La SPDP aclara criterios para determinar cuándo un tratamiento de datos personales es realizado a gran escala

La Superintendencia de Protección de Datos Personales (SPDP), mediante el Oficio No. SPDP‑IRD‑2026‑0221‑O, absolvió una consulta relacionada con la interpretación de la normativa aplicable a los tratamientos de datos personales a gran escala, particularmente respecto del uso del Modelo Técnico de Gran Escala (MTGE) y los supuestos de calificación directa.

La SPDP aclara que el tratamiento a gran escala no depende únicamente del tipo de datos tratados, sino de una evaluación integral de diversos factores, entre ellos el número de titulares, el volumen de datos, la frecuencia del tratamiento, su permanencia y su alcance geográfico.

En este contexto, el MTGE funciona como un instrumento técnico que permite medir la magnitud del tratamiento mediante la suma de estos criterios. Solo cuando el resultado alcanza el umbral previsto por la norma, el tratamiento se considera de gran escala, salvo los casos en que la normativa establece una calificación directa.

1. Aplicación independiente del MTGE por tratamiento

    Uno de los puntos centrales del pronunciamiento es que la evaluación del MTGE debe realizarse por cada tratamiento de datos de manera independiente. Esto implica que un responsable que maneje distintas bases de datos —por ejemplo, de trabajadores, clientes o proveedores— no puede consolidar la información para alcanzar el umbral de gran escala.

    En consecuencia, si cada tratamiento individualmente considerado no cumple con el puntaje requerido, no es posible calificarlos como de gran escala mediante la suma de varios tratamientos distintos.

    2. Tratamiento de datos sensibles y categorías especiales

    La SPDP también aclara que el solo hecho de tratar datos sensibles o categorías especiales no implica automáticamente que el tratamiento sea a gran escala. Si bien estos datos requieren un mayor nivel de protección, su calificación como gran escala depende adicionalmente de su magnitud, alcance y sistematicidad.

    No obstante, existen supuestos específicos —como el tratamiento de datos de salud en sistemas sanitarios o históricos clínicos— en los cuales la norma presume directamente que se trata de un tratamiento a gran escala, sin necesidad de aplicar el MTGE.

    3. Supuestos de calificación directa: biometría y geolocalización

    Respecto de los tratamientos que involucran datos biométricos o geolocalización, la SPDP establece que se trata de supuestos autónomos e independientes. Esto significa que cualquiera de estos tratamientos, por sí solo, es suficiente para configurar un tratamiento a gran escala, debido al nivel de intrusión que pueden generar en la vida privada de los titulares.

    4. Transferencias sistemáticas de datos personales

    Finalmente, la SPDP precisa el alcance de las transferencias sistemáticas de datos, señalando que estas deben ser entendidas como aquellas que forman parte de flujos continuos o estructurales de información, es decir, transferencias recurrentes, organizadas e integradas en la operación regular del responsable.

    Quedan fuera de esta categoría las transferencias ocasionales o puntuales, que no forman parte de un esquema permanente o reiterado de circulación de datos.

    Suscríbete a nuestro boletín semanal para recibir noticias de actualidad legal:
    Suscribirse
    Conectemos en:

    11.05.2026

    BLOG & NOTICIAS

    Lo más reciente.

    11.05.2026

    La Comunidad Andina dispone a Ecuador y Colombia la eliminación de los aranceles recíprocamente

    11.05.2026

    La UAFE establece nuevas directrices para el reporte de operaciones sospechosas y alertas tempranas

    11.05.2026

    La Corte Nacional fija un criterio obligatorio para el cálculo del fondo global de la jubilación patronal

    11.05.2026

    La Corte Constitucional aclara que la interdicción por insolvencia fortuita no impide el ejercicio de la abogacía

    Home

    La Firma

    Equipo de Trabajo

    Servicios

    Publicaciones

    Contacto