Autor: Martín Bonilla
Mediante absolución de consulta No. SPDP-IRD-2025-0180-O, de 19 de septiembre de 2025, la Superintendencia de Protección de Datos Personales (SPDP) resolvió una inquietud sobre la obligatoriedad de designar un delegado de protección de datos en los casos en que responsables o encargados traten datos de niños, niñas y adolescentes exclusivamente en cumplimiento de obligaciones legales (como por ejemplo, aquellas previstas en el Código del Trabajo y en la normativa tributaria).
La Superintendencia recordó que la designación del delegado constituye una obligación en los supuestos previstos en el artículo 48 de la Ley Orgánica de Protección de Datos Personales (LOPDP) y en el artículo 10 del Reglamento de los Delegados de Protección de Datos. En particular, el numeral 3 del artículo 10 exige la designación cuando el responsable o encargado tenga por objeto o se dedique de manera habitual al tratamiento de datos de categorías especiales de menores de edad. El nuevo criterio precisa que este supuesto no se configura cuando el tratamiento de datos de menores se realice únicamente en cumplimiento de obligaciones legales —como las previstas en el Código del Trabajo o en la normativa tributaria—, pues no constituye el objeto ni una actividad habitual de la entidad. Sin embargo, si el responsable o encargado incurre en cualquiera de las demás causales previstas en la LOPDP o en el Reglamento, sí deberá designar un delegado.
La Superintendencia enfatizó que la obligación debe analizarse de manera integral, considerando la naturaleza de las actividades de cada entidad. Por ejemplo, un colegio que trate datos de menores para cumplir con obligaciones tributarias no estaría obligado por esa causal, pero sí por el hecho de que su actividad principal consiste en la prestación de servicios educativos a niños, niñas y adolescentes, lo que configura una de las causales de designación.
Implicación general del pronunciamiento
El pronunciamiento precisa que la obligación de designar un Delegado de Protección de Datos Personales bajo el artículo 10 del Reglamento surge únicamente cuando el responsable o encargado tenga por objeto o se dedique de manera habitual a las actividades listadas en esa norma. “Tener por objeto” significa que el tratamiento de datos forma parte de la finalidad esencial de la entidad, ya sea establecida en su objeto social, en sus estatutos o en la naturaleza de su actividad. En cambio, “dedicarse de forma habitual” implica que, aunque no sea su objeto formal, la entidad realiza de manera continua, estable y no meramente ocasional, tratamientos de datos de las categorías previstas. Así, se diferencia entre actividades accesorias u obligatorias por mandato legal (que no configuran habitualidad ni objeto) y aquellas que constituyen un ejercicio permanente o estructural de la organización, en cuyo caso sí se activa la obligación de contar con un DPD.
