NUEVO REGLAMENTO PARA DELEGADOS DE PROTECCIÓN DE DATOS PERSONALES

What you need to know

On July 30, 2025, the Superintendence of Personal Data Protection (SPDP) issued Resolution No. SPDP-SPD-2025-0028-R, through which it enacted the Regulation on the Data Protection Officer (DPO). This new regulatory instrument aims to reinforce the implementation of the Organic Law on Personal Data Protection (LOPDP) and its corresponding Regulation (RLOPDP), while clarifying key practical aspects for organizations already working toward compliance. Resolución Nº SPDP-SPD-2025-0028-R, a través de la cual se expide el Reglamento del Delegado de Protección de Datos Personales (en adelante, el Reglamento). Este nuevo instrumento normativo tiene como objetivo reforzar la implementación de la Ley Orgánica de Protección de Datos Personales (LOPDP) así como su Reglamento (RLOPDP), y aclara aspectos prácticos clave para las organizaciones que ya están trabajando en su cumplimiento.

This bulletin outlines the key points of its content:

Who is Required to Appoint a DPO?

In addition to the public sector, which is already subject to this obligation, the Regulation clarifies that the following entities are also required to appoint a Data Protection Officer:

1. Institutions providing early childhood, elementary, and high school education—whether public, religious, or private—in in-person, semi-presential, remote, or other formats that process minors’ data, even outside the educational context.
2. Higher education institutions, public or private, due to the processing of special categories of data in their academic or administrative activities.
3. Actividades que involucren el tratamiento de datos personales sensibles relacionados con menores de edad.
4. Personas jurídicas que realicen actividades financieras, y que accedan o traten datos personales directa o indirectamente.
5. Empresas del sector asegurador, incluyendo aseguradoras, reaseguradoras, intermediarios, corredores, agentes y prestadores relacionados.
6. Empresas que realicen publicidad, prospección comercial o estudios de mercado, especialmente si elaboran perfiles basados en intereses, comportamientos o preferencias.
7. Actores del sistema de salud legalmente obligados a mantener historias clínicas (excepto profesionales de la salud independientes).
8. Establecimientos del sector farmacéutico, como laboratorios, distribuidores, farmacias y casas de representación de medicamentos.
9. Empresas de seguridad privada y administradoras de urbanizaciones, conjuntos residenciales o propiedades horizontales, por el tratamiento de datos en sistemas de control de accesos.
10. Federaciones y asociaciones deportivas profesionales, sociedades anónimas deportivas, clubes profesionales o academias deportivas.
11. Colegios y gremios profesionales.
12. Empresas privadas que presten servicios de telecomunicaciones.
13. Empresas privadas que presten servicios de: videovigilancia masiva, geolocalización, o tecnologías de la información (incluyendo aquellas que desarrollen, implementen o desplieguen inteligencia artificial).
14. Entidades públicas o privadas que sean concesionarias de servicios públicos, o alianzas público-privadas que distribuyan, comercialicen o suministren dichos servicios.

Nombramiento del Delegado

El responsable o encargado del tratamiento de datos  debe emitir un documento formal que incluya:

1. Los datos del delegado y de la organización.
2. Una descripción clara de sus funciones.
3. Su aceptación del cargo.
4. Documentos que respalden la representación legal.

Este nombramiento debe inscribirse en la SPDP en un plazo máximo de 15 días. Si se hace fuera de tiempo, se considerará una infracción de conformidad con la LOPDP.

 

Requisitos para ejercer como Delegado

Además de los requisitos ya establecidos en la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento, el nuevo Reglamento del Delegado incorpora exigencias adicionales que toda persona designada como delegado deberá cumplir obligatoriamente:

1. Aprobar el Programa Profesionalizante de Delegados de Protección de Datos, oficializado por la SPDP: Este programa será obligatorio a partir del 1 de enero de 2029 y define un contenido mínimo de formación técnica, ética y normativa.

• Mantener independencia e imparcialidad, incluso si el delegado trabaja bajo relación de dependencia con la organización: No debe estar sometido a instrucciones jerárquicas que afecten su autonomía.

• No ejercer funciones que generen conflicto de interés, como oficial de cumplimiento, oficial de seguridad de la información, o cualquier cargo que implique tomar decisiones sobre el tratamiento de datos.

• No haber sido designado como apoderado especial de responsables o encargados extranjeros que operen en Ecuador.

• No ocupar cargos del nivel jerárquico superior en el sector público.

• Declarar cualquier conflicto de interés real, potencial o aparente antes de aceptar el cargo (o durante su ejercicio si llegara a surgir después).  En tales casos, la organización debe adoptar medidas correctivas inmediatas: abstenerse de la designación, reestructurar funciones o revocar el nombramiento.

Independencia y funciones del Delegado

Este es uno de los puntos más importantes del Reglamento. El delegado debe actuar con autonomía e imparcialidad, incluso si trabaja dentro de la organización. No puede recibir instrucciones sobre cómo ejercer su función, ni puede ser sancionado por hacerla bien.

Además, la organización debe:

1. Garantizar contacto directo con la alta dirección
2. Asignar recursos suficientes para hacer su trabajo.
3. Evaluar anualmente si se están respetando estas condiciones.

Sobre sus funciones, el delegado debe:

1. Asesorar y supervisar el cumplimiento normativo.
2. Apoyar en la gestión de incidentes y en el ejercicio de derechos por parte de los titulares.
3. Supervisar el cumplimiento del registro de actividades de tratamiento.
4. Observar y orientar sobre los análisis de riesgos y evaluaciones de impacto.

No obstante, el Delegado de Protección de Datos Personales no puede tomar decisiones por la organización, implementar directamente la normativa, ni representar legalmente al responsable ante la SPDP. Tampoco puede ejercer otros cargos que comprometan su imparcialidad, tales como oficial de cumplimiento o de seguridad de la información.

 

Fechas clave

• Del 1 de noviembre al 31 de diciembre de 2025: Plazo para que las organizaciones  obligadas registren a sus delegados.

• En 3 meses contados a partir de la expedición del Reglamento: La SPDP deberá habilitar la plataforma de registro digital.

• En 6 meses contados a partir de la expedición del Reglamento: Se implementará un sistema para canalizar denuncias por afectación a la independencia del delegado.

• 1 de enero de 2029: El delegado deberá cumplir y aprobar de forma obligatoria, el contenido mínimo de formación del Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP.

Este Reglamento establece estándares claros, pone al delegado como figura clave en el cumplimiento de la LOPDP y protege su independencia. Si aún no has evaluado si tu organización necesita designar un delegado, ¡ahora es el momento!. Más que una obligación legal esta es una oportunidad para construir una cultura real de protección de datos y transparencia.

Nuestro equipo está preparado para acompañarte en la correcta implementación de esta normativa, brindándote asesoría práctica, actualizada y alineada con las exigencias de la Superintendencia de Protección de Datos Personales.

Ya sea que necesites apoyo para designar a tu delegado, revisar tus obligaciones o capacitar a tu equipo, estamos aquí para ayudarte a tomar decisiones seguras y cumplir con confianza.

¡Contáctanos!