# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES
Que el numeral 19 del artículo 66 de la Constitución de la República del Ecuador (“CRE”) les reconoce y garantiza a las personas el derecho “a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos o información requerirán la autorización del titular o el mandato de la ley” ;
Que el artículo 213 CRE establece que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídico y atiendan al interés general (…)” ; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo dispone el artículo 204 idem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (…)” ;
Que a través de la LOPDP se creó la Superintendencia de Protección de Datos Personales (“SPDP”) como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;
Que el artículo 76 de la LOPDP establece que “[l]a Autoridad de Protección de Datos Personales es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos previstos en la [Ley Orgánica de Protección de Datos Personales]”;
Que el numeral 5 de ese mismo artículo 76 de la LOPDP le confiere a la SPDP funciones, atribuciones y facultades para “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales” ;
Que la duodécima definición del artículo 4 de la LOPDP describe al delegado de protección de datos personales como la “[p]ersona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar
o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos” ;
Que el primer párrafo del artículo 48 del Reglamento General de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) complementa la definición legal antedicha, en el sentido de señalar que el delegado de protección de datos personales “se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales” ;
Que el último párrafo del artículo 48 del RGLOPDP le otorga a la SPDP atribuciones para “emitir la normativa que garantice la independencia del delegado de protección de datos personales en el desempeño de sus funciones en relación con el responsable y encargado” ;
Que el artículo 49 de la LOPDP establece cuáles son las principales funciones que debe cumplir el delegado de protección de datos personales, sin perjuicio de las demás que llegare a establecer la SPDP “con ocasión de las categorías especiales de datos personales”, tal cual lo señala el numeral 5 del aquí citado artículo;
Que el último párrafo del artículo 48 de la LOPDP le atribuye a la SPDP facultades para “definir nuevas condiciones en las que deba designarse un delegado de protección de datos personales”, para lo cual podrá emitir “las directrices suficientes para su designación” ;
Que el artículo 50 del RGLOPDP prevé que “[l]os grupos empresariales podrán designar a un único delegado de protección de datos personales, en la medida en que pueda ejecutar sus actividades y sin que esto genere conflicto de intereses” ;
Que el artículo 51 del RGLOPDP, de manera categórica, les obliga al responsable y al encargado del tratamiento de datos personales a “respetar el trabajo que ejecute el delegado de protección de datos personales”, de tal manera que les queda prohibido aplicarle “sanciones por el hecho de desempeñar y cumplir sus funciones” ;
Que el citado artículo 51 del RGLOPDP prevé que ¾de ser sancionado o removido el delegado por el hecho de haber ejecutado sus funciones¾ se “podrá poner este hecho en conocimiento de la Autoridad de Protección de Datos Personales, que valorará las circunstancias en las que se produjo la desvinculación o sanción y validará las sanciones que correspondan, sin perjuicio de las acciones legales o judiciales a que hubiere a lugar por parte del delegado perjudicado” ;
Que el último párrafo del invocado artículo 51 del RGLOPDP obliga a la SPDP a establecer “el procedimiento de denuncia y las sanciones correspondientes para los casos de remoción o sanción injustificadas del delegado de protección de datos” ;
Que, sin perjuicio de los requisitos que específicamente pudiere establecer la SPDP, el artículo 55 del RGLOPDP determina cuáles son aquellos de índole general que deben reunirse para poder desempeñar la función de delegado de protección de datos personales, a saber: (a) Hallarse en goce de los derechos políticos; (b) Acreditar mayoría de edad; (c) Detentar un título de tercer nivel en derecho, sistemas de información, de comunicación o de tecnologías; y, (d) Acreditar experiencia profesional de no menos de cinco años;
Que a través de la resolución Nº SPDP-SPD-2025-0004-R, publicada en el Registro Oficial Nº 42 del 20 de mayo del 2025, se aprobó el Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales;
Que el artículo 135 del Código Orgánico Administrativo (“COA”) determina que “ (…) Le corresponde a la Administración Pública, la dirección del procedimiento administrativo en ejercicio de las competencias que se le atribuyan en el ordenamiento jurídico y en este Código (…)” ;
Que mediante resolución N° SPDP-SPDP-2024-0001-R del 2 de agosto del 2024, publicada en el Tercer Suplemento del Registro Oficial N° 624 del 19 de agosto del 2024, el Superintendente de Protección de Datos Personales aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos Personales;
Que la letra b), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R establece que a la Intendencia General de Regulación de Protección de Datos Personales (“IRD”) le corresponde, entre otras atribuciones y responsabilidades, “[d]irigir y proponer la elaboración de las propuestas o proyectos normativos para crear, reformar o derogar los actos normativos, sean estos políticas, directrices, reglamentos, resoluciones, lineamientos, normas técnicas, oficios circulares, etcétera, necesarios para el ejercicio de todas las competencias y atribuciones propias de la Superintendencia de Protección de Datos Personales, con los previos informes técnicos de las unidades administrativas sustantivas y adjetivas relacionadas con el ámbito de aplicación de tales normas; así como, todos aquellos actos normativos relacionados con el ejercicio, tutela y procedimientos administrativos de gestión que garanticen a las personas naturales la plena vigencia de sus derechos y deberes previstos en dicha ley y su reglamento (…)” ;
Que la letra c), numeral 2 del artículo 10 de la resolución N° SPDP-SPDP-2024-0001-R, establece, entre las atribuciones y responsabilidades de la IRD, la de “[d]irigir y proponer la presentación al Superintendente de Protección de Datos Personales de las propuestas de normas,
reglamentos, directrices, resoluciones, normas técnicas, oficios circulares, etcétera, vinculados con la regulación de protección de datos personales, para su expedición (…)” ;
Que a través de la letra a) del artículo 4 de la resolución N° SPDP-SPD-2025-0001-R del 31 de enero del 2025, publicada en el Registro Oficial N° 750 del 24 de febrero del 2025, mediante la cual se expidieron las disposiciones, delegaciones de facultades y atribuciones a las autoridades, funcionarios y servidores públicos de la SPDP, se le delegó al Intendente General Regulación de Protección de Datos Personales, entre otras, la responsabilidad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias y la garantía del ejercicio del derecho a la protección de datos personales (…)” ;
Que la disposición transitoria del Reglamento para la Elaboración y Aprobación del Plan Regulatorio Institucional de la SPDP ¾expedido mediante resolución Nº SPDP-SPDP-2024-0018R del 30 de octubre del 2024, publicada en el Segundo Suplemento del Registro Oficial Nº 679 del 8 de noviembre del 2024¾ establece que “(…) el PRI correspondiente a los años fiscales 2024 y 2025 no seguirá el procedimiento establecido en este reglamento y, por ende, se elaborará únicamente a base de los informes técnicos emitidos por las Unidades Administrativas correspondientes; validados por la [IRD]; aprobados por el Superintendente o su delegado; y, finalmente, publicado en los portales oficiales de la SPDP cuando estén habilitados” ;
Que mediante la resolución N° SPDP-SPD-2025-0002-R del 3 de febrero del 2025 se aprobó el Plan Regulatorio Institucional del año 2025, dentro del cual se ha establecido la necesidad de expedir la normativa para regular el ejercicio de la actividad del delegado de protección de datos, a fin de garantizar su independencia en cumplimiento de la LOPDP y el RGLOPDP;
Que la IRD, a través del mediante informe técnico Nº INF-SPDP-IRD-2025-0020 del 29 de abril del 2025, justificó la pertinencia y la necesidad de determinar los lineamientos y criterios relacionados con la forma de designación, registro de nombramientos, designaciones obligatorias, funciones adicionales, independencia y cualificación del delegado de protección de datos personales, para así cumplir la LOPDP y el RGLOPDP; informe técnico que, en su parte pertinente, expuso que “(…) La SPDP en ejercicio de sus funciones y atribuciones está facultada de conformidad con el numeral 5 del artículo 76 de la LOPDP para emitir el Estatuto de Delegados de Protección de Datos Personales”, para lo cual recomendó “(…) iniciar con el proceso de socialización del proyecto de Estatuto de Delegados de Protección de Datos Personales, en cumplimiento con lo dispuesto por la Resolución N° SPDP-SPDP-2024-0022-R para que en el término de veinte (20) días la ciudadanía pueda realizar sus aportes (…)” ;
Que por medio del memorando N° SPDP-IRD-2025-0067-M, suscrito el 29 de abril del 2025, la IRD puso en conocimiento de la Dirección de Asesoría Jurídica (“DAJ”) tanto el proyecto normativo denominado Estatuto de Delegados de Protección de Datos Personales, como el informe técnico N° INF-SPDP-IRD-2025-0020, para que, dentro del término de diez días, se pronuncie sobre la concordancia con la normativa y la legalidad, de conformidad con lo dispuesto en la resolución N° SPDP-SPDP-2024-0022-R del 31 de diciembre del 2024, que contiene el Reglamento para la Creación, Modificación y Derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales, publicado en el Registro Oficial N° 734 del 31 de enero del 2025;
Que mediante memorando N° SPDP-DAJ-2025-0039-M suscrito el 29 de abril del 2025, la DAJ determinó que el Estatuto de Delegados de Protección de Datos Personales es congruente con los principios establecidos en la LOPDP, por cuanto no transgrede o contradice normas matrices, cumple con el principio de legalidad y, por ello, recomienda que “(…) [l]a IRD debe solicitar a quien corresponda la publicación a través de la página web institucional e informar su publicación a través de las redes sociales institucionales, con la finalidad de que la ciudadanía, las organizaciones de la sociedad civil o interesados en general, de manera motivada, puedan remitir sus observaciones
o realizar aportes respecto del contenido (…)” ;
Que, a través de ese mismo memorando N° SPDP-DAJ-2025-0039-M, la DAJ puso en conocimiento de la IRD el informe jurídico Nº INF-SPDP-DAJ-2025-0009, así como la validación legal del proyecto de resolución que expide el Estatuto de Delegados de Protección de Datos Personales;
Que a través del memorando N° SPDP-IRD-2025-0071-M suscrito el 30 de abril del 2025, la IRD solicitó a las unidades administrativas de la SPDP que procedan con las acciones pertinentes, a fin de que publiquen el borrador del Estatuto de Delegados de Protección de Datos Personales en la página web institucional y en las redes sociales de la SPDP, para que el proyecto de normativa esté disponible para la ciudadanía, las organizaciones de la sociedad civil o los interesados en general desde el 30 de abril al 30 de mayo del 2025, con el objeto de poder recibir sus observaciones o aportes, siempre que estuvieren debidamente motivados;
Que, para cumplir con la resolución Nº SPDP-SPDP-2024-0022-R, se ejecutó el proceso de socialización Estatuto de Delegados de Protección de Datos Personales, dentro del término de veinte días, de conformidad con el artículo 12 de dicha resolución; y, como resultado de ese proceso, se redefinió la denominación del proyecto como Reglamento del Delegado de Protección de Datos Personales;
Que a través del informe técnico Nº INF-SPDP-IRD-2025-0047, la IRD incorporó las observaciones y aportes que se consideraron relevantes y adecuados, previa justificación de las modificaciones realizadas al proyecto normativo;
Que mediante memorando Nº SPDP-IRD-2025-0133-M del 25 de julio del 2025, la IRD remitió todo el expediente al suscrito Superintendente de Protección de Datos Personales para que realice las observaciones correspondientes o, en su caso, para que lo apruebe;
Que mediante memorando N° SPDP-SPD-2025-0100-M del 29 de julio de 2025, el suscrito Superintendente de Protección de Datos Personales comunicó a la IRD las observaciones que realizó al Reglamento del Delegado de Protección de Datos Personales; y, además, solicitó que aquellas sean revisadas de conformidad con el artículo 14 del Reglamento para la Creación, Modificación y derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales;
Que mediante memorando N° SPDP-IRD-2025-0138-M del 29 de julio de 2025, la IRD puso en conocimiento del Superintendente de Protección de Datos Personales el Reglamento del Delegado de Protección de Datos Personales debidamente subsanado, de conformidad con el artículo 14 del aludido Reglamento para la Creación, Modificación y derogatoria de la Normativa de la Superintendencia de Protección de Datos Personales;
EN EJERCICIO de sus atribuciones constitucionales, legales y reglamentarias,
EXPEDIR EL REGLAMENTO DEL DELEGADO DE PROTECCIÓN DE DATOS PERSONALES
Este reglamento tiene como objeto regular las actividades de los delegados de protección de datos personales (“delegado” o “delegados”) en el ejercicio de funciones, para así cumplir con la LOPDP y el RGLOPDP.
Este reglamento es aplicable a los integrantes del sistema de protección de datos personales establecidos en la LOPDP.
El delegado deberá ser designado por quien tuviere la calidad de responsable o, según corresponda, por quien tuviere el rol de encargado del tratamiento, esto es: 3.1. Por la persona natural, ya sea por sí misma o ya fuere representada por un apoderado especial; 3.2. Por la persona jurídica de derecho privado, a través de su representante legal o apoderado debidamente autorizado; o, 3.3. Por la persona jurídica de derecho público, autoridad pública u otro organismo, representada por la máxima autoridad que ejerciere la representación legal. En este reglamento el responsable o el encargado podrán ser también aludidos, de manera indistinta, como “organización”.
El nombramiento del delegado contendrá: 4.1. La fecha de su otorgamiento; 4.2. El nombre de la persona natural o persona jurídica de derecho público o privado que tuviere la calidad de responsable o de encargado del tratamiento, según corresponda, con el número del Registro Único de Contribuyentes (RUC) en caso de tener su domicilio en la República del Ecuador. Los responsables, conjuntos o no, y encargados extranjeros que realizaren actividades de tratamiento de datos personales y que no estuvieren domiciliados en el país, deberán hacer constar en el nombramiento el número de identificación fiscal o tributaria, dirección, teléfonos, y correos electrónicos de contacto de su matriz u oficina principal en el extranjero; 4.3. Los nombres completos del representante legal o máxima autoridad que ejerciere la representación legal con su número de identificación, en el caso de una persona jurídica que lo fuere de derecho público o privado; 4.4. Los nombres completos de la persona natural que ejercerá las funciones de delegado, con el número de identificación respectivo; 4.5. Una mención de las funciones que cumplirá y de los principios establecidos en la normativa de protección de datos personales; 4.6. El nombre completo y la firma manuscrita o electrónica válida del representante legal o de la máxima autoridad que ejerciere la representación legal o, en su caso, de la persona natural; 4.7. La aceptación del cargo, que se formalizará mediante la firma manuscrita o electrónica válida que el delegado designado deberá rubricar o estampar al pie del nombramiento; 4.8. La copia del nombramiento del representante legal, del poder o mandato, de la acción de personal, de la resolución, del acuerdo o del decreto ejecutivo que acreditare la personería de la máxima autoridad, de la representación legal o del apoderado, según correspondiere; y, 4.9. Los documentos que comprueben la existencia legal de la persona jurídica, ya sea aquella de derecho público o ya fuere de derecho privado.
Si el nombramiento se hubiese formalizado a través del uso firmas electrónicas, el responsable o el encargado deberá inscribir el nombramiento en la SPDP, a través del portal web institucional, dentro del término de quince (15) días posteriores a la fecha de designación del delegado. En los casos en los que el nombramiento se hubiese formalizado en soporte de papel mediante el uso de firmas manuscritas, el responsable o el encargado deberá ser presentarlo de manera presencial. La Intendencia General de Innovación Tecnológica y de Seguridad de Datos Personales será la responsable del proceso de inscripción de los nombramientos de los delegados. Se aceptarán los nombramientos de los delegados aun después de fenecido el término señalado anteriormente; sin embargo, el registro extemporáneo será considerado como incumplimiento de una medida de seguridad de carácter jurídico. Los delegados ejercerán sus funciones a partir de la fecha del otorgamiento de sus nombramientos. CAPÍTULO II
La SPDP, a través del ámbito de competencias de la Intendencia de General de Innovación Tecnológica y Seguridad de Datos Personales, gestionará, supervisará, actualizará y mantendrá una lista de delegados que será accesible para las consultas de la ciudadanía a través del portal web institucional. La inscripción del delegado no constituye, por sí misma, la verificación o validación automática de la idoneidad para el ejercicio del cargo. La verificación del cumplimiento de los requisitos establecidos en este reglamento será realizada por la SPDP en el marco de sus facultades de control y supervisión, ya sea manera previa o ya fuere en cualquier momento posterior a la inscripción, según el procedimiento que se estableciere para el efecto.
Únicamente será accesible, a través del portal web institucional de la SPDP, la siguiente información: 7.1. Nombre del responsable o del encargado del tratamiento; 7.2. Dirección comercial, laboral o profesional del responsable o del encargado del tratamiento; 7.3. Correo electrónico comercial, laboral o profesional del delegado de protección de datos personales; y, 7.4. Dirección comercial, laboral o profesional del delegado de protección de datos personales.
En el caso de los responsables, conjuntos o no, y de los encargados extranjeros que realizaren actividades de tratamiento de datos personales y que no tuvieren su domicilio en la República del Ecuador, adicionalmente, se mostrará la siguiente información: 8.1. Nombre completo del apoderado especial; y, 8.2. Correo electrónico comercial, laboral o profesional del apoderado especial.
Cuando el responsable o el encargado del tratamiento perteneciere al sector público, en los términos del artículo 225 de la CRE, estará obligado a designar un delegado de protección de datos de conformidad con los requisitos establecidos en la normativa vigente. La SPDP, mediante resolución administrativa debidamente motivada, podrá determinar, calificar y autorizar cuáles son los casos en los que los organismos, entidades y dependencias del sector público podrán aplicar un régimen distinto para la designación del delegado y la forma de ejercer de sus funciones; ello de conformidad con la estructura administrativa establecida en la Constitución de la República del Ecuador o por atribuciones conferidas por una norma con rango de ley, con el objetivo de garantizar el cumplimiento de la LOPDP, el RGLOPDP y demás normativa vigente en la materia. En ningún caso se podrá sacrificar la garantía a los derechos y la protección de los datos personales de los titulares por la falta de designación del delegado de protección de datos personales. CAPÍTULO II CASOS ESPECIALES DE DESIGNACIÓN OBLIGATORIA
Además de lo establecido en la LOPDP y el RGLOPDP, estarán obligados a designar delegados los responsables o los encargados del tratamiento que tuvieren por objeto o que se dedicaren, de forma habitual, a las siguientes actividades aun cuando no persiguieren fin de lucro: 10.1. Las instituciones de educación inicial, educación general básica, bachillerato, relacionadas con el sostenimiento público, fiscomisional y particular, con modalidad presencial, semi presencial y/o a distancia, o cualquier otra institución que trate datos de menores de edad aunque no lo hiciere dentro del ámbito educativo; 10.2. Las instituciones de educación superior de naturaleza privada o pública, por las diferentes categorías especiales de datos personales que tuvieren que tratar para la ejecución de sus actividades académicas y/o administrativas; 10.3. Toda actividad que conllevare el tratamiento datos personales de categorías especiales relacionadas con menores de edad; 10.4. Las personas jurídicas que realizaren actividades financieras y que, por cualquier motivo, tuvieren acceso o trataren directa o indirectamente datos personales; 10.5. Las personas jurídicas que realizaren operaciones de seguros, compañías o intermediarios de reaseguros, así como los asesores productores de seguros, corredores, agentes y prestadores del sector asegurador; 10.6. Las personas jurídicas que realizaren actividades de publicidad, prospección comercial
personales basados en las preferencias, intereses o comportamientos de los titulares, o que implicaren la elaboración de perfiles; 10.7. Los actores del sistema de salud legalmente obligados al mantenimiento de las historias clínicas de los pacientes, a excepción de los profesionales de la salud que ejercieren su profesión de manera particular; 10.8. Los establecimientos del sector farmacéutico que ejecutaren actividades de producción, distribución y comercialización de productos farmacéuticos, así como los laboratorios, las casas de representación de medicamentos, las de distribuidoras farmacéuticas y las farmacias; 10.9. Las personas jurídicas de seguridad privada, así como las personas jurídicas de derecho privado o fideicomisos que administraren urbanizaciones o conjuntos residenciales privados o propiedades horizontales, por el tratamiento de datos personales para el control de accesos; 10.10. Las federaciones o asociaciones deportivas profesionales, sociedades anónimas deportivas, clubes profesionales o academias deportivas; 10.11. Los colegios o gremios de profesionales; 10.12. Las personas jurídicas de derecho privado que prestaren servicios de telecomunicaciones; 10.13. Las personas jurídicas de derecho privado que ofertaren o prestaren servicios de video vigilancia masiva, de geolocalización o de tecnologías de la información, inclusive las dedicadas al desarrollo, implementación o despliegue de inteligencia artificial; y, 10.14. Las personas jurídicas de derecho público o privado que fueren concesionarias de servicios públicos, así como las alianzas público-privadas que distribuyeren, comercializaren y/o suministraren servicios públicos.
El delegado, además de los requisitos establecidos en el RGLOPDP, para desempeñar sus funciones deberá cumplir y aprobar, en forma obligatoria, el contenido mínimo de formación del Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP.
Incluso si prestare sus servicios bajo relación de dependencia, el delegado deberá mantener total independencia e imparcialidad en el ejercicio de sus funciones. No obstante, los responsables o los encargados del tratamiento podrán contar con el servicio de delegados mediante la suscripción de contratos de prestación de servicios técnicos especializados, así como contratar servicios de soporte, asesoría, implementación y/o consultoría en materia de protección de datos personales con personas jurídicas de derecho privado domiciliadas en la República del Ecuador.
Además de las funciones y atribuciones previstas en la LOPDP, el delegado deberá asesorar o supervisar al responsable, al personal del responsable o al encargado del tratamiento, en: 13.1. El análisis de riesgos, la evaluación de impacto (cuando proceda) y en la adopción de las medidas de seguridad aplicables en las transferencias de datos personales; 13.2. La atención de las solicitudes presentadas por los titulares para el ejercicio de los derechos establecidos en la LOPDP; 13.3. La gestión de vulneraciones a la seguridad, así como su notificación al titular de los datos, a la SPDP y a la Agencia de Control y Regulación de Telecomunicaciones, cuando corresponda; 13.4. El control de eficacia y eficiencia de las medidas de seguridad de carácter técnico, físico, administrativo, organizativo y jurídico que se hubieren implementado; 13.5. El cumplimiento de los registros de actividades de tratamiento, de acuerdo con los requisitos previstos en el RGLOPDP, sin perjuicio de los demás que llegare a establecer la SPDP; y, 13.6. El cumplimiento de la normativa en protección de datos personales en los tratamientos de protección de datos personales que se realizaren. El delegado no tendrá responsabilidad por las decisiones finales ejecutadas por parte del responsable o el encargado del tratamiento, siempre que fuere capaz de demostrar que actuó de forma diligente en el cumplimiento de la normativa de protección de datos personales; en caso contrario, responderá administrativa, civil y penalmente, en los términos del último párrafo del artículo 49 de la LOPDP.
El delegado se limitará a supervisar al responsable, al personal del responsable o al encargado del tratamiento para que ejecuten, de manera correcta, el procedimiento de atención de las solicitudes para el ejercicio de derechos que fueren presentadas por los titulares respecto de sus datos personales, de conformidad con lo establecido en la normativa vigente.
El delegado tiene prohibido cumplir las obligaciones o ejercer las funciones que corresponden exclusivamente al responsable, al personal del responsable o al encargado del tratamiento, ni aquellas que pudieren comprometer su independencia e imparcialidad. Por consiguiente, tiene impedimento para: 15.1. Implementar en la organización, de forma directa, la LOPDP, el RGLOPDP y demás normativa relacionada con la materia, puesto que dicha obligación corresponde al responsable, al personal del responsable o al encargado del tratamiento; 15.2. Ejecutar, de manera directa, la gestión de riesgos o las evaluaciones de impacto en materia de protección de datos, ya que aquellas son responsabilidades del responsable
observaciones u orientaciones no vinculantes sobre dichas evaluaciones; 15.3. Tomar decisiones sobre la finalidad del tratamiento de datos personales, o en relación a los medios para realizarlo; 15.4. Representar a la organización ante la SPDP en calidad de responsable o de encargado del tratamiento, considerando que tales roles son inseparables de quienes legalmente los detentan y, por ende, que no pueden ser objeto de ningún tipo de delegación, ya fuere de carácter administrativo o de cualquier otra índole; 15.5. Ejercer, simultáneamente, funciones tales como la de oficial de seguridad de la información, oficial de cumplimiento, implementador u otros cargos que pudieren generarle conflictos de interés con su función supervisora y de asesoramiento independiente; y, 15.6. Desempeñar cualquier otra función que, por su naturaleza, pudiere originarle conflictos de interés o que fuere capaz de comprometer su independencia, autonomía, imparcialidad u objetividad como delegado. En ningún caso el delegado podrá recibir instrucciones del responsable, del personal del responsable o del encargado respecto al ejercicio de sus funciones, ni sufrir represalias por su actuación técnica y autónoma.
Además de los impedimentos establecidos en el RGLOPDP, no podrán ser nombrados
16.1. Las mismas personas que estuvieren designadas como oficiales de seguridad de la información dentro de la organización; 16.2. Las mismas personas que fueren oficiales de cumplimiento dentro de la organización; 16.3. Los apoderados especiales de responsables, conjuntos o no, y de encargados extranjeros que realizaren actividades de tratamiento de datos personales en la República del Ecuador; y, 16.4. Las personas que ejercieren cargos del nivel jerárquico superior en el sector público.
Todo aquel que fuere designado como delegado deberá, de manera previa a la aceptación del cargo, declarar o hacer manifiesta cualquier situación que pudiere suscitarle un conflicto de intereses real, potencial o aparente, en cuyo caso el responsable o el encargado del tratamiento deberá adoptar las correspondientes medidas correctivas, tales como la abstención de designarle, la reestructuración funcional o la revocatoria del nombramiento, según correspondiere. Se seguirá el mismo procedimiento establecido en el párrafo precedente en los casos de conflicto de interés sobrevenido, esto es, si las causales que lo configuran aparecieren mientras el delegado se encuentra en ejercicio de su cargo.
Habrá conflicto de interés si el delegado designado o que estuviere ya en ejercicio del cargo: 18.1. Ejecutare una o varias actividades de tratamiento de datos personales, o si participare en el desarrollo de su ejecución de forma ocasional o permanente; 18.2. Ejerciere acciones de asesoría que, ajenas a sus funciones como delegado, tuvieren por objetivo salvaguardar los intereses de la organización; y, 18.3. Tomare decisiones sobre la organización, sus actividades o sus gestiones internas. CAPÍTULO II GARANTÍA DE INDEPENDENCIA Y PROTECCIÓN DEL DELEGADO
El delegado denunciará al responsable o al encargado de tratamiento ante la SPDP por cualquier hecho o situación que, en relacionados con el ejercicio de sus funciones, menoscabare su independencia o constituyere una represalia. Sin embargo, la falta de denuncia por parte del delegado no servirá para probar que el responsable
Al presentar su denuncia, el delegado deberá proporcionar, como mínimo, lo siguiente: 20.1. Sus nombres y apellidos; 20.2. Su número de identificación; 20.3. El nombre o la denominación del responsable o del encargado del cual es o ha sido delegado de protección de datos personales; 20.4. El número que tuviere el responsable o el encargado en el Registro Único de Contribuyentes (RUC), en caso de tener su domicilio en la República del Ecuador. Tratándose de responsables, conjuntos o no, y encargados extranjeros que realizaren actividades de tratamiento de datos personales y que no estuvieren domiciliados en el país, se deberá hacer constar el número de identificación fiscal o tributaria, dirección, teléfonos, y correos electrónicos de contacto de su matriz u oficina principal en el extranjero; 20.5. La dirección del responsable o del encargado del cual es o ha sido delegado de protección de datos personales; 20.6. La narración de los hechos suscitados; 20.7. La copia del documento de identidad; 20.8. La copia de su nombramiento como delegado; y, 20.9. Los documentos que sustenten o acrediten los hechos denunciados, en caso de haberlos.
La SPDP llevará a cabo el proceso de investigación de los hechos de acuerdo con la normativa correspondiente. En caso determinar que se ha vulnerado la independencia del delegado
correspondientes al responsable o al encargado del tratamiento de conformidad con el ordenamiento jurídico.
Los responsables o los encargados del tratamiento deberán garantizar la independencia e imparcialidad en el ejercicio de las funciones del delegado, mediante la implementación de mecanismos de control que evalúen, cuando menos, lo siguiente: 22.1. El contacto directo con el más alto nivel ejecutivo y de decisión de la organización; 22.2. La disponibilidad de recursos técnicos, financieros y humanos para la ejecución de las funciones establecidas en la normativa de protección de datos personales; 22.3. Las observaciones y recomendaciones efectuadas en relación a las actividades de tratamiento que ejecutare el responsable, el personal del responsable o el encargado del tratamiento; y, 22.4. Los informes que determinen el nivel de cumplimiento de la normativa de protección de datos personales del responsable o del encargado del tratamiento. La evaluación tendrá carácter institucional, no jerárquico y deberá realizarse anualmente. En ningún caso la evaluación se podrá ejecutar por parte del delegado, ni tampoco utilizarse como un mecanismo de presión o control contra aquel.
Si se determinare que, efectivamente, el responsable o el encargado de tratamiento no le dieron o no le garantizaron al delegado la independencia necesaria para el cumplimiento de sus funciones, o si, de cualquier forma, fuere removido, cesado, separado, despedido o sancionado injustificadamente, tales conductas serán penalizadas de conformidad con lo previsto en el régimen sancionatorio de la LOPDP.
Primera.- Se considerarán como válidos, y serán registrados, los nombramientos de delegados otorgados o emitidos con anterioridad a la vigencia de este reglamento, siempre y cuando las designaciones se hubiesen realizado de acuerdo con lo establecido en el artículo 3.
Segunda.- En el plazo de tres (3) meses contados a partir de la publicación de este reglamento en el Registro Oficial, la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales desarrollará e implementará el aplicativo o sistema que habrá de permitir el registro digital del nombramiento del delegado del sector privado, con el objeto de que los responsables o los encargados del tratamiento realicen tal inscripción en los tiempos establecidos en esta resolución.
La administración y el control del aplicativo o sistema estará a cargo de la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales, de acuerdo con las funciones, atribuciones y competencias determinadas en la resolución N° SPDP-SPDP-2024-0001-R.
Tercera.- Los responsables o los encargados del tratamiento de datos personales del sector privado que, de conformidad con la LOPDP y el RGLOPDP, deban contar con un delegado, deberán realizar la inscripción de sus respectivos delegados para así cumplir lo que se encuentra establecido en el artículo 5. Para ello, los responsables o los encargados podrán registrar los nombramientos de sus delegados de manera física, electrónica y/o digital ante la SPDP desde el 1 de noviembre y hasta el 31 de diciembre del 2025.
El incumplimiento del registro por parte de los responsables o los encargados del tratamiento pertenecientes al sector privado, dentro del plazo señalado, será considerado como una falta de cumplimiento de medidas de seguridad de carácter jurídico, de acuerdo con la LOPDP.
Cuarta.- En el plazo de seis (6) meses contados a partir de la publicación de este reglamento en el Registro Oficial, la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales deberá desarrollar y habilitar la plataforma institucional que permitirá el ejercicio de la defensa de la independencia del delegado. En todo caso, el control del aplicativo o sistema a desarrollarse corresponderá a la Intendencia General de Control y Sanción, de acuerdo con las funciones, atribuciones y competencias determinadas en la resolución N° SPDP-SPDP-2024-0001R.
Quinta.- Considerando lo previsto en el número 16.4. del artículo 16, las instituciones del sector público que ¾por cumplir el numeral 1 del artículo 48 de la LODP, así como el oficio circular N° SPDP-SPDP-2024-005-OC (del 10 de diciembre del 2024) y la resolución N° SPDP-SDPP-20250001-R (publicada en el Segundo Suplemento del Registro Oficial del 20 de enero del 2025)¾, nombraron como delegados a quienes ejercen un cargo de nivel jerárquico superior, deberán designar a las personas que cumplan con los requisitos previstos en la normativa en protección de datos
personales; ello dentro de un plazo no mayor a dos (2) meses contados a partir de la publicación de este reglamento en el Registro Oficial.
Sexta.- En el plazo de seis (6) meses contados a partir de la publicación de este reglamento en el Registro Oficial, la Intendencia General de Control y Sanción deberá presentarle a la Intendencia General de Regulación de Protección de Datos Personales el proyecto de reglamento que contenga el procedimiento de queja para los casos de remoción o sanción injustificada del delegado de protección de datos personales, para su revisión, análisis y/o aprobación.
Séptima.- Lo dispuesto en el artículo 11 entrará en vigencia a partir del 1 de enero de 2029.
Primera.- En la resolución N° SPDP-SPD-2025-0004-R publicada en Registro Oficial N° 42 del 20 de mayo del 2025, mediante la cual se aprobó el Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales, agréguense los siguientes artículos a continuación del artículo 3:
“Art. 4.- Las instituciones de educación superior que tuvieren interés en obtener la aprobación de su programa profesionalizante de delegados de protección de datos personales por parte de la SPDP, deberán seguir este procedimiento:
4.1. Mediante oficio dirigido a la Intendencia General de Regulación de Protección de
Datos Personales (“IRD”), presentarán lo siguiente:
4.1.1. La propuesta del programa profesionalizante, que deberá contemplar los
contenidos establecidos en el Anexo I;
4.1.2. El tiempo de duración del programa profesionalizante; y,
4.1.3. La nómina del claustro de docentes que impartirán el programa
profesionalizante, así como sus acreditaciones específicas de conocimientos en la materia.
4.2. Recibida la solicitud, la IRD revisará los parámetros previstos en el Anexo I, en el
contexto de la propuesta del programa profesionalizante presentado por la institución de educación superior solicitante.
4.3. Si la IRD constatare que la propuesta del programa profesionalizante presentada no
cumple con todos los requisitos establecidos en el Anexo I, devolverá la solicitud con los motivos que dieren lugar a las pertinentes observaciones, lo cual será notificado a la administrada. Sin embargo, la institución de educación superior podrá presentar nuevamente su propuesta de programa profesionalizante, una vez corregidas las observaciones señaladas por la autoridad para que esta realice una nueva revisión.
Art. 5.- La IRD, en representación de la SPDP y en ejercicio de sus funciones y competencias, mediante acto administrativo, una vez cumplidos los requisitos establecidos y previo informe técnico favorable emitido para el efecto,
5.1. Autorizará la propuesta de programa profesionalizante de delegados de protección de
datos personales presentada por la institución de educación, una vez que se hubiere acreditado la implementación los contenidos del Anexo I; y,
5.2. Otorgará, para dicho programa, el reconocimiento institucional oficial de la
Superintendencia de Protección de Datos Personales.
Art. 6.- La SPDP, en cumplimiento de sus funciones, atribuciones y competencias, podrá dejar sin efecto de pleno derecho, sin valor jurídico y sin más trámite la resolución mediante la cual se hubiese autorizado la propuesta del programa profesionalizante de la institución de educación superior, si constata y determina, previo informe técnico de la IRD, el incumplimiento de
cualesquiera de los requisitos previstos en este reglamento y/o en su Anexo I, inclusive si se produjeren cambios, sin previa notificación, en la nómina de docentes.
Art. 7.- Las instituciones de educación superior cuyos programas profesionalizantes de delegados de protección de datos personales fueren debidamente aprobados, estarán autorizadas para promocionar el reconocimiento concedido por la SPDP mediante el uso del logotipo, isotipo y/o imagotipo de la institución, así como a través de la mención de su nombre o denominación oficial (“imagen institucional”), bajo las siguientes condiciones:
7.1. La autorización antedicha abarca la utilización de la imagen institucional en
publicaciones, documentos comerciales y comunicaciones en soporte de papel, electrónicas u orales, sin distinción del medio de comunicación empleado;
7.2. Queda expresamente prohibido utilizar la imagen institucional en cualquier otro
programa de índole académico, sin la previa autorización de la SPDP; y,
7.3. Todo uso de la imagen institucional se ajustará, de manera irrestricta, a los parámetros
que fueren establecidos en el Manual de Identidad Corporativa de la SPDP”.
Segunda.- En la resolución N° SPDP-SPDP-2024-0001-R, publicada en el Tercer Suplemento del Registro Oficial Nº 624 del 19 de agosto del 2024, a través de la cual se aprobó el Estatuto Orgánico de Gestión Organizacional por Procesos de Arranque de la Superintendencia de Protección de Datos Personales, en el numeral 2 (Procesos Sustantivos) del artículo 10, específicamente en lo que atañe a las atribuciones y responsabilidades de la Intendencia General de Regulación de Protección de Datos Personales:
2.a. Refórmense el literal g) y el literal i), que, en lo venidero, dirán:
“g. Aprobar los programas de capacitación o profesionalizantes de delegados de
protección de datos personales de acuerdo con la normativa en protección de datos personales dictada para el efecto;”.
“i. Poner en conocimiento del Superintendente de Protección de Datos Personales sobre
la aprobación de las mallas y sus contenidos, planes, o proyectos de los programas de capacitación o profesionalizantes de delegados de protección de datos personales;”.
2.b. Agréguese el literal u), que dirá:
“u. Autorizar y otorgar el reconocimiento institucional a los programas profesionalizantes
de delegados de protección de datos personales de las instituciones de educación superior que cumplan con los requisitos que estuvieren establecidos el procedimiento que corresponda;”.
DISPOSICIÓN FINAL
Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.
Dada y firmada en Quito, D. M., el 30 de julio del 2025.
``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ Validar únicamente con FirmaEC