La Superintendencia de Protección de Datos Personales (SPDP) ha respondido cinco consultas en materia de protección de datos, en ejercicio de su facultad resolutiva consagrada en el numeral 9 del artículo 76 de la Ley Orgánica de Protección de Datos Personales (LOPDP). Estos pronunciamientos buscan aclarar dudas normativas y orientar a entidades públicas y privadas sobre el cumplimiento de la legislación vigente.
Consultas absueltas
- Consulta 01-2024 – Oficio No. SPDP-IGRPD-2024-001-O-C: Reconocimiento de buenas prácticas en protección de datos personales.
- Pronunciamiento: Actualmente, no existe normativa que regule el procedimiento para obtener este reconocimiento, por lo que no es posible acceder al mismo en este momento.
- Pronunciamiento: Actualmente, no existe normativa que regule el procedimiento para obtener este reconocimiento, por lo que no es posible acceder al mismo en este momento.
- Consulta 02-2024 – Oficio No. SPDP-IGRPD-2024-002-O-C: Verificación del cumplimiento en la designación del Delegado de Protección de Datos Personales.
- Pronunciamiento: La SPDP aún no ha emitido regulaciones sobre los procedimientos de verificación, pero está en proceso de desarrollo normativo.
- Pronunciamiento: La SPDP aún no ha emitido regulaciones sobre los procedimientos de verificación, pero está en proceso de desarrollo normativo.
- Consulta 03-2024 – Oficio No, SPDP-IGRPD-2024-008-O-C: Análisis sobre la Resolución No. SCVS-INC-DNCDN-2022-0008 expedida por la Superintendencia de Compañías, Valores y Seguros de 21 de junio de 2022 que solicita el código dactilar de los representantes legales de las sociedades junto con el número de cédula de identidad en los nombramientos.
- Pronunciamiento: El código dactilar es un dato biométrico sensible y su inclusión en los nombramientos de representantes legales es innecesaria y desproporcionada. Dado que el número de cédula ya permite la identificación inequívoca de una persona, su exigencia adicional representa un mayor riesgo de vulneración a los derechos de los titulares de datos personales. Además, la inscripción de los nombramientos ante la autoridad competente ya cumple con el principio de publicidad de la Ley de Compañías y el Código de Comercio, por lo que la resolución mencionada vulnera los principios de finalidad, pertinencia, minimización de datos personales y proporcionalidad.
- Pronunciamiento: El código dactilar es un dato biométrico sensible y su inclusión en los nombramientos de representantes legales es innecesaria y desproporcionada. Dado que el número de cédula ya permite la identificación inequívoca de una persona, su exigencia adicional representa un mayor riesgo de vulneración a los derechos de los titulares de datos personales. Además, la inscripción de los nombramientos ante la autoridad competente ya cumple con el principio de publicidad de la Ley de Compañías y el Código de Comercio, por lo que la resolución mencionada vulnera los principios de finalidad, pertinencia, minimización de datos personales y proporcionalidad.
- Consulta 04-2024 – Oficio No. SPDP-IRD-2025-0010-O: Proceso de tratamiento de datos personales que deben seguir los establecimientos de salud, fabricantes y/o titulares de registros sanitarios con respecto a la trazabilidad de las tarjetas de implante.
- Pronunciamiento: Los establecimientos de salud, fabricantes y titulares de registro sanitario deben cumplir con la Resolución ARCSA-DE-2023-016-AKRG, pero asegurando que el tratamiento de datos personales cuente con una base de legitimación adecuada, que en este caso es el consentimiento del titular. Se recomienda implementar medidas de seguridad para proteger los datos personales, garantizando en todo momento los principios de finalidad, pertinencia, minimización y proporcionalidad, conforme lo dispuesto en la LOPDP. El ciclo de vida de los datos inicia con la trazabilidad de las tarjetas de implante y, una vez cumplida la finalidad de su recolección, deben ser almacenados de manera pasiva por el tiempo estrictamente necesario antes de su eliminación.
- Pronunciamiento: Los establecimientos de salud, fabricantes y titulares de registro sanitario deben cumplir con la Resolución ARCSA-DE-2023-016-AKRG, pero asegurando que el tratamiento de datos personales cuente con una base de legitimación adecuada, que en este caso es el consentimiento del titular. Se recomienda implementar medidas de seguridad para proteger los datos personales, garantizando en todo momento los principios de finalidad, pertinencia, minimización y proporcionalidad, conforme lo dispuesto en la LOPDP. El ciclo de vida de los datos inicia con la trazabilidad de las tarjetas de implante y, una vez cumplida la finalidad de su recolección, deben ser almacenados de manera pasiva por el tiempo estrictamente necesario antes de su eliminación.
- Consulta 05-2024 – Oficio No. SPDP-IRD-2025-0009-O: Acceso a documentos notariales por terceros.
- Pronunciamiento: Los notarios pueden otorgar copias de escrituras públicas cumpliendo la Ley Notarial y la LOPDP, sin necesidad de un contrato con el titular, pero con su consentimiento para la divulgación de datos personales.
