El 23 de septiembre de 2025, la Administración Tributaria de Ecuador emitió la Resolución NAC-DGERCGC25-00000030, que trae cambios sustanciales en el proceso de declaración y pago de impuestos, esta Resolución sustituye el artículo 9 y agrega el artículo 9.1 de la Resolución 1065, emitida por el propio Sri, estableciendo nuevas disposiciones que se detallan a continuación:
Modificaciones del Art. 9
Los impuestos retenidos y/o percibidos deben declararse y pagarse de manera conjunta hasta la fecha de vencimiento fijada en la normativa vigente.
En caso de que el contribuyente realice la declaración, pero no efectúe el pago total, esta se considerará como no presentada.
Las compensaciones parciales con notas de crédito desmaterializadas no estarán sujetas a esta regla.
En caso de que la declaración y el pago se efectúen fuera del plazo, se generarán automáticamente sanciones conforme a la ley.
Nuevo artículo 9.1 – Formulario Múltiple de Pagos
Se incorpora el artículo 9.1, mediante el cual se crea el Formulario Múltiple de Pagos, sin embargo, este no reemplaza la presentación de las declaraciones en los formularios específicos de cada impuesto, salvo que una norma expresa disponga lo contrario.
Entrada en vigor
El nuevo esquema de declaración y pago conjunto entrará en vigencia el 3 de noviembre de 2025, y será aplicable inicialmente para:
Las declaraciones de retenciones en la fuente del Impuesto a la Renta.
Las declaraciones de autorretenciones realizadas por grandes contribuyentes
Necesita su empresa un Delegado de Protección de Datos si maneja información de menores por obligación legal?
En el día a día de cualquier empresa, es común manejar datos personales de los hijos de los colaboradores, principalmente para cumplir con obligaciones legales como el reporte de cargas familiares para fines tributarios o de seguridad social. Esta práctica ha generado una duda importante entre muchas organizaciones: ¿este simple hecho obliga a designar a un Delegado de Protección de Datos (DPD)?
Recientemente, la Superintendencia de Protección de Datos (SPDP), a través del Oficio N° SPDP-IRD-2025-0180-O, ha emitido un pronunciamiento que aclara este panorama, ofreciendo mayor certeza jurídica a las empresas.
La consulta específica respondida por la Superintendencia era si el tratamiento de datos de niños, niñas y adolescentes, realizado exclusivamente para cumplir con normativas como el Código del Trabajo o la ley tributaria, activa automáticamente la obligación de nombrar un DPD.
La respuesta de la autoridad se centra en interpretar el artículo 10 del Reglamento de los Delegados de Protección de Datos. Este artículo establece casos adicionales en los que se debe nombrar un DPD, pero introduce dos condiciones fundamentales que deben cumplirse simultáneamente:
Objeto o Dedicación: Que la actividad principal de la empresa (su «objeto») o una de sus dedicaciones centrales sea el tratamiento de ciertos tipos de datos.
Habitualidad: Que esta actividad se realice de forma continua y frecuente, no de manera aislada.
El razonamiento de la Superintendencia es el siguiente: cuando una empresa registra los datos de los hijos de un empleado, no lo hace porque su negocio sea gestionar información de menores. Lo hace porque la ley se lo exige para fines específicos y secundarios a su actividad principal.
En otras palabras, el «objeto» o la «dedicación» de la empresa no es el tratamiento de esos datos, sino una consecuencia de una obligación legal. Por lo tanto, al no cumplirse la primera condición, no se activa la obligación de nombrar un DPD por esta causa específica.
¡Atención! Un punto clave a considerar: La Superintendencia es muy clara al señalar que esta exención aplica únicamente si el tratamiento de datos de menores se limita a estas obligaciones legales. Si la empresa, por cualquier otra de sus actividades, sí cumple con alguna de las causales que obligan a tener un DPD (por ejemplo, una institución educativa que maneja datos de sus estudiantes menores de edad), entonces deberá designarlo.
El análisis debe ser integral, considerando todas las operaciones de tratamiento de datos que realiza la organización.
Este pronunciamiento oficial aporta una importante claridad para un gran número de empresas en Ecuador. Confirma que el simple cumplimiento de obligaciones laborales y tributarias que involucren datos de menores no obliga, por sí solo, a designar un Delegado de Protección de Datos.
Esto permite a las organizaciones enfocar sus recursos de cumplimiento en las áreas donde el riesgo y la naturaleza del tratamiento de datos sí lo justifican. Sin embargo, es fundamental que cada empresa realice un análisis completo de todas sus actividades para determinar si incurre en alguna otra causal que sí la obligue a realizar dicha designación.
En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.
LEY ORGÁNICA DE TRANSPARENCIA SOCIAL Y REFORMAS TRIBUTARIAS
La recientemente aprobada Ley Orgánica de Transparencia Social (Registro Oficial Suplemento 112, 28 de agosto de 2025) introduce importantes reformas en materia tributaria y de control financiero.
A continuación, se detallan los puntos más relevantes para sociedades, personas naturales y entidades públicas:
Impuesto a la renta en la distribución de dividendos
Una de las principales reformas se encuentra en el artículo 39.2 de la Ley de Régimen Tributario Interno, donde se reemplaza el sistema anterior —que consideraba un ingreso gravado del 40%— por un impuesto único del 12% sobre el monto distribuido. La norma establece que las sociedades deben actuar como agentes de retención del 100% del impuesto al momento de distribuir utilidades. Además, se aclara que la distribución se entiende realizada desde la decisión de la junta de accionistas u órgano equivalente.
En el caso de establecimientos permanentes de no residentes, se consideran dividendos las remesas a la casa matriz, siempre bajo las reglas de plena competencia. Se fijan tarifas diferenciadas: del 10% para beneficiarios no residentes; del 12% para beneficiarios efectivos residentes en el Ecuador; y del 14% cuando en la cadena de propiedad exista participación de residentes en paraísos fiscales y el beneficiario final sea residente. En caso de que no se informe la composición societaria, la retención se aplicará también al 14%.
Otro aspecto relevante es la ampliación de la definición de dividendos anticipados, que ahora incluye donaciones, préstamos de dinero y préstamos no comerciales. En todos estos casos, procede la retención. Asimismo, se establece una franja exenta de hasta tres salarios básicos unificados (SBU) por sociedad para personas naturales residentes. Finalmente, los dividendos provenientes del exterior deberán consolidarse con la renta global, aplicándose crédito tributario por el impuesto pagado en el extranjero, siempre hasta el límite del impuesto causado en el país.
2. Pago a cuenta sobre utilidades no distribuidas
El artículo 39.2.1 de la Ley de Régimen Tributario Interno establece un nuevo pago a cuenta obligatorio sobre las utilidades acumuladas que no se distribuyan al 31 de julio de cada año. Este pago se calcula conforme a una tabla progresiva, que va desde el 0,75% hasta el 2,50% según el monto de las utilidades no distribuidas.
El pago se realiza sobre el 100% de las utilidades, sin tramo exento, y puede compensarse con retenciones futuras al momento de distribuir dividendos o con el impuesto a la renta del ejercicio respectivo. No obstante, si las utilidades no se distribuyen ni capitalizan dentro de los dos ejercicios fiscales posteriores, el pago perderá su carácter de crédito y pasará a ser un gasto no deducible.
Se reconocen excepciones para determinados sujetos, como los fondos y fideicomisos de inversión, las empresas y sociedades de economía mixta en la parte estatal, y las instituciones financieras o de seguros cuando, por orden de su ente de control, no puedan distribuir utilidades. Adicionalmente, las compañías holding tendrán la posibilidad de solicitar la devolución o compensación desde el mes siguiente a la distribución y hasta por un plazo de tres años.
Facultades del SRI y seguridad tributaria
El Código Tributario también fue reformado para reforzar la seguridad jurídica en la gestión de tributos de autoridades del Gobierno Central. Se dispone que las máximas autoridades de la Función Ejecutiva y sus familiares hasta segundo grado pueden solicitar al Servicio de Rentas Internas (SRI) el ejercicio de la facultad determinadora respecto de los impuestos correspondientes al periodo de su gestión.
El SRI tiene la obligación de iniciar el proceso en un plazo máximo de 30 días hábiles. Una vez que se agota esta facultad determinadora, no se admitirán revisiones posteriores sobre los mismos periodos, ni será posible la revisión de oficio. Esta medida busca blindar la gestión tributaria de eventuales revisiones sucesivas, garantizando certeza jurídica.
Exoneraciones para el sector público
Finalmente, el Código Orgánico de Planificación y Finanzas Públicas incorpora nuevas exoneraciones tributarias en operaciones entre entidades estatales. Estas incluyen la exoneración de tributos fiscales en transferencias, incluido el IVA; la exoneración de impuestos municipalesen adquisiciones o transferencias de bienes inmuebles; y la exoneración de matrícula vehicular y tasas conexas en vehículos transferidos, adjudicados o adquiridos por instituciones públicas, incluso en el caso de bienes incautados o comisados.
Asimismo, se exonera el pago deimpuestos en la transferencia de bienes muebles como vehículos, maquinaria o semovientes cuando en la operación intervengan entidades del sector público. Con ello se busca optimizar la gestión y circulación de activos estatales sin generar cargas tributarias adicionales que afecten a las instituciones.
Recomendaciones
Ante la entrada en vigor de estas reformas, se recomienda a las sociedades y personas naturales revisar oportunamente su planificación fiscal, especialmente en lo referente a la distribución de utilidades y el manejo de utilidades acumuladas. Es fundamental implementar controles internos que garanticen el cumplimiento de las obligaciones de retención en dividendos, así como mantener actualizada la composición societaria para evitar la aplicación de tarifas más altas.
Ley de Compañías: SUSCRIPCIÓN DE CONTRATOS AUDITORES EXTERNOS
Conforme lo establecido en el artículo 321 de la Ley de Compañías, las sociedades sujetas a contratar auditoría externa tienen la obligación de designar a un auditor externo calificado con al menos 90 días de antelación al cierre del ejercicio económico.
Dado que el ejercicio económico concluye el 31 de diciembre de 2025, la contratación del auditor deberá efectuarse hasta el 30 de septiembre. Asimismo, la notificación del contrato a la Superintendencia de Compañías, Valores y Seguros (SCVS) debe efectuarse en el plazo de 30 días posteriores a su firma.
Cumplir con este requisito no solo garantiza que los informes se emitan a tiempo y con plena validez legal, sino que además evita la imposición de multas, la imposibilidad de registrar estados financieros, restricciones para participar en licitaciones públicas o contratar con el Estado, entre otras.
el Acuerdo Ministerial Nro. MDT-2025-102 que contiene la “Norma para la prevención y atención a todo caso de discriminación, violencia y acoso laboral en el sector privado”.
Este acto normativo deroga el anterior Acuerdo sobre la materia (Nro. MDT-2020-244, emitido el 25 de noviembre de 2020) y entre las principales reformas podemos identificar las siguientes:
La norma establece la obligación del empleador de adecuar dos instrumentos para la prevención y atención de discriminación, violencia y acoso laboral:
Protocolo Interno de Prevención y Erradicación de la discriminación, violencia y acoso laboral (en adelante, el “Protocolo”).
Programa de Prevención de Riesgos Psicosociales (en adelante, el “Programa”).
El registro en el SUT del Protocolo es obligatorio para todos los empleadores del sector privado.
Los empleadores que cuenten con once (11) trabajadores o más, deberán implementar el Programa, adecuando la prevención de riesgos psicosociales.
Los empleadores del sector privado tendrán hasta el 21 de octubre del 2025 para adecuar el Programa y el Protocolo.
Se establecen medidas concretas que el empleador debe tomar en caso de recibir una denuncia de acoso laboral tales como: separación física del presunto agresor y la presunta víctima o garantizar que las partes tengan acceso a la información del estado de la investigación.
El ámbito de aplicación del Protocolo y del Programa se amplía, pues se aclara que no solo abarca la protección de la mujer, sino que es aplicable a cualquier trabajador, independientemente de su género.
Se prohíbe que durante el proceso de selección de personal se consulte o requiera a los aspirantes: fotografías, pruebas de embarazo, identidad de género, religión, pasado judicial, actividades sindicales, estado civil, edad, pruebas de detección de enfermades y pólizas de seguro por enfermedades degenerativas o catastróficas.
Es importante que el empleador haya activado el Protocolo antes de que el trabajador interponga una denuncia por acoso ante el inspector de trabajo.
En caso de que la autoridad determine la existencia de acoso laboral cometido por parte de:
el empleador, u
otro trabajador
Se podrá iniciar el procedimiento administrativo de visto bueno en contra de quien corresponda.
Podemos concluir que el procedimiento de visto bueno solo se puede iniciar de forma posterior a la activación del Protocolo y a la resolución del Inspector del Trabajo como resultado de una denuncia por acoso, violencia o discriminación.
Se incluye a los trabajadores que desempeñen cargos de confianza o dirección como excepción al derecho de desconexión laboral digital.
Los incumplimientos a este acuerdo pueden ser sancionados por el Director Regional del Trabajo con multas desde mil cuatrocientos diez hasta nueve mil cuatrocientos dólares de los Estados Unidos de América.
ACUERDO MINISTERIAL Nro. MDT-2025-083 AMPLIACIÓN DEL PLAZO PARA EL REGISTRO DE PLANES DE IGUALDAD EN EL SISTEMA ÚNICO DE TRABAJO (SUT)
Con fecha 30 de julio de 2025, el Ministerio del Trabajo expidió el Acuerdo Ministerial Nro. MDT-2025-083, mediante el cual se reforma el Acuerdo Ministerial Nro. MDT-2024-013, ampliando el plazo para que los empleadores obligados registren sus Planes de Igualdad ante el Ministerio del Trabajo.
Entre las principales disposiciones se destacan las siguientes:
I. Ampliación del plazo para el registro de Planes de Igualdad
Los empleadores del sector privado con 50 o más trabajadores en nómina deberán registrar su Plan de Igualdad hasta el 31 de diciembre de 2025, a través del Sistema Único de Trabajo (SUT).
II. Control y sanciones
Concluido el plazo, el Ministerio del Trabajo realizará procesos de control y aplicará sanciones en caso de incumplimiento.
III. Excepción para registros físicos previos
Los empleadores que ya hayan registrado sus Planes de Igualdad de forma física y cuenten con el documento de registro emitido por el Ministerio no deberán volver a registrarlos en el SUT, salvo que se desee realizar su actualización, conforme lo previsto en el artículo 9 del Acuerdo Ministerial Nro. MDT-2024-013.
La Superintendencia de Protección de Datos Personales expide un nuevo reglamento para la gestión segura de tu información personal.
La protección de nuestros datos personales es un derecho fundamental garantizado por la Constitución del Ecuador. Para garantizar que este derecho se cumpla de manera efectiva, la Superintendencia de Protección de Datos Personales (SPDP) ha emitido una nueva resolución. Esta nueva normativa busca establecer reglas claras sobre cómo las organizaciones deben manejar nuestra información personal, especialmente cuando ya no es necesaria. El objetivo es brindar un marco normativo que fortalezca la confianza de los ciudadanos en la protección de sus datos.
La Resolución N° SPDP-SPD-2025-0030-R, emitida el 7 de agosto de 2025 por el Superintendente de Protección de Datos Personales, tiene como objetivo principal establecer los lineamientos para la aplicación de medidas como la seudonimización, anonimización, bloqueo y eliminación de datos personales. Esto se hace en concordancia con el ciclo de vida de los datos y para garantizar el ejercicio de los derechos establecidos en la Ley Orgánica de Protección de Datos Personales (LOPDP).
A continuación, te explicamos en detalle cada uno de estos conceptos clave del nuevo reglamento:
Seudonimización: Es un proceso que sustituye los datos personales por seudónimos, de forma que los datos no pueden atribuirse a un titular sin el uso de información adicional separada y protegida. Es una medida técnica que preserva la posibilidad de reidentificación de los datos personales bajo condiciones controladas y seguras. Por esta razón, los datos seudonimizados mantienen su estatus como datos personales y siguen sujetos a las obligaciones de la LOPDP. Se puede utilizar en la prestación de servicios, investigaciones científicas o estadísticas, auditorías internas y pruebas de sistemas. Es obligatorio que el responsable del tratamiento realice un análisis de gestión de riesgos antes de aplicar esta medida.
Anonimización: Esta es una medida de seguridad técnica que impide la identificación o reidentificación de una persona natural sin esfuerzos desproporcionados. El reglamento permite que todas las categorías de datos personales sean objeto de esta medida. La anonimización debe ser exhaustiva, considerando todos los atributos que podrían llevar a la reidentificación, incluso al combinarse con otra información. A diferencia de la seudonimización, si los datos personales están debidamente anonimizados, no se requiere del consentimiento del titular para su transferencia o comunicación. En el caso de datos de salud, se debe priorizar la anonimización siempre que sea posible, y todo tratamiento de datos de salud anonimizados requerirá la autorización previa de la SPDP.
Bloqueo: Es una medida técnica que inhabilita el acceso a los datos personales, de manera que no puedan ser tratados. Los datos bloqueados se conservan de forma segura y con acceso limitado y restringido, sirviendo como respaldo por el plazo determinado por la ley. La decisión de bloquear los datos tras el cumplimiento de la finalidad del tratamiento dependerá de la evaluación del riesgo y la necesidad de mantenerlos accesibles para otras finalidades legítimas.
Suspensión: Es la limitación temporal que, sin llevar a la eliminación de los datos personales, restringe o impide al responsable llevar a cabo nuevas actividades de tratamiento por un tiempo específico. El titular de los datos personales tiene la facultad de solicitar al responsable del tratamiento que detenga temporalmente una determinada actividad, y el responsable debe suspenderla en un plazo no mayor a tres días. El responsable solo podrá tratar los datos personales a pesar de la suspensión en casos de reclamaciones, para proteger los derechos de otra persona, por razones de interés público o por obligaciones legales.
Eliminación: Es la supresión definitiva de los datos personales de las bases de datos, de manera que ya no sean accesibles ni recuperables. Este derecho es aplicable a todas las categorías de datos personales, siempre que se cumplan los requisitos y procedimientos establecidos en la normativa vigente. El derecho de eliminación se extiende a los datos de personas fallecidas, y puede ser ejercido por los titulares de los derechos sucesorios. Si un titular ejerce este derecho, el responsable debe entregar un documento que acredite la eliminación de los datos de todos los repositorios físicos y/o digitales. Además, el responsable debe notificar a todos los encargados de tratamiento y terceros a quienes se les haya transferido o comunicado los datos, para que también los eliminen de sus sistemas.
La expedición de este nuevo reglamento representa un avance significativo en la protección de nuestros datos personales. Establece pautas claras para las empresas y organizaciones sobre cómo deben manejar la información, asegurando que se apliquen medidas de seguridad adecuadas y que nuestros derechos como titulares de datos sean respetados, incluso después de que la finalidad de su uso haya terminado. Esto tiene un impacto directo en la forma en que interactuamos con servicios que requieren nuestra información, ya que ahora existen normativas específicas que rigen cómo se debe proteger y eliminar nuestra información.
REFORMA A LAS NORMAS DE ANULACIÓN DE COMPROBANTES ELECTRÓNICOS
RESOLUCIÓN NAC-DGERCGC25-00000017 – SRI
El Servicio de Rentas Internas (SRI), mediante Resolución NAC-DGERCGC25-00000014, estableció las normas para la anulación de comprobantes de venta, retención y documentos complementarios emitidos electrónicamente. Posteriormente, la Resolución NAC-DGERCGC25-00000017, publicada el 29 de julio de 2025, reformó dicha normativa, incorporando ajustes relevantes para su aplicación operativa y control tributario.
Plazo para la anulación en línea
El plazo máximo para anular comprobantes electrónicos en línea se reduce de 10 días a 7 días del mes siguiente a la emisión.
Excepción por ISD
El nuevo plazo de 7 días no será aplicable a los comprobantes de retención relacionados con el Impuesto a la Salida de Divisas, conforme el articulo 26 del Reglamento correspondiente.
Anulación sin aceptación del receptor
Se permitirá la anulación automática de comprobantes en los siguientes casos:
Cuando el receptor tenga identificación extranjera o pasaporte.
Cuando el receptor conste como fallecido en el Registro Civil a la fecha de la solicitud.
En estos casos, no se requerirá aceptación del receptor para que proceda la anulación.
Anulación de oficio por el Servicio de Rentas Internas
Se incorpora una disposición que faculta a la Administración Tributaria a anular de oficio comprobantes de venta emitidos con la leyenda “consumidor final”, cuando se utilicen en transacciones bajo proceso de control por parte de los fedatarios fiscales.
Vigencia
Las reformas al articulo 3 referentes al plazo de anulación y al articulo 4 sobre la aceptación del receptor serán aplicables a los comprobantes emitidos desde el 01 de agosto de 2025.
El ultimo inciso del articulo 3 respecto de las excepciones por ISD y el numeral 2 de la Disposición Reformatoria Primera, entrarán en vigor a partir del 01 de enero del 2026.
Recomendación
Se recomienda a los contribuyentes y responsables de facturación electrónica:
Revisar y actualizar sus sistemas para ajustarse a los nuevos plazos.
Verificar los procedimientos de emisión y anulación conforme a los criterios establecidos.
Establecer controles internos para evitar errores en la emisión de comprobantes dirigidos a “consumidor final”.
El Servicio de Rentas Internas (SRI) ha emitido la Resolución NAC-DGERCGC25-00000018, mediante la cual reforma las Resoluciones NAC-DGERCGC21-00000029 y NAC-DGERCGC21-00000011, incorporando nuevas disposiciones relacionadas con la obligación de reportar a la Unidad de Análisis Financiero y Económico (UAFE).
Puntos principales de la reforma
Actualización del RUC
Ahora, en la información del certificado del RUC se deberá incluir si el contribuyente es o no sujeto obligado a reportar ante la UAFE.
Suspensión de oficio del RUC
El SRI podrá suspender el RUC cuando el contribuyente, siendo sujeto obligado, no obtenga el Código de Registro ante la UAFE en un plazo de 30 días hábiles desde la apertura o actualización del RUC.
Requisito adicional
Para reactivar el RUC suspendido en este caso, se deberá presentar el Certificado de Cumplimiento de Obligaciones emitido por la UAFE, que confirme la obtención del Código de Registro.
Esta medida tiene como objetivo, fortalecer los mecanismos de prevención, detección y combate del lavado de activos, la financiación del terrorismo y otros delitos, asegurando la transparencia y licitud de las operaciones económicas en el país.
Entrada en vigor
La resolución rige desde su publicación en el Registro Oficial.
Reglas para la figura del Delegado de Protección de Datos Personales
La Superintendencia de Protección de Datos Personales (SPDP) ha emitido la Resolución N° SPDP-SPD-2025-0028-R, un documento clave que establece el Reglamento del Delegado de Protección de Datos Personales. Esta normativa tiene como objetivo principal regular las actividades de los delegados de protección de datos (DPO) en el ejercicio de sus funciones, asegurando que su labor se alinee con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento general.
El reglamento busca clarificar y garantizar la independencia de los DPO, un aspecto fundamental para que puedan cumplir adecuadamente su rol de supervisión dentro de las organizaciones. Este delegado es la persona natural encargada de informar a la empresa sobre sus obligaciones legales en materia de protección de datos y de cooperar con la Superintendencia, sirviendo como punto de contacto entre la entidad y la autoridad de control.
La Resolución N° SPDP-SPD-2025-0028-R fue emitida el 30 de julio de 2025 por el Superintendente de Protección de Datos Personales, Fabrizio Peralta-Díaz. La normativa define los siguientes puntos clave:
Designación y Registro del DPO
El nombramiento del DPO debe ser realizado por el responsable o encargado del tratamiento de datos, ya sea una persona natural o una persona jurídica (pública o privada).
El nombramiento debe contener información detallada como la fecha de otorgamiento, datos del responsable (incluyendo RUC si aplica), datos del representante legal y del propio delegado.
Si el nombramiento es con firma electrónica, debe inscribirse en el portal web de la SPDP en un plazo de 15 días desde la designación. Si es con firma manuscrita, debe presentarse de manera presencial.
Se aceptarán nombramientos extemporáneos, pero esto se considerará un incumplimiento de una medida de seguridad de carácter jurídico.
La SPDP mantendrá una lista pública de delegados en su portal web, accesible para la ciudadanía.
Casos de Designación Obligatoria
Además de lo ya previsto en la LOPDP, la nueva normativa detalla las siguientes instituciones que están obligadas a nombrar un DPO:
Sector público: Todas las entidades del sector público deben designar un delegado de protección de datos. Aquellos que tengan un DPO de nivel jerárquico superior, tienen un plazo de dos meses para designar a una persona que cumpla con los requisitos de la normativa.
Sector privado: Se establece una lista específica de organizaciones, con o sin fines de lucro, que deben designar un DPO. Esto incluye instituciones educativas de todos los niveles, empresas financieras y de seguros, agencias de publicidad, entidades del sistema de salud (con excepción de profesionales independientes), establecimientos farmacéuticos, empresas de seguridad privada, federaciones deportivas, gremios profesionales, y proveedores de telecomunicaciones y servicios de videovigilancia o geolocalización.
Los responsables o encargados del tratamiento de datos del sector privado que deban contar con un DPO tienen un plazo desde el 1 de noviembre hasta el 31 de diciembre de 2025 para registrar sus nombramientos.
Requisitos, Prohibiciones y Conflicto de Intereses
El DPO debe mantener total independencia e imparcialidad en sus funciones.
Para ejercer, debe aprobar obligatoriamente el Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP. Esta exigencia entrará en vigencia a partir del 1 de enero de 2029.
El delegado tiene prohibido realizar funciones que comprometan su independencia, como tomar decisiones sobre la finalidad del tratamiento de datos, representar a la organización ante la SPDP, o ejercer simultáneamente cargos como oficial de seguridad o de cumplimiento.
No pueden ser nombrados como DPO las personas que ya sean oficiales de seguridad o cumplimiento, apoderados especiales de responsables extranjeros o personas en cargos del nivel jerárquico superior en el sector público.
Habrá conflicto de interés si el DPO participa en las actividades de tratamiento de datos, asesora a la organización para salvaguardar sus intereses (fuera de sus funciones de delegado) o toma decisiones sobre la gestión interna de la empresa.
Garantía de Independencia y Protección del DPO
Los responsables deben garantizar la independencia del DPO con recursos técnicos, financieros y humanos adecuados.
El DPO puede denunciar ante la SPDP cualquier situación que menoscabe su independencia o constituya una represalia. La SPDP investigará y, de ser necesario, impondrá sanciones al responsable o encargado.
La remoción, cese o sanción injustificada de un DPO será penalizada según el régimen sancionatorio de la LOPDP.
Esta resolución representa un paso fundamental en la consolidación de la protección de datos personales en el país. Al establecer reglas claras y detalladas para la figura del Delegado de Protección de Datos (DPO), la Superintendencia refuerza la independencia y la capacidad de esta figura clave para velar por los derechos de los ciudadanos. El cumplimiento de esta normativa es esencial para evitar sanciones y para demostrar un compromiso real con la seguridad de la información.
En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.
