LEXIS Noticias
Reglamento del delegado de protección de datos personales entra en vigencia en Ecuador
El 30 de julio de 2025, la Superintendencia de Protección de Datos Personales (SPDP) expidió, mediante la Resolución Nº SPDP-SPD-2025-0028-R, el Reglamento del Delegado de Protección de Datos Personales. Esta norma establece las condiciones de designación, funciones, requisitos, impedimentos e independencia de quienes asuman esta figura clave dentro del sistema ecuatoriano de protección de datos personales.
Marco legal aplicable al reglamento
La expedición del reglamento se fundamenta en el artículo 66, numeral 19, de la Constitución del Ecuador, que garantiza el derecho a la protección de datos personales, y en los artículos 76 y 49 de la Ley Orgánica de Protección de Datos Personales (LOPDP). A nivel reglamentario, se apoya en los artículos 48, 50, 51 y 55 del Reglamento General de la LOPDP (RGLOPDP).
En ejercicio de las competencias asignadas por el ordenamiento jurídico, la SPDP está habilitada para emitir normativa técnica destinada a regular la figura del delegado, asegurar su independencia y establecer las condiciones obligatorias para su designación.
Contenido del reglamento sobre el delegado de protección de datos
El reglamento dispone que toda entidad pública o privada que actúe como responsable o encargado del tratamiento de datos debe designar un delegado conforme a lo dispuesto en la LOPDP y el RGLOPDP. El nombramiento debe cumplir con requisitos formales y ser inscrito ante la SPDP dentro de los quince días posteriores a su otorgamiento.
Se determina que el delegado debe haber aprobado el Programa Profesionalizante autorizado por la SPDP (requisito que será exigible a partir del 1 de enero de 2029) y no puede ejercer funciones que comprometan su imparcialidad, como oficial de cumplimiento, oficial de seguridad de la información o apoderado especial de entidades extranjeras.
Además, el reglamento regula el procedimiento para denunciar ante la SPDP situaciones que afecten la independencia del delegado o impliquen represalias por el ejercicio de sus funciones.
Sujetos obligados y plazos para implementación
La designación de delegados es obligatoria en todas las entidades del sector público conforme al artículo 225 de la Constitución, así como en diversos sectores privados, entre ellos: instituciones educativas, financieras, aseguradoras, de salud, telecomunicaciones, vigilancia privada, y aquellas que traten categorías especiales de datos o datos de menores de edad.
Los responsables y encargados del tratamiento del sector privado deben registrar los nombramientos de sus delegados ante la SPDP entre el 1 de noviembre y el 31 de diciembre de 2025. El incumplimiento se considerará como una falta relacionada con medidas de seguridad jurídicas.
También se establecen plazos de tres y seis meses para la creación de plataformas digitales destinadas al registro y al ejercicio del derecho de defensa de los delegados, respectivamente.
Facultades para instituciones de educación superior
El reglamento incluye reformas al Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales, mediante las cuales se habilita a las instituciones de educación superior a presentar programas profesionalizantes para su aprobación por parte de la SPDP.
Una vez aprobados, estos programas podrán utilizar la imagen institucional de la Superintendencia bajo las condiciones determinadas en el Manual de Identidad Corporativa. La SPDP podrá revocar estas autorizaciones si se incumplen los requisitos establecidos o se alteran sin notificación previa elementos sustanciales como la nómina de docentes.