Nueva resolución emitida por la Superintendencia de Protección de Datos Personales: Reglamento del Delegado de Protección de Datos Personales 

La Superintendencia de Protección de Datos Personales (“SPDP”) ha expedido, mediante Resolución No. SPDP-SPD-2025-0028-R, el Reglamento del Delegado de Protección de Datos Personales.  Este instrumento detalla el procedimiento para la designación, registro, funcionamiento, independencia y protección del delegado, consolidando las obligaciones previstas en la Ley Orgánica de Protección de Datos Personales (“LOPDP”) y su Reglamento.

La resolución emitida introduce lineamientos obligatorios para el sector público y privado, fija requisitos formativos, crea mecanismos de denuncia, y establece plazos concretos para el registro digital y físico de los nombramientos. Entre los elementos clave identificados dentro de la resolución, se destacan los siguientes:

  • Designación y nombramiento de Delegados: Se establecieron los lineamientos específicos para la designación del Delegado y se especificó el contenido de su nombramiento.
  • Registro de Delegados: Para el sector privado, se estableció un periodo del 1 de noviembre al 31 de diciembre de 2025 para registrar física o electrónicamente a sus delegados dentro de la plataforma que se habilitará para el efecto.

Adicionalmente a los preceptos mencionados, la SPDP ha determinado que las siguientes catorce (14) actividades, por la naturaleza o el volumen de los datos tratados, están obligadas a contar con un delegado. De esta forma, la resolución amplía los supuestos de designación obligatoria de delegados en actividades sensibles o intensivas en tratamiento de datos impactando de forma directa a numerosos modelos de negocio y a varias industrias reguladas:

1Instituciones de educación inicial, general básica y bachillerato (públicas, fiscomisionales y particulares), así como cualquier otra institución que trate datos de menores.  
2Instituciones de educación superior públicas o privadas.  
3Actividades que impliquen tratamiento de categorías especiales de datos de menores.  
4Entidades que realicen actividades financieras y tengan acceso directo o indirecto a datos personales.  
5Compañías y actores del mercado asegurador, incluidos intermediarios y asesores.  
6Empresas dedicadas a publicidad, prospección comercial o investigación de mercados basadas en perfiles, intereses o comportamientos de los titulares.  
7Instituciones y profesionales del sistema de salud obligados a mantener historias clínicas (con excepción de profesionales que ejercen de forma individual).  
8Establecimientos del sector farmacéutico (producción, distribución y comercialización).  
9Empresas de seguridad privada y administradores de urbanizaciones, conjuntos residenciales o propiedades horizontales que gestionen controles de acceso.  
10Federaciones, asociaciones y clubes deportivos, así como academias deportivas.  
11Colegios o gremios de profesionales.  
12Prestadores privados de servicios de telecomunicaciones.  
13Prestadores de videovigilancia masiva, geolocalización o tecnologías de la información, incluidas soluciones de inteligencia artificial.  
14Concesionarios de servicios públicos y alianzas público-privadas que gestionen distribución o suministro de servicios públicos.  

Desde BUSTAMANTE FABARA seguiremos difundiendo análisis especializados sobre la aplicación práctica de estos instrumentos normativos y sus implicaciones para los distintos sectores regulados.

En caso de requerir información adicional, por favor contactarse a los siguientes correos electrónicos:

Dra. María Rosa Fabara: mfabara@bustamantefabara.com

Esteban Dávila: edavila@bustamantefabara.com

Rafael Gabela: rgabela@bustamantefabara.com

Marco Sánchez: msanchez@bustamantefabara.com