La Superintendencia de Protección de Datos (SPDP) publicó el Oficio No. SPDP-IRD-2026-0004-O mediante el cual responde 5 preguntas acerca de la obligación de designar un Delegado de Protección de Datos Personales (DPDP) para determinados tratamientos de datos personales, especialmente aquellos relativos a datos identificativos y de contacto.

Puntos Claves

1. De conformidad con el numeral 2 del artículo 48 de la Ley Orgánica de Protección de Datos Personales y el artículo 53 de su Reglamento General, ¿el tratamiento de datos personales identificativos y de contacto que se realiza de manera continua o recurrente, por el solo hecho de ser necesario para la ejecución de obligaciones legales o contractuales derivadas de normativa sectorial de un Delegado de Protección de Datos Personales?

El tratamiento de datos personales identificativos y de contacto realizado de manera continua o recurrente no configura por sí mismo un “control permanente” que obligue a la designación de un DPDP. Por lo tanto, la sola recurrencia o continuidad en el tratamiento no resulta suficiente para configurar el supuesto legal, siendo necesario verificar los otros parámetros mencionados para evaluar si dicho tratamiento alcanza un nivel que justifique la designación obligatoria del DPDP.

2. ¿En aplicación del art. 53 del Reglamento General a la LOPDP, ¿el tratamiento de datos personales que se encuentra preestablecido y organizado en función de procedimientos administrativos regulados por normativa especial puede considerarse automáticamente como un “control sistematizado”, o debe analizarse adicionalmente la existencia de un plan general de recogida de datos, estrategia de tratamiento o finalidad autónoma distinta del cumplimiento normativo?

El tratamiento de datos personales preestablecido y organizado en función de procedimientos administrativos regulados por normativa especial no puede considerarse automáticamente como un “control sistematizado”. Es necesario realizar un análisis que permita verificar si el tratamiento responde a una lógica operativa propia del responsable del tratamiento, esto es, si cuenta con una estructura preestablecida, organizada o metódica en el tratamiento de datos, o si se enmarca en un plan general de recogida de datos, una estrategia de tratamiento o una finalidad que evidencie una gestión deliberada y no meramente incidental. Por tanto, la sistematicidad no se da por la sola existencia de un procedimiento normado, sino que debe determinarse en cada caso concreto a partir de una evaluación integral de las características y ejecución efectiva del tratamiento.

3. Para efectos de lo previsto en el numeral 2 del art. 48 de la LOPDP, ¿el concepto de “control permanente y sistematizado” implica necesariamente la existencia de monitoreo, evaluación o seguimiento de comportamiento de los titulares, o basta con que el tratamiento sea habitual dentro del giro ordinario de la actividad del responsable?

La noción de “control” supone un nivel cualificado de supervisión u observación en el marco de un tratamiento que, además, debe ser concurrentemente permanente y, conforme a los criterios desarrollados en el art. 53 del RGLOPDP. Por tanto, ni el seguimiento del comportamiento constituye un requisito indispensable, ni la mera habitualidad del tratamiento resulta suficiente, siendo necesario, en cada caso concreto, verificar la concurrencia conjunta de estos elementos y las demás condiciones previstas en la normativa aplicable.

4. Conforme al numeral 3 del art. 48 de la LOPDP y a los supuestos ejemplificativos establecidos en el Reglamento General, ¿el tratamiento de datos personales de carácter identificativo y de contacto que permiten la identificación o comunicación con el titular, necesarios para la prestación de servicios regulados por normativa sectorial, puede equipararse a los supuestos de tratamiento a gran escala previstos en el Reglamento (tales como instituciones financieras, aseguradoras, servicios de telecomunicaciones o sistemas de salud)?

Esta Autoridad no puede emitir una respuesta categórica en abstracto, en tanto la determinación dependerá de las características específicas de cada tratamiento que deberá ser analizado por el responsable o encargado del tratamiento, según corresponda.

5. El tratamiento de datos personales de carácter identificativo y de contacto que permiten la identificación o comunicación con el titular, que no constituyen categorías especiales de datos, aun cuando se realice de forma habitual dentro del giro ordinario de una actividad económica, puede considerarse comprendido dentro del supuesto del numeral 3 del art. 48 de la LOPDP?

La determinación de si dicho tratamiento se configura como realizado a gran escala deberá efectuarse caso por caso, correspondiendo al responsable o encargado del tratamiento evaluar si se cumplen los criterios establecidos en el RGLOPDP y en la resolución No. SPDP-SPD-2026-0005-R, en función de las características específicas del tratamiento.

Nota

Este pronunciamiento debe ser entendido en su integridad y su aplicación es de exclusiva responsabilidad de la Consultante, no tiene carácter vinculante ni genera efectos jurídicos relevantes.