Mediante el oficio SPDP-IRD-2026-0127-O, la Superintendencia de Protección de Datos Personales (SPDP) emitió un pronunciamiento técnico en respuesta a una consulta relacionada con la obligación de designar un Delegado de Protección de Datos (DPD), específicamente sobre si esta obligación resulta aplicable también a personas jurídicas privadas que prestan servicios públicos bajo esquemas distintos a la concesión o a las alianzas público‑privadas (APP).
La SPDP recuerda que el derecho a la protección de datos personales se encuentra reconocido en la Constitución, y que la gestión de los sectores estratégicos y servicios públicos corresponde al Estado, aunque puede ser delegada temporalmente a actores privados conforme los artículos 313 y 316 de la misma. Esta estructura implica que, incluso cuando un privado participa en la prestación de un servicio público, la titularidad del servicio permanece en el Estado, debiendo actuar el privado dentro de los límites previstos en la ley. En este sentido, el ordenamiento distingue claramente entre las formas de delegación permitidas: las concesiones y las asociaciones público‑privadas, ambas desarrolladas en normativa sectorial como el Reglamento de Eficiencia Económica y Generación de Empleo y el Reglamento de Delegación de Gestión del MTOP, que configuran verdaderas modalidades contractuales de gestión delegada, con obligaciones, riesgos y supervisión definidos.
Bajo esta arquitectura institucional, la SPDP enfatiza que la obligación de designar un DPD no se activa por el simple hecho de que una persona jurídica privada preste un servicio público, sino únicamente cuando se verifiquen los supuestos previstos en la LOPDP, su Reglamento y la Resolución SPDP‑SPD‑2025‑0028‑R. La LOPDP fija criterios generales vinculados a la naturaleza, volumen, alcance y permanencia del tratamiento, así como al tratamiento a gran escala de categorías especiales de datos, mientras que la Resolución introduce supuestos adicionales, entre ellos, el del numeral 14 del artículo 10, que dispone la obligación para personas jurídicas públicas o privadas concesionarias de servicios públicos, y para APP que distribuyan, comercialicen o suministren servicios públicos.
Este numeral constituye una enumeración taxativa, por lo que su alcance no puede extenderse a otras personas jurídicas privadas que gestionen servicios públicos mediante figuras distintas, como autorizaciones o delegaciones instrumentadas únicamente mediante actos administrativos. Se subraya que no existe en la normativa vigente una habilitación que permita ampliar ese supuesto más allá de lo expresamente contemplado. Por ello, estas entidades privadas no quedan obligadas automáticamente a designar un DPD por el solo hecho de participar en la prestación del servicio. Sin embargo, la SPDP recuerda que ello no excluye la posibilidad de que dichas entidades sí deban designar un delegado si, al analizar su situación particular, se verifica que encuadran en alguno de los supuestos generales del artículo 48 de la LOPDP o del Reglamento, como el tratamiento permanente y sistemático, o el tratamiento de categorías especiales de datos a gran escala.
