Criterios de la SPDP: sobre la obligatoriedad de designar Delegado de Protección de Datos

El pasado 17 de septiembre de 2025 la Superintendencia de Protección de Datos Personales (“SPDP”) emitió una respuesta de carácter no vinculante respecto del alcance del numeral 3 del artículo 10 del Reglamento del Delegado de Protección de Datos Personales. Esta disposición establece la obligación de designar un Delegado en “toda actividad que conllevare el tratamiento de datos personales de categorías especiales relacionadas con menores de edad”.

La SPDP precisó que dicha obligación no se configura cuando el tratamiento de datos de menores se realiza exclusivamente para dar cumplimiento a obligaciones legales, aun cuando dicho tratamiento pueda efectuarse con frecuencia y, por tanto, cumplir con una de las dos condiciones generales previstas en el artículo 10 del Reglamento, que la actividad se realice de “forma habitual”.

En el análisis la SPDP indicó que la interpretación de la normativa debe realizarse de manera integral y a la luz de la aplicación concurrente de dos condiciones generales que rigen para todos los supuestos de designación especial previstos en Reglamento del Delegado de Protección de Datos Personales:

1. Que el responsable o encargado de tratamiento “tenga por objeto” o “se dedicaren”: la primera supone tener por finalidad, mientras que la segunda hace referencia a destinar tiempo, recursos o esfuerzos a un fin o ejercer habitualmente esa actividad. En consecuencia, cuando un contrato, estatuto o disposición normativa establece que se dedica a una determinada actividad, se entiende una orientación estable y continua hacia una finalidad específica.
    

2. Que se dedique a dicha actividad de “forma habitual”: Esto supone una conducta reiterada y permanente en el tiempo, de manera que la actividad se configure como estable, formando parte del ejercicio profesional, económico o jurídico de quien la desarrolla.

En su análisis, la Superintendencia señaló que estas condiciones no son independientes, pues primero debe verificarse la primera y solo entonces procede examinar la habitualidad. No obstante, aunque este planteamiento es acertado, resulta redundante, ya que, al cumplirse la condición de que el responsable o encargado tenga por objeto o se dedique a una actividad específica, la habitualidad quedaría implícitamente satisfecha. Esto no sucede en sentido inverso, el hecho de que una actividad se realice de manera habitual no implica que se tenga por objeto o que se dedique a dicha actividad. Tal como ocurre en la consulta planteada, donde el tratamiento de datos de menores se realiza únicamente por obligación legal y no constituye parte del giro de negocio ni de la finalidad estable y continua de la actividad.

En todo caso, lo que queda claro es que por regla general ambas condiciones deben concurrir para que se configure un supuesto de designación especial.

Ahora bien, el Reglamento contempla otros supuestos de designación especial relativa al tratamiento de datos de menores de edad que deben ser considerados. Resulta particularmente relevante el numeral 10.1, que, además de incluir a las instituciones educativas, impone la obligación de designar a “cualquier otra institución que trate datos de menores de edad aunque no lo hiciere dentro del ámbito educativo”. Surge la inquietud de si este supuesto no estaría comprendido en el alcance del numeral 10.3, que ya prevé la obligación de designar en “toda actividad que conllevare el tratamiento de datos personales de categorías especiales relacionadas con menores de edad”.

Si bien la respuesta a la consulta permite comprender con mayor claridad el artículo 10 del Reglamento y, en cierta medida, aproximar las condiciones legales que se deben cumplir para alcanzar el umbral exigido, lo cierto es que nos encontramos frente a un panorama en el que se genera una obligación cierta para instituciones inciertas.

Este tipo de cláusulas, al buscar una interpretación extensiva, terminan configurando supuestos en los que no está claro quiénes deben dar cumplimiento efectivo a las disposiciones. Esta dificultad se agrava aún más considerando que las consultas carecen de efecto vinculante, pero al mismo tiempo trasladan al administrado la carga de aplicar lo resuelto como criterio oficial en un caso concreto. En la práctica, ello resulta contrario al objetivo mismo de la emisión de lineamientos, que debería ofrecer parámetros claros y aplicables para facilitar el cumplimiento y garantizar la protección de los datos personales. Del mismo modo, las absoluciones de consultas deberían establecerse como criterios interpretativos oficiales in abstracto, aplicables a todos los administrados que buscan cumplir la ley.

Dicho esto, aún queda mucha tela por cortar en el ámbito de la protección de datos para quienes lo asumimos como un ejercicio diario de nuestra profesión.

Bibliografía
Ecuador. (2021). Ley Orgánica de Protección de Datos Personales. Registro Oficial Suplemento 459 de 26 de mayo de 2021.

Superintendencia de Protección de Datos Personales (SPDP). (17 de septiembre de 2025). Respuesta no vinculante sobre el alcance del numeral 3 del artículo 10 del Reglamento del Delegado de Protección de Datos Personales. Quito, Ecuador.