La Superintendencia de Protección de Datos Personales (SPDP), mediante la consulta No. SPDP-IRD-2026-0004-O, aclaró los criterios para determinar cuándo las actividades de un responsable o encargado requieren control permanente y sistematizado en los términos del numeral 2 del artículo 48 de la Ley Orgánica de Protección de Datos Personales (LOPDP), con la consiguiente obligación de designar un Delegado de Protección de Datos Personales (DPD). La SPDP precisó el alcance de los conceptos de control permanente, control sistematizado y tratamiento a gran escala, previstos en esa disposición y desarrollados en el Reglamento General.
Control permanente
La SPDP determinó que el tratamiento de datos personales identificativos y de contacto, aun cuando se realice de forma continua o recurrente, no configura por sí mismo un supuesto de control permanente que obligue automáticamente a designar un DPD. La obligación prevista en el numeral 2 del artículo 48 de la LOPDP exige la concurrencia conjunta de dos elementos —control permanente y control sistematizado— y que dicha concurrencia esté justificada por el volumen, la naturaleza, el alcance o las finalidades del tratamiento. En consecuencia, la sola frecuencia o habitualidad del tratamiento, cuando este responde al cumplimiento de obligaciones legales o contractuales derivadas de normativa sectorial, resulta insuficiente para activar dicha obligación.
Control sistematizado
El hecho de que el tratamiento de datos se realice dentro de procedimientos administrativos regulados por normativa especial no implica, de manera automática, que exista sistematicidad en los términos del artículo 53 del Reglamento General a la LOPDP. La SPDP enfatizó que la sistematicidad debe analizarse en un sentido material, atendiendo a la existencia de una lógica operativa propia del responsable del tratamiento, como:
- un plan general de recogida de datos,
- una estrategia deliberada de tratamiento, o
- una estructura metódica diseñada específicamente para la gestión de datos personales.
La existencia formal de un procedimiento normado no es suficiente por sí sola.
Alcance del control permanente y sistematizado
La SPDP señaló que el control permanente y sistematizado no exige necesariamente la existencia de actividades de monitoreo, evaluación o seguimiento del comportamiento de los titulares. Sin embargo, tampoco se satisface por el solo hecho de que el tratamiento sea habitual dentro del giro ordinario de una actividad económica. En su lugar, el análisis debe realizarse caso por caso, verificando si el tratamiento reúne simultáneamente las características de permanencia y sistematicidad, conforme a los criterios técnicos previstos en el Reglamento y en la normativa aplicable.
Tratamiento a gran escala de datos identificativos y de contacto
La SPDP precisó que los datos identificativos y de contacto, aun cuando se trate de servicios regulados por normativa sectorial y se realicen de forma habitual, no pueden equipararse automáticamente a los supuestos de tratamiento a gran escala previstos en el Reglamento General (como los aplicables a instituciones financieras, aseguradoras, telecomunicaciones o sistemas de salud). La determinación de si un tratamiento califica como de gran escala debe efectuarse mediante un análisis individualizado, aplicando los criterios y fórmulas establecidos en el Reglamento y en la Resolución No. SPDP-SPD-2026-0005-R, sin que procedan presunciones generales.
En definitiva, la SPDP reafirma que la obligación de designar un Delegado de Protección de Datos Personales no surge de manera automática por la simple continuidad, recurrencia u habitualidad del tratamiento de datos identificativos y de contacto. Dicha obligación exige una evaluación integral que considere la concurrencia efectiva de control permanente y sistematizado, así como su justificación en el volumen, naturaleza, alcance o finalidades del tratamiento.
