por | Ene 12, 2026 | Novedad Jurídica | 0 Comentarios

La Superintendencia de Protección de Datos Personales (SPDP) emitió un pronunciamiento mediante el Oficio No. SPDP-IRD-2025-0279-O mediante el cual absuelve una consulta relacionada con el alcance funcional del Delegado de Protección de Datos Personales (DPDP), específicamente si este puede ser custodio de las contraseñas de las bases de datos de una institución.

Puntos Claves

Consulta

Sobre la base del artículo 14 de la Resolución No. SPDP-SPD-2025-0028-R, que señala, “el delegado se limitará a supervisar al responsable, al personal del responsable o al encargado del tratamiento para que ejecuten de manera correcta, el procedimiento de atención de las solicitudes para el ejercicio de derechos que fueren presentados por los titulares respecto de sus datos personales, de conformidad con lo establecido en la normativa vigente” ¿El Delegado de Protección de Datos Personales (DPDP), puede ser custodio de las contraseñas de las bases de Datos de la Institución?”

Pronunciamiento

No. Se concluye que las atribuciones del DPDP se circunscriben a la asesoría especializada y a la supervisión independiente del cumplimiento normativo, sin involucrarse en actividades operativas o ejecutivas propias del responsable o del encargado del tratamiento.

El hecho de que un DPDP sea custodio de contraseñas resulta contrario a la naturaleza de sus funciones. El resguardo de contraseñas implica asumir un nivel directo de responsabilidad operativa y, en caso de producirse una vulneración de seguridad, el DPDP estaría desempeñando el rol de responsable del tratamiento, lo que le impediría pronunciarse objetivamente sobre la falta de implementación de medidas de seguridad que dicho resguardo exige.

Las funciones del DPDP deben limitarse estrictamente a la asesoría y supervisión, sin asumir responsabilidades propias del responsable o del encargado del tratamiento.

Nota

Esta respuesta no tiene carácter vinculante ni genera efectos jurídicos generales, pues constituye únicamente una opinión técnica y su aplicación es de exclusiva responsabilidad de la Consultante. Su contenido no puede, en ningún caso, ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la SPDP.