La Superintendencia de Protección de Datos Personales (“SPDP”) ha expedido, mediante Resolución No. SPDP-SPD-2025-0028-R, el Reglamento del Delegado de Protección de Datos Personales. Este instrumento detalla el procedimiento para la designación, registro, funcionamiento, independencia y protección del delegado, consolidando las obligaciones previstas en la Ley Orgánica de Protección de Datos Personales (“LOPDP”) y su Reglamento.
La resolución emitida introduce lineamientos obligatorios para el sector público y privado, fija requisitos formativos, crea mecanismos de denuncia, y establece plazos concretos para el registro digital y físico de los nombramientos. Entre los elementos clave identificados dentro de la resolución, se destacan los siguientes:
- Designación y nombramiento de Delegados: Se establecieron los lineamientos específicos para la designación del Delegado y se especificó el contenido de su nombramiento.
- Registro de Delegados: Para el sector privado, se estableció un periodo del 1 de noviembre al 31 de diciembre de 2025 para registrar física o electrónicamente a sus delegados dentro de la plataforma que se habilitará para el efecto.
Adicionalmente a los preceptos mencionados, la SPDP ha determinado que las siguientes catorce (14) actividades, por la naturaleza o el volumen de los datos tratados, están obligadas a contar con un delegado. De esta forma, la resolución amplía los supuestos de designación obligatoria de delegados en actividades sensibles o intensivas en tratamiento de datos impactando de forma directa a numerosos modelos de negocio y a varias industrias reguladas:
1 | Instituciones de educación inicial, general básica y bachillerato (públicas, fiscomisionales y particulares), así como cualquier otra institución que trate datos de menores. |
2 | Instituciones de educación superior públicas o privadas. |
3 | Actividades que impliquen tratamiento de categorías especiales de datos de menores. |
4 | Entidades que realicen actividades financieras y tengan acceso directo o indirecto a datos personales. |
5 | Compañías y actores del mercado asegurador, incluidos intermediarios y asesores. |
6 | Empresas dedicadas a publicidad, prospección comercial o investigación de mercados basadas en perfiles, intereses o comportamientos de los titulares. |
7 | Instituciones y profesionales del sistema de salud obligados a mantener historias clínicas (con excepción de profesionales que ejercen de forma individual). |
8 | Establecimientos del sector farmacéutico (producción, distribución y comercialización). |
9 | Empresas de seguridad privada y administradores de urbanizaciones, conjuntos residenciales o propiedades horizontales que gestionen controles de acceso. |
10 | Federaciones, asociaciones y clubes deportivos, así como academias deportivas. |
11 | Colegios o gremios de profesionales. |
12 | Prestadores privados de servicios de telecomunicaciones. |
13 | Prestadores de videovigilancia masiva, geolocalización o tecnologías de la información, incluidas soluciones de inteligencia artificial. |
14 | Concesionarios de servicios públicos y alianzas público-privadas que gestionen distribución o suministro de servicios públicos. |
Desde BUSTAMANTE FABARA seguiremos difundiendo análisis especializados sobre la aplicación práctica de estos instrumentos normativos y sus implicaciones para los distintos sectores regulados.
En caso de requerir información adicional, por favor contactarse a los siguientes correos electrónicos:
Dra. María Rosa Fabara: mfabara@bustamantefabara.com
Esteban Dávila: edavila@bustamantefabara.com
Rafael Gabela: rgabela@bustamantefabara.com
Marco Sánchez: msanchez@bustamantefabara.com