La Superintendencia de Protección de Datos Personales (SPDP) emitió el Oficio No. SPDP-IRD-2026-0112-O, mediante el cual emitió pronunciamiento sobre cuatro interrogantes que versaban sobre: terceros calificados como encargado de tratamiento; el principio de finalidad; el principio de conservación limitada; y, la obligación de un contrato cuando un tercero actúa como encargado.

Puntos Claves

“A la luz del artículo 4 de la LOPDP, ¿Cuál es el criterio determinante para calificar a un tercero como encargado del tratamiento cuando dicho tercero no define autónomamente ni la finalidad ni los medios del tratamiento, sino que se limita a ejecutar operaciones bajo instrucciones específicas del responsable?”

El criterio determinante para calificar a un tercero como encargado del tratamiento es la ausencia de autonomía decisoria sobre la finalidad y los medios del tratamiento. Cuando un sujeto actúa para prestar un servicio al responsable del tratamiento se entiende que esto se realiza a nombre y por cuenta del responsable, limitándose a ejecutar operaciones conforme a lo previamente determinado por este, deja de encuadrarse en la figura de tercero en sentido técnico y pasa a ser considerado encargado del tratamiento. Si determina fines o medios propios respecto de un tratamiento, asumirá la calidad de responsable conforme a la normativa aplicable.

“¿Permite el principio de finalidad previsto en el artículo 10 literal d) de la LOPDP que un tercero destinatario de datos personales amplíe o redefina las finalidades del tratamiento sin contar con una base jurídica propia e independiente, distinta de la que legitimó la comunicación original de los datos?”

El principio de finalidad no permite que se amplíen o redefinan las finalidades del tratamiento. En caso de que una persona natural o jurídica, pública o privada, autoridad pública, u otro organismo que solo o conjuntamente decida poner sus finalidades propias a un determinado tratamiento este pasa a ser considerado responsable, por lo tanto debe cumplir con todas las obligaciones del mismo, esto incluye contar con una base legitimadora propia e independiente distinta de aquella que legitimó la comunicación original de los datos. Cualquier utilización para fines distintos constituye un tratamiento nuevo que debe encontrarse respaldado por una base de legitimación, en ausencia de esta, el tratamiento carece de sustento jurídico y deviene ilícito.

“Según el principio de conservación limitada y los arts. 8 al 11 del Reglamento General, ¿Cuál es el criterio general para determinar el plazo máximo de conservación de datos personales cuando la finalidad del tratamiento es de naturaleza estrictamente temporal?”

El criterio general es que los datos personales se mantengan únicamente durante el tiempo estrictamente necesario para cumplir la finalidad que motivó su tratamiento en cada caso específico.

“A la luz de los arts. 5 y 7 del Reglamento General, ¿Constituye una obligación jurídica imperativa la celebración de un contrato o instrumento de encargo de tratamiento cuando un tercero actúa como encargado por cuenta y bajo instrucciones del responsable?”

Sí, constituye una obligación jurídica la celebración de un contrato de encargo cuando actúa a nombre y por cuenta del responsable y esto también se entiende cuando le brinda un servicio a este último. El marco legal exige que dicha relación se formalice contractualmente, a fin de delimitar las instrucciones, las finalidades autorizadas y las obligaciones del encargado, garantizando el cumplimiento del marco normativo aplicable.

Nota

Este pronunciamiento no tiene carácter vinculante ni genera efectos jurídicos; debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante. Su contenido no puede ser invocado para limitar, condicionar o impedir el ejercicio de las facultades de supervisión, control y sanción que corresponden a la SPDP.