Reglas para la figura del Delegado de Protección de Datos Personales

La Superintendencia de Protección de Datos Personales (SPDP) ha emitido la Resolución N° SPDP-SPD-2025-0028-R, un documento clave que establece el Reglamento del Delegado de Protección de Datos Personales. Esta normativa tiene como objetivo principal regular las actividades de los delegados de protección de datos (DPO) en el ejercicio de sus funciones, asegurando que su labor se alinee con la Ley Orgánica de Protección de Datos Personales (LOPDP) y su reglamento general.

El reglamento busca clarificar y garantizar la independencia de los DPO, un aspecto fundamental para que puedan cumplir adecuadamente su rol de supervisión dentro de las organizaciones. Este delegado es la persona natural encargada de informar a la empresa sobre sus obligaciones legales en materia de protección de datos y de cooperar con la Superintendencia, sirviendo como punto de contacto entre la entidad y la autoridad de control.

La Resolución N° SPDP-SPD-2025-0028-R fue emitida el 30 de julio de 2025 por el Superintendente de Protección de Datos Personales, Fabrizio Peralta-Díaz. La normativa define los siguientes puntos clave:

Designación y Registro del DPO

  • El nombramiento del DPO debe ser realizado por el responsable o encargado del tratamiento de datos, ya sea una persona natural o una persona jurídica (pública o privada).
  • El nombramiento debe contener información detallada como la fecha de otorgamiento, datos del responsable (incluyendo RUC si aplica), datos del representante legal y del propio delegado.
  • Si el nombramiento es con firma electrónica, debe inscribirse en el portal web de la SPDP en un plazo de 15 días desde la designación. Si es con firma manuscrita, debe presentarse de manera presencial.
  • Se aceptarán nombramientos extemporáneos, pero esto se considerará un incumplimiento de una medida de seguridad de carácter jurídico.
  • La SPDP mantendrá una lista pública de delegados en su portal web, accesible para la ciudadanía.

Casos de Designación Obligatoria

Además de lo ya previsto en la LOPDP, la nueva normativa detalla las siguientes instituciones que están obligadas a nombrar un DPO:

  • Sector público: Todas las entidades del sector público deben designar un delegado de protección de datos. Aquellos que tengan un DPO de nivel jerárquico superior, tienen un plazo de dos meses para designar a una persona que cumpla con los requisitos de la normativa.
  • Sector privado: Se establece una lista específica de organizaciones, con o sin fines de lucro, que deben designar un DPO. Esto incluye instituciones educativas de todos los niveles, empresas financieras y de seguros, agencias de publicidad, entidades del sistema de salud (con excepción de profesionales independientes), establecimientos farmacéuticos, empresas de seguridad privada, federaciones deportivas, gremios profesionales, y proveedores de telecomunicaciones y servicios de videovigilancia o geolocalización.
  • Los responsables o encargados del tratamiento de datos del sector privado que deban contar con un DPO tienen un plazo desde el 1 de noviembre hasta el 31 de diciembre de 2025 para registrar sus nombramientos.

Requisitos, Prohibiciones y Conflicto de Intereses

  • El DPO debe mantener total independencia e imparcialidad en sus funciones.
  • Para ejercer, debe aprobar obligatoriamente el Programa Profesionalizante de Delegados de Protección de Datos oficializado por la SPDP. Esta exigencia entrará en vigencia a partir del 1 de enero de 2029.
  • El delegado tiene prohibido realizar funciones que comprometan su independencia, como tomar decisiones sobre la finalidad del tratamiento de datos, representar a la organización ante la SPDP, o ejercer simultáneamente cargos como oficial de seguridad o de cumplimiento.
  • No pueden ser nombrados como DPO las personas que ya sean oficiales de seguridad o cumplimiento, apoderados especiales de responsables extranjeros o personas en cargos del nivel jerárquico superior en el sector público.
  • Habrá conflicto de interés si el DPO participa en las actividades de tratamiento de datos, asesora a la organización para salvaguardar sus intereses (fuera de sus funciones de delegado) o toma decisiones sobre la gestión interna de la empresa.

Garantía de Independencia y Protección del DPO

  • Los responsables deben garantizar la independencia del DPO con recursos técnicos, financieros y humanos adecuados.
  • El DPO puede denunciar ante la SPDP cualquier situación que menoscabe su independencia o constituya una represalia. La SPDP investigará y, de ser necesario, impondrá sanciones al responsable o encargado.
  • La remoción, cese o sanción injustificada de un DPO será penalizada según el régimen sancionatorio de la LOPDP.

Esta resolución representa un paso fundamental en la consolidación de la protección de datos personales en el país. Al establecer reglas claras y detalladas para la figura del Delegado de Protección de Datos (DPO), la Superintendencia refuerza la independencia y la capacidad de esta figura clave para velar por los derechos de los ciudadanos. El cumplimiento de esta normativa es esencial para evitar sanciones y para demostrar un compromiso real con la seguridad de la información.

En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.

DURINI & GUERRERO ABOGADOS

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *