Mediante Oficio No. SPDP-IRD-2025-0126-O, de 2025, la Superintendencia de Protección de Datos Personales absolvió una consulta sobre la necesidad de contar con aceptación expresa de la política de protección de datos personales en los casos en que el tratamiento se fundamente en bases de legitimación distintas al consentimiento, conforme al artículo 7 de la Ley Orgánica de Protección de Datos Personales (LOPDP).

El pronunciamiento aclara que, para que un tratamiento de datos personales sea legítimo, debe estar siempre sustentado en una de las bases de legitimación previstas en la LOPDP. Además, deben cumplirse íntegramente los principios y obligaciones establecidos en la norma, entre ellos, implementar una política de protección de datos personales que esté disponible en todo momento.

La Superintendencia precisó que dicha política no requiere de aceptación expresa por parte del titular de los datos cuando el tratamiento se sustente en una base distinta al consentimiento. Sin embargo, su contenido debe ser informado de manera clara, suficiente, oportuna y comprobable tanto frente al titular como ante la autoridad de control.

Finalmente, la entidad subrayó que este pronunciamiento constituye únicamente una opinión técnica sin carácter vinculante ni efectos generales, y no limita las facultades de supervisión, control y sanción de la Superintendencia.