La Superintendencia de Protección de Datos Personales (SPDP), mediante recientes absoluciones de consultas, precisó nuevos criterios sobre la figura del delegado de protección de datos personales (DPD), en particular respecto de los requisitos para ejercer el cargo, la aplicabilidad de estas exigencias a delegados internacionales, las modalidades de prestación del servicio a través de personas jurídicas y los límites funcionales derivados del principio de independencia, aclarando el alcance de la Resolución No. SPDP-SPD-2025-0028-R y de su régimen transitorio.

Oficio No. SPDP-IRD-2025-0262-O: requisitos del DPD, DPD internacional y registro del nombramiento

• Programa profesionalizante como requisito obligatorio (sin equivalencias). La SPDP determinó que aprobar el Programa Profesionalizante de DPD es obligatorio para toda persona natural que aspire o detente el cargo, como requisito adicional a los del artículo 55 del RGLOPDP. Maestrías, posgrados o certificaciones (nacionales o internacionales, incluso reconocidas) no se consideran equivalentes, y la Resolución No. SPDP-SPD-2025-0028-R no prevé homologación o equivalencia.
• Experiencia profesional de cinco años. La SPDP precisó que la experiencia mínima de cinco años no se limita a protección de datos personales, sino que corresponde a experiencia profesional en una de las áreas habilitadas (Derecho, Sistemas de Información, Comunicación o Tecnologías), contada desde la obtención del título de tercer nivel.
• DPD internacional: mismos requisitos y mismo plazo de registro. La SPDP concluyó que el DPD no residente no tiene un régimen excepcional: también debe cumplir el programa profesionalizante y los requisitos aplicables. Además, el plazo de registro del nombramiento previsto en la Disposición Transitoria Tercera de la Resolución No. SPDP-SPD-2025-0028-R aplica por igual, sin distinción por nacionalidad o residencia.
• Quién registra el nombramiento. El registro puede hacerlo el responsable o encargado (directamente o mediante apoderado con facultades suficientes) y puede realizarse de forma digital. La SPDP aclaró que el DPD no está habilitado para registrar su propio nombramiento.

Oficio No. SPDP-IRD-2025-0277-O: prestación del servicio de DPD a través de personas jurídicas

• El DPD debe ser persona natural. La SPDP reiteró que la función de DPD es exclusiva de personas naturales, por el carácter personalísimo de sus funciones, requisitos e independencia.
• Personas jurídicas sí pueden participar mediante sus personas naturales. Interpretando el artículo 12 de la Resolución No. SPDP-SPD-2025-0028-R, la SPDP señaló que personas jurídicas domiciliadas en Ecuador pueden prestar servicios de soporte, asesoría, implementación y/o consultoría y, en ese marco, pueden brindar el servicio de DPD a través de personas naturales (con o sin relación de dependencia con la empresa), siempre que se preserve la independencia.
• Responsabilidad personal del DPD. La SPDP enfatizó que el DPD inscrito responde personalmente por sus acciones u omisiones y no puede excusarse alegando que actuó “en nombre” de la persona jurídica para la que trabaja.

Oficio No. SPDP-IRD-2025-0279-O: independencia del DPD y prohibición de asumir control operativo

• El DPD no debe asumir tareas operativas del tratamiento. La SPDP concluyó que el DPD no puede ser custodio de contraseñas de bases de datos o sistemas institucionales.
• Independencia y conflicto de interés. La custodia de contraseñas implica control operativo sobre medidas de seguridad y compromete la independencia del DPD, al mezclar la función de supervisión con responsabilidades propias del responsable o encargado del tratamiento.