RESOLUCIÓN Nº SPDP-SPDP-2025-0001-R

# EL SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

Que el artículo 213 de la Constitución de la República del Ecuador (“CRE”) dispone que “[l]as superintendencias son organismos técnicos de vigilancia, auditoría, intervención y control de las actividades económicas, sociales y ambientales, y de los servicios que prestan las entidades públicas y privadas, con el propósito de que estas actividades y servicios se sujeten al ordenamiento jurídica y atiendan al interés general (...)” ; que forman parte de la Función de Transparencia y Control Social; y que, conforme lo determinado por el artículo 204 ídem, detentan “personalidad jurídica y autonomía administrativa, financiera, presupuestaria y organizativa (...)” ;

Que el artículo 226 CRE establece que “[l]as instituciones del Estado, sus organismos, dependencias, las servidoras o servidores públicos que actúen en virtud de una potestad estatal ejercerán solamente las competencias y facultades que les sean atribuidas en la Constitución y la ley tendrán el deber de coordinar acciones para el cumplimiento de sus fines y hacer efectivo el goce y ejercicio de los derechos reconocidos en la Constitución (…)” ;

Que a través de la Ley Orgánica de Protección de Datos Personales (“LOPDP”) se creó la Superintendencia de Protección de Datos Personales (“SPDP”) como un órgano de control, con potestad sancionatoria, de administración desconcentrada, con personalidad jurídica y autonomía administrativa, técnica, operativa y financiera, cuyo máximo titular es, de acuerdo con el inciso primero del artículo 76 ídem, el Superintendente de Protección de Datos Personales;

Que el artículo 76 LOPDP señala que la SPDP “es el órgano de control y vigilancia encargado de garantizar a todos los ciudadanos la protección de sus datos personales, y de realizar todas las acciones necesarias para que se respeten los principios, derechos, garantías y procedimientos”, a la par que el numeral 5 idem le atribuye la facultad de “[e]mitir normativa general o técnica, criterios y demás actos que sean necesarios para el ejercicio de sus competencias (…)” ;

Que el artículo 79 del Reglamento de la Ley Orgánica de Protección de Datos Personales (“RGLOPDP”) estatuye que la SPDP “goza de autonomía administrativa, técnica, operativa y financiera. Estará́ a cargo del Superintendente de Protección de Datos Personales y tendrá́ su sede en el Distrito Metropolitano de Quito (…)” ;

Que el artículo 4 LOPDP define al delegado de protección de datos como la “[p]ersona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la [Superintendencia de] Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos” ;

Que el numeral 13 del artículo 47 LOPDP señala, como unas de las obligaciones que atañen al responsable y al encargado del tratamiento de datos personales, la de “[d]esignar al Delegado de Protección de Datos Personales, en los casos que corresponda” ;

Que el numeral 1 del artículo 48 LOPDP establece que las instituciones que son parte del sector público, de acuerdo con el artículo 225 CRE, están obligadas a designar a sus respectivos delegados de protección de datos personales;

Que el inciso segundo del artículo 49 RGLOPDP prevé que, en el caso de las instituciones del sector público, “el delegado de protección de datos será designado por la máxima autoridad institucional” ;

Que constituye falta grave el hecho de que el responsable del tratamiento no designe, cuando corresponda, al delegado de protección de datos, tal cual lo tipifica el numeral 12 del artículo 68 LOPDP;

Que, de acuerdo con el artículo 72 LOPDP, una falta grave como aquella, cometida por los servidores o funcionarios del sector público, se sanciona con multa que oscila entre diez (10) y veinte (20) salarios básicos unificados del trabajador en general; y que, tratándose, de empresas públicas, la multa oscila entre el 0,7% y el 1%, calculada sobre su volumen de negocios, correspondiente al ejercicio económico inmediatamente anterior al de la imposición de la sanción;

Que mediante oficio circular N° SPDP-SPDP-2024-005-OC del 10 de diciembre del 2024 dirigido a las máximas autoridades / representantes legales de las instituciones del sector Público, publicado en el Cuatro Suplemento del Registro Oficial N° 710 del 24 de diciembre del 2024, se dispuso, a cada uno de sus destinatarios, informar a la SPDP, hasta el 31 de diciembre de dicho año, quién es la persona que ha sido designada como delegada(o) de protección de datos personales (...)”;

Que en el espacio asignado para el Registro del Delegado de Protección de Datos Personales (DPD) de la plataforma provisional https://spdp.gob.ec/, al vencimiento del plazo concedido en el oficio circular N° SPDP-SPDP-2024-005-OC, se han registrado doscientos sesenta (260) delegados de instituciones del sector público;

EN EJERCICIO de sus facultades y atribuciones constitucionales, legales y reglamentarias,

Artículo 1

sector público que están comprendidas en el artículo 225 CRE informen, a la SPDP, quién es la persona que ha sido designada como delegada(o) de protección de datos personales, para así constatar el debido cumplimiento de la normativa constitucional, legal y reglamentaria aplicable.

Artículo 2

se les pide, deberán proceder al registro de los datos que se soliciten exclusivamente en la plataforma provisional de Registro del Delegado de Protección de Datos Personales (DPD) para Instituciones Públicas, que se encuentra habilitada, en su respectiva pestaña, dentro del siguiente link: https://spdp.gob.ec/

Artículo 3

del 2025.

DISPOSICIÓN FINAL

Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

Dada y firmada en Quito, Distrito Metropolitano, el 8 de enero del 2025.

``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ

```

FABRIZIO PERALTA-DÍAZ SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES

Artículo 1

Conceder, bajo prevenciones de ley, un nuevo plazo para que las instituciones del sector público que están comprendidas en el artículo 225 CRE informen, a la SPDP, quién es la persona que ha sido designada como delegada(o) de protección de datos personales, para así constatar el debido cumplimiento de la normativa constitucional, legal y reglamentaria aplicable.

Artículo 2

Reiterar que tales instituciones, para los efectos de proporcionar la información que se les pide, deberán proceder al registro de los datos que se soliciten exclusivamente en la plataforma provisional de Registro del Delegado de Protección de Datos Personales (DPD) para Instituciones Públicas, que se encuentra habilitada, en su respectiva pestaña, dentro del siguiente link: https://spdp.gob.ec/

Artículo 3

Señalar que el plazo concedido por virtud de esta resolución vencerá el 31 de enero del 2025. DISPOSICIÓN FINAL Esta resolución entrará en vigencia a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial. Dada y firmada en Quito, Distrito Metropolitano, el 8 de enero del 2025. ``` Firmado electrónicamente por: FABRIZIO ROBERTO PERALTA DIAZ ``` FABRIZIO PERALTA-DÍAZ SUPERINTENDENTE DE PROTECCIÓN DE DATOS PERSONALES