La SPDP fija criterios técnicos sobre encargados, finalidad, plazos de conservación y la obligación de contrato de encargo de tratamiento

Mediante el Oficio SPDP‑IRD‑2026‑0112‑O, la Superintendencia de Protección de Datos Personales absolvió una consulta compleja que involucra cuatro temas centrales del régimen de protección de datos: (i) determinación del encargado del tratamiento; (ii) límites del principio de finalidad; (iii) determinación del plazo de conservación de datos personales; y (iv) obligatoriedad del contrato de encargo entre responsable y encargado.

Primero, la SPDP concluye que el criterio determinante para identificar a un encargado del tratamiento es la ausencia de autonomía decisoria sobre la finalidad y los medios; es decir, cuando el tercero actúa exclusivamente bajo instrucciones del responsable en la prestación de un servicio, debe considerarse encargado. Si define fines o medios propios, pasa a ser responsable respecto de ese tratamiento, conforme al artículo 43 del RGLOPDP.

Segundo, sobre el principio de finalidad, la SPDP aclara que un tercero no puede ampliar ni redefinir la finalidad original sin contar con una base de legitimación independiente, pues ello constituiría un nuevo tratamiento. La autoridad enfatiza que toda finalidad adicional exige consentimiento, mandato legal u otra base legitimadora prevista en el artículo 7 de la LOPDP.

Tercero, con relación al plazo de conservación, la SPDP sostiene que, aunque aún no exista regulación específica que establezca parámetros temporales uniformes, rige el principio de conservación limitada del artículo 10 de la LOPDP: los datos deben mantenerse solo durante el tiempo estrictamente necesario para cumplir la finalidad del tratamiento; una vez cumplida, procede la eliminación, bloqueo o anonimización, salvo obligación legal o causa legítima para conservarlos.

Finalmente, la SPDP determina que la celebración de un contrato de encargo de tratamiento no es optativa: constituye una obligación legal imperativa conforme a los artículos 34 y 35 de la LOPDP, y los artículos 40 y 41 del RGLOPDP. Cualquier relación en la que un tercero trate datos por cuenta de un responsable debe regularse mediante un instrumento contractual que delimite instrucciones, obligaciones, finalidad y duración del tratamiento.

Suscríbete a nuestro boletín semanal para recibir noticias de actualidad legal:
Suscribirse
Conectemos en:

23.02.2026

BLOG & NOTICIAS

Lo más reciente.

02.03.2026

El SRI expide nuevos porcentajes de retención en la fuente de Impuesto a la Renta

02.03.2026

La SPDP precisa el alcance de la obligación de designar Delegado de Protección de Datos para prestadores privados de servicios públicos

02.03.2026

El SENAE actualiza la tasa por control aduanero a mercancías provenientes de Colombia e incrementa la tarifa al 50%

23.02.2026

Nuevo precedente jurisprudencial obligatorio de la CNJ sobre la carga probatoria respecto de ingresos gravados

Home

La Firma

Equipo de Trabajo

Servicios

Publicaciones

Contacto