La SPDP fija criterios técnicos sobre encargados, finalidad, plazos de conservación y la obligación de contrato de encargo de tratamiento

Mediante el Oficio SPDP‑IRD‑2026‑0112‑O, la Superintendencia de Protección de Datos Personales absolvió una consulta compleja que involucra cuatro temas centrales del régimen de protección de datos: (i) determinación del encargado del tratamiento; (ii) límites del principio de finalidad; (iii) determinación del plazo de conservación de datos personales; y (iv) obligatoriedad del contrato de encargo entre responsable y encargado.

Primero, la SPDP concluye que el criterio determinante para identificar a un encargado del tratamiento es la ausencia de autonomía decisoria sobre la finalidad y los medios; es decir, cuando el tercero actúa exclusivamente bajo instrucciones del responsable en la prestación de un servicio, debe considerarse encargado. Si define fines o medios propios, pasa a ser responsable respecto de ese tratamiento, conforme al artículo 43 del RGLOPDP.

Segundo, sobre el principio de finalidad, la SPDP aclara que un tercero no puede ampliar ni redefinir la finalidad original sin contar con una base de legitimación independiente, pues ello constituiría un nuevo tratamiento. La autoridad enfatiza que toda finalidad adicional exige consentimiento, mandato legal u otra base legitimadora prevista en el artículo 7 de la LOPDP.

Tercero, con relación al plazo de conservación, la SPDP sostiene que, aunque aún no exista regulación específica que establezca parámetros temporales uniformes, rige el principio de conservación limitada del artículo 10 de la LOPDP: los datos deben mantenerse solo durante el tiempo estrictamente necesario para cumplir la finalidad del tratamiento; una vez cumplida, procede la eliminación, bloqueo o anonimización, salvo obligación legal o causa legítima para conservarlos.

Finalmente, la SPDP determina que la celebración de un contrato de encargo de tratamiento no es optativa: constituye una obligación legal imperativa conforme a los artículos 34 y 35 de la LOPDP, y los artículos 40 y 41 del RGLOPDP. Cualquier relación en la que un tercero trate datos por cuenta de un responsable debe regularse mediante un instrumento contractual que delimite instrucciones, obligaciones, finalidad y duración del tratamiento.

Suscríbete a nuestro boletín semanal para recibir noticias de actualidad legal:
Suscribirse
Conectemos en:

23.02.2026

BLOG & NOTICIAS

Lo más reciente.

18.05.2026

La Procuraduría General del Estado fija criterios sobre la facultad municipal para modificar el impuesto a la plusvalía

18.05.2026

Recordatorio: el toque de queda nocturno del estado de excepción vence este lunes 18 de mayo

11.05.2026

La SPDP aclara criterios para determinar cuándo un tratamiento de datos personales es realizado a gran escala

11.05.2026

La Comunidad Andina dispone a Ecuador y Colombia la eliminación de los aranceles recíprocamente

Home

La Firma

Equipo de Trabajo

Servicios

Publicaciones

Contacto