por | May 21, 2026 | Novedad Jurídica | 0 Comentarios

La Superintendencia de Protección de Datos Personales (SPDP) emitió el Oficio No. SPDP-IRD-2026-0221-O mediante el cual expidió pronunciamiento sobre 4 consultas acerca de aspectos del tratamiento de datos personales a gran escala.

Puntos Claves

En relación con el art. 7, y el art. 8, numeral 8.q de la Norma General, en concordancia con el art. 3, numeral 3.8 del mismo cuerpo normativo: ¿debe calcularse el MTGE de forma independiente para cada tratamiento, de modo que si ninguna supera individualmente los 6 puntos no existirá tratamiento a gran escala? ¿O, por el contrario, debe realizarse un cálculo consolidad los MTGE individuales de todas las categorías de titulares?

Contexto: cuando un mismo responsable realiza tratamientos de datos personales sobre distintas categorías de titulares – por ejemplo, trabajadores, clientes proveedores y usuarios – y cada tratamiento arroja un resultado de MTGE distinto

El Modelo Técnico de Gran Escala (MTGE) debe aplicarse de cada tratamiento de datos personales de manera independiente, y no mediante un cálculo consolidado. En efecto, la norma delimita como unidad de análisis a “un tratamiento”, por lo que cada actividad debe evaluarse de forma autónoma conforme a sus propias características. Si los tratamientos realizados por un mismo responsable no alcanzan individualmente el umbral de 6 puntos, no corresponde su calificación como tratamiento a gran escala mediante la suma de resultados.

En relación con el numeral 14.1 del art. 14 de la Norma General: ¿el solo hecho de tratar datos sensibles o categorías especiales califica automáticamente el tratamiento como gran escala, o es necesario que dicho tratamiento se realice en el marco de sistemas sanitarios, asistenciales, de seguridad o de gestión de historiales clínicos?

El solo hecho de tratar datos sensibles o categorías especiales de datos personales no califica automáticamente un tratamiento de gran escala. La naturaleza del dato y la escala del tratamiento constituyen elementos distintos, por lo que la calificación depende de la magnitud, alcance o sistematicidad del tratamiento, evaluados a través del MTGE.

En relación con el numeral 14.4 del art. 14 de la Norma General: ¿el tratamiento de datos biométricos y el tratamiento con actividades de geolocalización son supuestos alternativos e independientes, o deben concurrir simultáneamente para activar la calificación directa?

El tratamiento de datos biométricos y el tratamiento que implique actividades de geolocalización constituyen supuestos alternativos e independientes de calificación directa como tratamiento a gran escala. De conformidad con la Resolución No. SPDP-SPD-2026-0005-R, cada uno de estos supuestos, por su naturaleza y nivel de riesgo, es suficiente por sí mismo para activar dicha calificación, sin que sea necesaria su concurrencia simultánea.

En relación con el numeral 14.6 del art. 14 de la Norma General: ¿Qué elementos concretos constituyen una transferencia “sistemática”, y qué significa “flujo continuo o estructural”?”

Una transferencia “sistemática” es aquella que se realiza de manera recurrente, organizada y no ocasional, conforme a un patrón estable dentro de las operaciones del responsable o encargado. Por su parte, un “flujo continuo” implica la transmisión constante o periódica de datos personales en el tiempo, mientras que un “flujo estructural” supone que dicha transferencia forma parte del funcionamiento ordinario del tratamiento, integrándose en sus procesos o sistemas.

La calificación directa como tratamiento a gran escala se configura únicamente cuando las transferencias presentan estas características de regularidad, continuidad e integración operativa.

Nota

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante, no tiene carácter vinculante ni genera efectos jurídicos relevantes.