Necesita su empresa un Delegado de Protección de Datos si maneja información de menores por obligación legal?

En el día a día de cualquier empresa, es común manejar datos personales de los hijos de los colaboradores, principalmente para cumplir con obligaciones legales como el reporte de cargas familiares para fines tributarios o de seguridad social. Esta práctica ha generado una duda importante entre muchas organizaciones: ¿este simple hecho obliga a designar a un Delegado de Protección de Datos (DPD)?

Recientemente, la Superintendencia de Protección de Datos (SPDP), a través del Oficio N° SPDP-IRD-2025-0180-O, ha emitido un pronunciamiento que aclara este panorama, ofreciendo mayor certeza jurídica a las empresas.

La consulta específica respondida por la Superintendencia era si el tratamiento de datos de niños, niñas y adolescentes, realizado exclusivamente para cumplir con normativas como el Código del Trabajo o la ley tributaria, activa automáticamente la obligación de nombrar un DPD.

La respuesta de la autoridad se centra en interpretar el artículo 10 del Reglamento de los Delegados de Protección de Datos. Este artículo establece casos adicionales en los que se debe nombrar un DPD, pero introduce dos condiciones fundamentales que deben cumplirse simultáneamente:

  1. Objeto o Dedicación: Que la actividad principal de la empresa (su «objeto») o una de sus dedicaciones centrales sea el tratamiento de ciertos tipos de datos.
  2. Habitualidad: Que esta actividad se realice de forma continua y frecuente, no de manera aislada.

El razonamiento de la Superintendencia es el siguiente: cuando una empresa registra los datos de los hijos de un empleado, no lo hace porque su negocio sea gestionar información de menores. Lo hace porque la ley se lo exige para fines específicos y secundarios a su actividad principal.

En otras palabras, el «objeto» o la «dedicación» de la empresa no es el tratamiento de esos datos, sino una consecuencia de una obligación legal. Por lo tanto, al no cumplirse la primera condición, no se activa la obligación de nombrar un DPD por esta causa específica.

¡Atención! Un punto clave a considerar: La Superintendencia es muy clara al señalar que esta exención aplica únicamente si el tratamiento de datos de menores se limita a estas obligaciones legales. Si la empresa, por cualquier otra de sus actividades, sí cumple con alguna de las causales que obligan a tener un DPD (por ejemplo, una institución educativa que maneja datos de sus estudiantes menores de edad), entonces deberá designarlo.

El análisis debe ser integral, considerando todas las operaciones de tratamiento de datos que realiza la organización.

Este pronunciamiento oficial aporta una importante claridad para un gran número de empresas en Ecuador. Confirma que el simple cumplimiento de obligaciones laborales y tributarias que involucren datos de menores no obliga, por sí solo, a designar un Delegado de Protección de Datos.

Esto permite a las organizaciones enfocar sus recursos de cumplimiento en las áreas donde el riesgo y la naturaleza del tratamiento de datos sí lo justifican. Sin embargo, es fundamental que cada empresa realice un análisis completo de todas sus actividades para determinar si incurre en alguna otra causal que sí la obligue a realizar dicha designación.

En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.

DURINI & GUERRERO ABOGADOS

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *