La Superintendencia de Protección de Datos Personales (SPDP) confirmó que los responsables y encargados del tratamiento de datos personales deberán registrar a su Delegado de Protección de Datos (DPO) hasta el 31 de diciembre de 2025, conforme a la normativa vigente y resoluciones emitidas por la autoridad.
La medida refuerza la aplicación práctica de la Ley Orgánica de Protección de Datos Personales (LOPDP) y busca garantizar que las organizaciones cuenten con una figura responsable de supervisar el cumplimiento, la seguridad de la información y la atención de derechos de los titulares de datos.
Registro del DPO: una obligación legal
De acuerdo con la SPDP, el registro del DPO constituye una medida de seguridad obligatoria. La omisión de este registro será considerada una infracción grave, equiparada a la falta de implementación de medidas de seguridad para la protección de datos personales.
Las sanciones previstas por la LOPDP pueden alcanzar hasta el 1% de la facturación anual de la organización, además de otras medidas administrativas y correctivas.
¿Qué organizaciones deben registrar un DPO?
La obligación aplica, entre otras, a organizaciones que:
- Tratan datos personales sensibles (salud, financieros, biométricos, datos de menores, entre otros).
- Gestionan grandes volúmenes de datos personales de clientes, usuarios o colaboradores.
- Realizan monitoreo sistemático, perfilamiento o prospección comercial.
- Pertenecen a sectores regulados como:
- Bancos y aseguradoras
- Clínicas, hospitales y sector farmacéutico
- Instituciones educativas
- Empresas de telecomunicaciones
- Empresas de seguridad privada y videovigilancia
- Clubes y federaciones deportivas
En estos casos, la designación y registro del DPO no es opcional, sino una exigencia normativa directa.
Rol del Delegado de Protección de Datos
El Delegado de Protección de Datos es responsable de:
- Supervisar el cumplimiento de la LOPDP y su normativa secundaria.
- Asesorar a la organización en materia de protección de datos.
- Promover una cultura de cumplimiento y prevención de riesgos.
- Actuar como punto de contacto ante la SPDP y los titulares de datos personales.
Su correcta designación y registro permite a las organizaciones anticiparse a riesgos legales y sancionatorios.
Llamado a la acción para las empresa
La SPDP ha reiterado que el cumplimiento de la normativa de protección de datos es exigible y fiscalizable. Las empresas que aún no han registrado a su DPO cuentan con plazo hasta el 31 de diciembre de 2025 para regularizar su situación.
Actuar con anticipación permitirá a las organizaciones evitar sanciones, fortalecer sus procesos internos y proteger su reputación frente a clientes y usuarios.
Sobre la LOPDP
La Ley Orgánica de Protección de Datos Personales regula el tratamiento de datos personales en Ecuador y reconoce el derecho de las personas a la protección de su información, imponiendo obligaciones claras a quienes la tratan.