Mediante Oficio No. SPDP-IRD-2025-0096-O, de 2025, la Superintendencia de Protección de Datos Personales (SPDP) aclaró el modo de interpretación y aplicación de los artículos 34 y 35 de la Ley Orgánica de Protección de Datos Personales (LOPDP), en conjunto con el artículo 43 de su Reglamento General (RLOPDP). El pronunciamiento busca delimitar el alcance de las figuras del responsable del tratamiento, encargado, tercero y destinatario, y su rol en el ciclo de vida del dato personal.
Base normativa analizada
La SPDP parte del análisis integral del marco normativo aplicable, en particular:
- Los artículos 34 y 35 de la LOPDP, que regulan los supuestos en los que no se considera que existe una transferencia o comunicación de datos personales cuando un tercero accede a ellos para prestar un servicio al responsable del tratamiento.
- El artículo 43 del RLOPDP, que aclara que, si un encargado determina los fines y medios del tratamiento, será considerado responsable respecto de dicho tratamiento específico.
En este contexto, la SPDP recalca la importancia de interpretar estos artículos de manera sistémica, atendiendo al ciclo de vida del dato y a las funciones específicas que cada actor desempeña dentro del ecosistema de protección de datos.
Definiciones clave para la interpretación
La Superintendencia revisa las definiciones legales contenidas en la LOPDP y su Reglamento, y formula precisiones sobre las siguientes figuras:
- Responsable del tratamiento: Es quien decide sobre la finalidad del tratamiento de los datos y los medios para llevarlo a cabo. Puede actuar solo o conjuntamente con otros, y tiene control sobre las decisiones fundamentales del tratamiento.
- Encargado del tratamiento: Es quien trata datos personales a nombre y por cuenta del responsable, siguiendo estrictamente sus instrucciones. No tiene autonomía para definir las finalidades del tratamiento.
- Tercero: Es todo sujeto distinto del titular, responsable, encargado o personas autorizadas bajo la autoridad directa del responsable. Se trata de un concepto residual que incluye a quienes inicialmente no forman parte del ecosistema legítimo de tratamiento.
- Destinatario: Es quien ha sido comunicado con datos personales como parte de una acción de transferencia o comunicación, pero sin funciones operativas o decisionales sobre el tratamiento.
Criterio interpretativo adoptado por la SPDP
La SPDP propone la siguiente interpretación armónica de los artículos 34 y 35 de la LOPDP:
- El artículo 34 de la LOPDP aplica a los encargados del tratamiento formalmente designados, con una relación contractual clara y específica que delimita su actuación y responsabilidades.
- El artículo 35 aplica a terceros que, aunque inicialmente ajenos, prestan servicios que requieren acceso a datos personales. En estos casos, la relación debe evolucionar hacia un encargo formalizado, dado que la actividad implica tratamiento de datos por cuenta del responsable.
- El artículo 43 del RLOPDP debe entenderse como una norma de responsabilidad que establece que, si un encargado excede su mandato y destina los datos a fines propios, deberá contar con una base de legitimación válida y será considerado responsable por ese nuevo tratamiento. Esto no elimina su rol de encargado respecto del encargo original.
Importancia del ciclo de vida del dato personal
La SPDP destaca que la interpretación normativa debe partir del entendimiento del ciclo de vida del dato personal. Este enfoque permite identificar con claridad las funciones y límites de cada actor involucrado en el tratamiento, y asegura una aplicación coherente del régimen legal de protección de datos.
Naturaleza del pronunciamiento
La absolución de la SPDP constituye una opinión técnica, sin carácter vinculante ni efectos jurídicos generales. Su aplicación corresponde exclusivamente al consultante y no limita las facultades de supervisión o sanción de la Superintendencia.
