por | Ago 19, 2025 | Boletines, Novedad Jurídica | 0 Comentarios

La Superintendencia de Protección de Datos Personales, mediante Oficio No. SPDP-IRD-2025-0126-O, emitió un pronunciamiento respecto a una consulta relacionada con la aceptación de políticas de protección de datos personales y la aplicación de las bases de legitimación previstas en la Ley Orgánica de Protección de Datos Personales

Puntos clave

Consulta.-

¿En los casos en que el tratamiento de datos personales se sustente en una base legitimadora distinta al consentimiento —como lo establece el artículo 7 de la LOPDP[1]—, resulta legalmente viable efectuar dicho tratamiento sin requerir la aceptación expresa de la política de protección de datos personales por parte del titular, siempre que se cumpla con el deber de informar previsto en los artículos 10 y 12 de la misma norma?

Pronunciamiento.-

  • El tratamiento de datos personales siempre debe sustentarse en una de las bases de legitimación del art. 7 de la Ley Orgánica de Protección de Datos Personales.
  • Independientemente de la base aplicada, deben cumplirse todos los principios y obligaciones de la ley, incluyendo la existencia y disponibilidad permanente de una política de protección de datos personales.
  • La política no requiere del consentimiento expreso del titular, pero su contenido debe ser informado de manera clara, suficiente y comprobable.
  • Esta obligación de información puede ser verificada tanto por el titular como por la SPDP.

Recomendaciones

  • Mantener actualizada, clara y accesible la política de protección de datos.
  • No confundir la aceptación de la política con el consentimiento expreso, aplicable solo en los casos previstos por la ley.
  • Documentar los mecanismos de información como parte del principio de responsabilidad proactiva.
  • Utilizar la aceptación expresa únicamente como medida adicional, sin condicionarla al acceso a un servicio salvo en los supuestos legales de consentimiento.

[1] Art. 7.- Tratamiento legítimo de datos personas (sic).- El tratamiento será legítimo y lícito si se cumple con alguna de las siguientes condiciones:
1) Por consentimiento del titular para el tratamiento de sus datos personales, para una o varias finalidades especificas;
2) Que sea realizado por el responsable del tratamiento en cumplimiento de una obligación legal;

3) Que sea realizado por el responsable del tratamiento, por orden judicial, debiendo observarse los principios de la presente Ley;

4) Que el tratamiento de datos personales se sustente en el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable, derivados de una competencia atribuida por una norma con rango de ley, sujeto al cumplimiento de los estándares internacionales de derechos humanos aplicables a la materia, al cumplimiento de los principios de esta Ley y a los criterios de legalidad, proporcionalidad y necesidad;

5) Para la ejecución de medidas precontractuales a petición del titular o para el cumplimiento de obligaciones contractuales perseguidas por el responsable del tratamiento de datos personales, encargado del tratamiento de datos personales o por un tercero legalmente habilitado;

6) Para proteger intereses vitales del interesado o de otra persona natural, como su vida, salud o integridad;
7) Para tratamiento de datos personales que consten en bases de datos de acceso público; u,

8) Para satisfacer un interés legítimo del responsable de tratamiento o de tercero, siempre que no prevalezca el interés o derechos fundamentales de los titulares al amparo de lo dispuesto en esta norma.