Mediante el Oficio No. SPDP-IRD-2026-0283-O, la Superintendencia de Protección de Datos Personales (SPDP) se pronunció sobre una consulta relativa al alcance del numeral 13 del artículo 10 de la Resolución No. SPDP-SPD-2025-0028-R, que exige designar un Delegado de Protección de Datos (DPD) a las personas jurídicas de derecho privado que oferten o presten servicios de tecnologías de la información.
La consulta buscaba determinar si esta obligación se limita a entidades cuyo tratamiento de datos personales es inherente a sus servicios tecnológicos, o si también alcanza a empresas dedicadas únicamente a la consultoría o asesoramiento en transformación digital y de procesos.
La autoridad recordó que, conforme a los artículos 47 y 48 de la Ley Orgánica de Protección de Datos Personales (LOPDP), la obligación de designar un DPD surge en los casos expresamente previstos por la ley y su normativa de desarrollo, y precisó que el concepto de tecnologías de la información no debe entenderse de forma restrictiva, sino que comprende las herramientas, equipos, programas, aplicaciones y medios utilizados para procesar información con distintas finalidades.
En consecuencia, la SPDP concluyó que la obligación de designar un DPD no se limita a las entidades cuyo tratamiento de datos personales sea inherente a sus servicios tecnológicos, sino que también alcanza a quienes oferten o presten habitualmente servicios de consultoría o asesoramiento en tecnologías de la información, siempre que actúen como responsables o encargados del tratamiento y realicen efectivamente tratamiento de datos personales. Si la entidad no realiza tratamiento alguno de datos personales, la LOPDP no le resultará aplicable y, por tanto, tampoco la obligación de designar un DPD.