéutico que ejecutaren actividades de producción, distribución y comercialización de productos farmacéuticos, así como los laboratorios, las casas de representación de medicamentos, las distribuidoras farmacéuticas y las farmacias.
  8. Empresas de seguridad privada, así como las personas jurídicas de derecho privado o fideicomisos que administraren urbanizaciones o conjuntos residenciales privados o propiedades horizontales, por el tratamiento de datos personales para el control de accesos.
  9. Federaciones o asociaciones deportivas profesionales, sociedades anónimas deportivas, clubes profesionales o academias deportivas.
  10. Los colegios o gremios de profesionales.
  11. Prestadores de servicios de telecomunicaciones.
  12. Empresas que ofertaren o prestaren servicios de videovigilancia masiva, geolocalización o de tecnologías de la información, inclusive las dedicadas al desarrollo, implementación o despliegue de inteligencia artificial.
  13. Personas jurídicas de derecho público o privado que fueren concesionarias de servicios públicos, así como las alianzas público-privadas que distribuyan, comercialicen o suministren servicios públicos.

 

Estos sujetos deberán designar un DPO independientemente de si actúan en calidad de responsables o encargados del tratamiento y tengan o no fines de lucro.

 

 III.         Requisitos adicionales para el DPO

 

Además de los requisitos establecidos en el Reglamento General a la LOPDP, el DPO tendrá la obligación de cumplir y aprobar el programa de profesionalización del DPO oficializado por la SPDP.

 

Esta última obligación entrará en vigencia el 1 de enero de 2029.

 

 IV.         Prohibiciones

 

El DPO no podrá realizar las siguientes actividades:

 

  1. Ejecutar funciones propias del responsable o del encargado del tratamiento.
  2. Implementar directamente la normativa de protección de datos personales.
  3. Ejecutar directamente la gestión de riesgos o las evaluaciones de impacto en materia de protección de datos. El DPO deberá limitarse a emitir observaciones no vinculantes sobre dichas evaluaciones.
  4. Tomar decisiones sobre las finalidades o medios del tratamiento.
  5. Representar a la organización ante la SPDP.
  6. Desempeñar las funciones de oficial de seguridad de la información, oficial de cumplimiento, implementador u otros cargos que pudieren generar conflictos de interés.
  7. Desempeñar funciones que comprometan su independencia, autonomía, imparcialidad u objetividad como DPO.

 

No podrán ser DPO los apoderados especiales de responsables y encargados extranjeros.

 

    V.         Conflictos de interés

 

Previo a su designación, el DPO deberá declarar cualquier conflicto de interés real, potencial o aparente. Si el conflicto se verifica antes o después del nombramiento, la organización deberá adoptar medidas correctivas, como no designarlo , modificar funciones o revocar el nombramiento, en su caso.

 

Se considerará conflicto de interés cuando el DPO:

 

  1. Ejecute o participe en actividades de tratamiento de datos personales, incluso de forma ocasional.
  2. Brindar asesoría ajena a sus funciones que tuvieren por objetivo salvaguardar los intereses de la organización.
  3. Tomar decisiones sobre la organización, sus actividades o sus gestiones internas.

 

 VI.         Imparcialidad e independencia del DPO

 

El DPO debe contar con plena independencia en el ejercicio de sus funciones.

 

La organización deberá garantizar la independencia e imparcialidad del DPO al implementar los siguientes mecanismos de control:

 

  1. Contacto directo con el más alto nivel ejecutivo y de decisión de la organización.
  2. Disponibilidad de recursos técnicos, financieros y humanos.
  3. Mecanismos para la consideración efectiva de las observaciones y recomendaciones efectuadas por el DPO, relacionadas a las actividades de tratamiento de datos personales ejecutadas por la organización.
  4. Informes que determinen el nivel de cumplimiento de la normativa de protección de datos personales por parte de la organización.

 

Esto deberá ser evaluado anualmente por la organización. En ningún caso la evaluación se podrá ejecutar por parte del DPO.

 

El DPO podrá denunciar al responsable o encargado del tratamiento ante la SPDP por los hechos que pudieran menoscabar su independencia o que pudieran constituir una represalia en consideración de sus actuaciones.

 

VII.         Consideraciones adicionales

 

Hasta el 31 de diciembre de 2025 los responsables y encargados del tratamiento deberán registrar a su DPO.

 

La falta del registro del DPO será considerada una infracción grave por la falta de implementación de medidas de seguridad.

Rafael Serrano, Socio de CorralRosales
rserrano@corralrosales.com
+593 2 2544144

Juan Martín Chavez, Asociado en CorralRosales
jchavez@corralrosales.com
+593 2 2544144

© CORRALROSALES 2025
NOTA: EL texto anterior ha sido elaborado con fines informativos. CorralRosales no es responsable de ninguna pérdida o daño ocasionado como consecuencia de haberse actuado o dejado de actuar en base a la información contenida en este documento. Cualquier situación determinada adicional requiere la opinión y concepto específico de la firma.

CORRALROSALES

PREVIOUS
NEXT