Delegado de protección de datos personales
Autores: Abg. Jorge Luis Simbaña y Abg. Alex Sotomayor.
La figura del delegado de protección de datos personales (DPD) ocupa un lugar central dentro del andamiaje jurídico que sostiene la protección de datos en Ecuador. No surge como una construcción administrativa de ocasión, sino como un mandato expreso de la Ley Orgánica de Protección de Datos Personales (LOPDP), fortalecido por su Reglamento General y, de forma especialmente determinante, por el conjunto de resoluciones y criterios interpretativos emitidos por la Superintendencia de Protección de Datos Personales (SPDP). En este entramado normativo, el delegado se configura tanto como asesor especializado cuanto como supervisor interno del cumplimiento de las obligaciones que recaen sobre responsables y encargados del tratamiento.
Se trata de una figura estratégica, técnica y profundamente regulada, cuya designación dejó de ser un acto meramente formal para convertirse en un componente indispensable de la responsabilidad proactiva que exige el sistema ecuatoriano. Su presencia estructura procesos, previene sanciones y consolida una cultura institucional orientada al respeto de los derechos de los titulares.
De hecho, el marco que se describe corresponde al diseño normativo vigente hasta el 2025, un período en el que el país ha ido delineando con mayor precisión el papel, las obligaciones y el alcance operativo del dentro de las organizaciones. Un esquema en constante maduración, pero ya lo suficientemente claro como para exigir estándares elevados de independencia, idoneidad técnica y coherencia institucional en todos los sectores involucrados.
La LOPDP, en su artículo 48, determina con claridad ineludible: “Se designará un delegado de protección de datos personales en los siguientes casos: 1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público (…) 2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado (…) 3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos (…) 4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado…”. No hay espacio para interpretar esta disposición como un acto discrecional. En el sector público, la obligación opera de modo automático; en el sector privado, se activa cuando las operaciones de tratamiento adquieren un carácter masivo, permanente o sensible.
Ahora bien, este marco general fue ampliado de forma sustantiva por la Resolución Nº SPDP-SPD-2025-0028-R. Su Capítulo II, bajo el título “Casos especiales de designación obligatoria”, introduce la obligación para determinados responsables y encargados, incluso si no persiguen fines de lucro. El artículo 10 precisa: “estarán obligados a designar delegados los responsables o los encargados del tratamiento que tuvieren por objeto o que se dedicaren, de forma habitual, a las siguientes actividades…”, para luego enumerar catorce sectores: instituciones educativas en todos sus niveles; universidades y centros superiores; actividades que involucren tratamiento de datos de menores; entidades financieras; compañías de seguros y reaseguros; empresas de publicidad o elaboración de perfiles; actores del sistema de salud con historias clínicas; establecimientos farmacéuticos; empresas de seguridad privada y administradores de urbanizaciones; federaciones y clubes deportivos; colegios profesionales; prestadores de telecomunicaciones; empresas de videovigilancia, geolocalización, TI o inteligencia artificial; y concesionarias o participantes de alianzas público-privadas que administren servicios públicos.
Con esta resolución, la SPDP fija un perímetro normativo preciso: más allá de las hipótesis generales de la LOPDP y su Reglamento, existe un conjunto de sectores donde la designación del DPD es obligatoria debido a la naturaleza crítica, masiva o sensible de los datos tratados. De manera indirecta, significa que miles de organizaciones en el país —muchas de ellas pequeñas o sin fines de lucro— deben contar con un delegado capacitado, independiente y debidamente registrado.
El vínculo entre delegado y ciudadanía se refuerza en el artículo 12 de la LOPDP, que garantiza al titular el derecho a conocer, entre otros aspectos: “(…) 9) Cuando sea del caso, identidad y datos de contacto del delegado de protección de datos personales…”. La figura del Delegado no se limita a una función interna: debe ser visible, accesible y operativo frente a los titulares y la autoridad. El artículo 47 de la LOPDP, por su parte, recuerda que el responsable está obligado a designarlo: “Art. 47 (…) 13) Designar al delegado de protección de datos personales, en los casos que corresponda.”. Su omisión, como señala el artículo 68, constituye una infracción grave: “12) No designar al delegado de protección de datos personales cuando corresponda.”.
¿De qué se encarga el delegado de protección de datos?
El Reglamento General profundiza aún más en la esencia de esta figura. En su artículo 48 define al delegado como: “La persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales.”. El mismo artículo exige que actúe con “total independencia” y cuente con los recursos necesarios para su labor. La SPDP, en varias consultas, ha reforzado esta exigencia. Una de las más citadas es la consulta contenida en el Oficio N° SPDP-IRD-2025-0089-O, que plantea que cada entidad pública debe analizar su estructura para ubicar al delegado en un cargo adecuado, y recalca que “en su esencia no haya ningún conflicto de intereses.”. Esto conduce a dos conclusiones reafirmadas por la autoridad: el delegado debe ser independiente y no puede encontrarse en posiciones jerárquicas que comprometan su autonomía.
El artículo 55 del Reglamento General fija los requisitos habilitantes para ejercer esta función: “[P]ara ser delegado de protección de datos personales, se requerirá: 1. Estar en goce de los derechos políticos; 2. Ser mayor de edad; 3. Tener título de tercer nivel en Derecho, Sistemas de Información, de Comunicación, o de Tecnologías; y, 4. Acreditar experiencia profesional de por lo menos cinco años.”. Solo quienes cumplan todos estos requisitos pueden ser designados. La diversidad de áreas formativas —Derecho, Sistemas, Comunicación y Tecnologías— no es casual: la protección de datos requiere conocimientos normativos, comprensión de arquitecturas tecnológicas, análisis de riesgos, comunicación estratégica y manejo de incidentes. La SPDP, mediante la consulta contenida en el oficio N° SPDP-IRD-2025-0197-O, ha sido contundente al afirmar que cualquier designación que no cumpla estos requisitos “deberá ser subsanada”, reiterando que lo contrario vuelve inválido el nombramiento: “Se recomienda subsanar las designaciones o nombramientos que contravengan lo establecido en los artículos 55 y/o 56 del RLOPDP…”.
El artículo 56 del Reglamento General delimita quiénes no pueden ser delegados: miembros de órganos de administración o control; socios; accionistas; cónyuges o parientes de administradores; y personas con conflicto de intereses. Según múltiples consultas, esto excluye categóricamente a roles como Oficial de Cumplimiento, Oficial de Seguridad de la Información o Apoderado Especial. En una de las resoluciones más claras, la SPDP sostiene: “Las funciones desempeñadas por el oficial de cumplimiento (…) se encuentran comprendidas dentro de las causales de impedimento previstas en el artículo 56 del Reglamento (…) su designación como delegado resulta contraria tanto a la LOPDP como al propio RLOPDP.”. En el caso del Oficial de Seguridad de la Información, la autoridad ha reiterado que su rol de supervisión interna implica un riesgo evidente de auto-control, incompatible con la independencia funcional del delegado. Estas prohibiciones buscan preservar la imparcialidad y evitar superposiciones que pongan en riesgo la neutralidad del cargo.
En cuanto a las funciones, el artículo 49 de la LOPDP establece que: “El delegado de protección de datos personales tendrá, entre otras, las siguientes funciones y atribuciones: 1) Asesorar (…) sobre las disposiciones contenidas en esta Ley (…) 2) Supervisar el cumplimiento (…) 3) Asesorar en el análisis de riesgo, evaluación de impacto y medidas de seguridad (…) 4) Cooperar con la Autoridad (…) y actuar como punto de contacto (…) 5) Las demás que establezca la Autoridad (…) En caso de incumplimiento (…) responderá administrativa, civil y penalmente.”. La Resolución SPDP-SPD-2025-0028-R amplía estas responsabilidades en su artículo 13: el delegado debe asesorar o supervisar análisis de riesgos, atención de derechos de titulares, gestión de vulneraciones de seguridad, control de eficacia de medidas de seguridad y cumplimiento de los registros de actividades de tratamiento: “El delegado deberá asesorar o supervisar (…) análisis de riesgos (…) atención de solicitudes (…) gestión de vulneraciones (…) control de eficacia (…) y cumplimiento de los registros de actividades…”.
Por ello, una gestión de riesgos realmente eficaz en el tratamiento de datos personales no puede reducirse a un ejercicio aislado, ni limitarse a una aproximación meramente técnica. La experiencia regulatoria demuestra que este proceso exige una gobernanza colaborativa, donde la labor del delegado de protección de datos personales mantenga un diálogo constante con distintas áreas de la organización. La propia Superintendencia, a través de su Guía de Gestión de Riesgos y Evaluación de Impacto del Tratamiento de Datos Personales, subraya que la reducción de la incertidumbre —uno de los principios esenciales de la gestión de riesgos— requiere integrar saberes jurídicos, capacidades técnicas y criterios organizacionales, incorporando métricas significativas, modelos debidamente calibrados y racionalidades metodológicas que orienten la toma de decisiones.
Esta integración no funciona como un mero procedimiento administrativo; constituye una estrategia general de gobernanza del riesgo que reconoce su naturaleza sistémica. El riesgo no emerge de una sola dimensión, sino de la interacción dinámica entre seguridad, cumplimiento normativo y protección efectiva de derechos fundamentales. De esa interacción deriva la importancia de una relación permanente entre el DPD y el Oficial de Seguridad de la Información (OSI). La guía es explícita al señalar que cualquier riesgo técnico asociado al tratamiento de datos personales se convierte, de forma inmediata, en una amenaza para los derechos y libertades de los titulares. Esto demanda una coordinación continua entre ambos roles para diseñar estrategias integradas de mitigación, construir controles compartidos y sostener operaciones organizacionales que garanticen resiliencia normativa.
En este mismo marco, la articulación del delegado con el departamento jurídico adquiere un peso decisivo, especialmente en las etapas de evaluación de impacto y análisis de cumplimiento. La gestión de riesgos conforme a la LOPDP no se limita a detectar amenazas o vulnerabilidades técnicas; incluye valorar las posibles vulnerabilidades jurídicas que pueden derivarse de interpretaciones deficientes, aplicaciones incorrectas del marco regulatorio o afectaciones a los principios de licitud, proporcionalidad y minimización. La guía mencionada destaca que esta coordinación es clave para sustentar todos los rationales —justificaciones normativas, metodológicas y empíricas— que estructuran las decisiones adoptadas a lo largo del proceso.
Por ello, la colaboración del DPD con el equipo jurídico no debe percibirse como una revisión tardía ni como un aval meramente formal, sino como una intervención anticipatoria que se inserta en el propio diseño estratégico de la organización. Este enfoque refleja con claridad los principios de responsabilidad proactiva y prevención del riesgo que estructuran la LOPDP. Además, se articula con la lógica de la metarregulación, entendida como un modelo en el que la autoridad no regula cada detalle del tratamiento de datos, sino que regula la manera en que las organizaciones se autorregulan. Bajo este esquema, la SPDP fija principios, estándares y mecanismos de supervisión, mientras que las entidades deben construir sus propios sistemas internos de cumplimiento, justificarlos y sostenerlos en el tiempo. En ese punto, el delegado se convierte en el puente operativo entre técnica, legalidad y gobernanza institucional, garantizando que la autorregulación exigida por la normativa funcione de forma coherente y que la supervisión estatal encuentre un interlocutor competente y verdaderamente independiente.
La independencia del delegado es un eje estructural
El artículo 48 del Reglamento General exige que actúe “de manera profesional, con total independencia del responsable y del encargado”. El artículo 51 de la misma norma agrega que no puede ser sancionado por cumplir adecuadamente sus funciones: “No se aplicarán sanciones por el hecho de desempeñar y cumplir sus funciones…”. Esto garantiza libertad técnica y capacidad para emitir observaciones críticas sin temor a represalias. Del mismo modo, en su artículo 57 añade un deber de confidencialidad cuya vigencia continúa incluso después de terminada la relación jurídica: “Este deber de guardar confidencialidad subsistirá incluso una vez que haya concluido la relación jurídica…”.
La SPDP ha establecido también un estándar mínimo de formación obligatoria mediante el Programa Profesionalizante, regulado por la Resolución SPDP-SPD-2025-0003-R. El artículo 11 dispone: “El delegado (…) deberá cumplir y aprobar, en forma obligatoria, el contenido mínimo de formación del Programa Profesionalizante…”. Aunque su exigibilidad plena regirá desde enero de 2029, puede constituir desde ahora un parámetro razonable de idoneidad que debe irse implementando.
La designación del DPD solo adquiere validez formal cuando es inscrita en el Sistema Nacional de Registro de Datos Personales. El procedimiento inicia en la página de la SPDP, en “Servicios en línea”, luego “Sistema Nacional de Registro de Datos Personales” y finalmente “Delegado de Protección de Datos (DPD)”, donde la entidad ingresa el RUC, verifica registros previos y crea uno nuevo. Esta obligación rige para todas las instituciones y organizaciones del país hasta el 31 de diciembre de 2025.
En suma, únicamente puede ejercer como delegado de protección de datos quien cumpla íntegramente los requisitos previstos en el artículo 55 y, al mismo tiempo, no se encuentre incurso en ninguna de las causales de impedimento del artículo 56. Quedan excluidas de esta función las personas que ocupen cargos de dirección, control o supervisión tecnológica; los socios, accionistas o parientes de quienes ejercen autoridad dentro de la organización; así como quienes desempeñen funciones de oficial de cumplimiento o de seguridad de la información. En el caso de las instituciones públicas, se añade una limitación todavía más estricta: no puede ser designada ninguna persona que ostente un nivel jerárquico superior, pues ello comprometería la independencia exigida por la normativa.
Bajo estas condiciones, el delegado debe actuar con absoluta independencia, guardar confidencialidad, demostrar solvencia técnica, cooperar con la autoridad y asumir la responsabilidad de asesorar y supervisar el cumplimiento normativo. Además, debe aprobar el Programa Profesionalizante —obligatorio a partir de 2029— y su designación debe constar en el registro oficial de la SPDP, ya que sin esa inscripción la autoridad no reconoce formalmente la delegación.
Es importante destacar que dicho registro permanece habilitado para que instituciones y organizaciones cumplan con la obligación de designación hasta el 31 de diciembre de 2025; vencido este plazo, la falta de inscripción puede ser considerada un incumplimiento.
El delegado de protección de datos personales se erige, así como uno de los pilares de la responsabilidad proactiva en Ecuador. Su función no es decorativa ni ceremonial: apunta a prevenir riesgos, resguardar derechos y consolidar una cultura institucional de protección de datos. Elegir adecuadamente a un Delegado no constituye solo un deber legal; es una decisión estratégica que determina el nivel de cumplimiento y la solidez jurídica de quienes tratan datos personales en un país donde este derecho fundamental adquiere una relevancia cada vez mayor.
