¡Atención sector público! Claves para la designación del Delegado de Protección de Datos Personales (DPDP)

Oficio N° SPDP-IRD-2025-0089-O

La protección de datos personales es un tema de creciente importancia en Ecuador. Con la entrada en vigor de la Ley Orgánica de Protección de Datos Personales (LOPDP), las instituciones públicas tienen la obligación de designar a un Delegado de Protección de Datos Personales (DPDP). Sin embargo, han surgido interrogantes sobre la figura jurídica adecuada, la necesidad de que el cargo conste en el orgánico estructural y la posibilidad de que el DPDP asuma otras funciones.

Para aclarar estas dudas, la Superintendencia de Protección de Datos Personales (SPDP) ha emitido el Oficio N° SPDP-IRD-2025-0089-O, ofreciendo lineamientos importantes para el sector público. Este boletín busca explicar de manera sencilla las principales conclusiones de dicho pronunciamiento.

¿Quién puede ser el Delegado de Protección de Datos Personales y cómo se designa?

La LOPDP y su reglamento establecen que el Delegado de Protección de Datos Personales (DPDP) es una persona natural encargada de asesorar, velar y supervisar el cumplimiento de las obligaciones en materia de protección de datos. Para ser designado, el DPDP debe cumplir con los siguientes requisitos:

  • Estar en pleno goce de sus derechos políticos.
  • Ser mayor de edad.
  • Contar con un título de tercer nivel en Derecho, Sistemas de Información, Comunicación o Tecnologías.
  • Acreditar al menos cinco años de experiencia profesional en su área.

Es fundamental que la designación del DPDP sea realizada por la máxima autoridad institucional. Esto se alinea con la potestad de representación legal que esta autoridad ejerce en todos los actos y contratos de la entidad pública, tal como lo establece el Código Orgánico Administrativo (COA).

En cuanto a la figura de contratación, la normativa de protección de datos personales no especifica una modalidad única. Esto significa que el DPDP puede ser contratado bajo cualquiera de las modalidades que permite la Ley Orgánica de Servicio Público (LOSEP), como:

  • Contratos de Servicios Ocasionales: Para necesidades temporales y específicas, con una duración máxima y sujeta a los límites de personal ocasional.
  • Nombramientos: Incluyendo nombramientos provisionales para cubrir puestos temporales o de nivel jerárquico superior.
  • Contratos por Servicios Profesionales: Sin relación de dependencia, para trabajos específicos que requieran especialización.

Lo más importante es que, sin importar la modalidad de contratación, se garantice la independencia del DPDP y que sus funciones no se contrapongan con sus obligaciones ni generen conflictos de interés.

¿Es necesario que el cargo conste en el orgánico estructural?

Actualmente, la Superintendencia de Protección de Datos Personales no ha emitido una normativa específica que exija que el cargo de DPDP conste en el orgánico estructural de la entidad. Por lo tanto, se consideran válidas las designaciones que cumplan con el requisito de ser realizadas por la máxima autoridad y bajo alguna de las formas de contratación de la LOSEP. La SPDP ha indicado que se encuentra en proceso de aprobación un “Estatuto de los Delegados de Protección de Datos Personales” que podría brindar más claridad al respecto en el futuro.

¿Puede el DPDP tener otras funciones?

Sí, un funcionario público puede asumir simultáneamente el rol de DPDP y otras funciones dentro de la entidad, siempre y cuando se cumplan condiciones clave:

  • Independencia: Sus otras funciones no deben comprometer la autonomía, imparcialidad y capacidad del DPDP para ejercer un control efectivo sobre el cumplimiento normativo.
  • No asumir obligaciones del responsable o encargado: El DPDP no debe ser quien ejecute directamente las obligaciones de protección de datos (como elaborar políticas o implementar procedimientos), sino que debe asesorar y supervisar su cumplimiento. Sus funciones son de guía y verificación.

Es decir, el DPDP no puede formar parte de los órganos de administración y control que toman decisiones operativas o presupuestarias (como direcciones, subsecretarías, unidades administrativas o comités de auditoría interna). Esta separación es vital para asegurar que sus recomendaciones y advertencias sean objetivas y no estén influenciadas por intereses institucionales.

¿Qué nivel jerárquico debe tener el DPDP?

Al igual que con la inclusión en el orgánico estructural, la SPDP no ha establecido un nivel jerárquico o funcional mínimo específico para el DPDP. Esto se debe a que cada institución pública tiene una estructura única. Por lo tanto, cada entidad deberá evaluar internamente cuál es el cargo adecuado para el DPDP que le permita cumplir con todos los requisitos normativos y, sobre todo, garantizar su independencia en el ejercicio de sus funciones. Es esencial que el DPDP tenga la autoridad y el acceso necesarios para llevar a cabo su labor de manera efectiva y sin conflictos de interés.

La designación de un Delegado de Protección de Datos Personales es una obligación ineludible para las instituciones del sector público en Ecuador. Si bien la normativa actual ofrece flexibilidad en la figura jurídica de contratación y no impone un nivel jerárquico específico, es crucial asegurar la independencia y objetividad del DPDP. Esto significa que sus otras funciones no deben generar conflictos de interés ni impedirle asesorar y supervisar de forma imparcial.

DURINI & GUERRERO ABOGADOS

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *