¿Usted y/o su organización necesitan designar un Delegado de Protección de Datos Personales?
Según la Ley Orgánica de Protección de Datos Personales, el Delegado de protección de datos es la Persona encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.
¿Pero usted y/o su organización tienen obligación de designar un delegado de protección de datos? Sí, siempre y cuando su situación se adecúe a uno de los siguientes casos:
1) Cuando el tratamiento se lleve a cabo por quienes conforman el sector público de acuerdo con lo establecido en el artículo 225 de la Constitución de la República;
2) Cuando las actividades del responsable o encargado del tratamiento de datos personales requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades del tratamiento, conforme se establezca en esta Ley, el reglamento a ésta, o en la normativa que dicte al respecto la Autoridad de Protección de Datos Personales;
3) Cuando se refiera al tratamiento a gran escala de categorías especiales de datos, de conformidad con lo establecido en el reglamento de esta Ley; y,
4) Cuando el tratamiento no se refiera a datos relacionados con la seguridad nacional y defensa del Estado que adolezcan de reserva ni fuesen secretos, de conformidad con lo establecido en la normativa especializada en la materia.
Estas condiciones se ampliaron de forma reciente, ya que el 30 de julio de 2025 la Superintendencia de Protección de Datos Personales expidió el Reglamento del Delegado de Protección de Datos Personales. Este reglamento define nuevas condiciones para los casos en que las organizaciones deban designar un Delegado de Protección de Datos, así como sus obligaciones, requisitos, impedimentos y procedimiento para su designación.
El artículo 10 establece de manera expresa las organizaciones que están obligadas a contar con un Delegado de Protección de Datos, obligación que se aplica incluso a aquellas entidades que no persiguen fin de lucro:
- Instituciones educativas de todos los niveles (inicial, básica, bachillerato y educación superior), tanto públicas como privadas, incluidas aquellas que traten datos de menores fuera del ámbito educativo.
- Entidades que traten datos personales de categorías especiales relacionados con menores de edad.
- Personas jurídicas que realicen actividades financieras, de seguros, reaseguros o intermediación aseguradora.
- Empresas dedicadas a publicidad, marketing, prospección comercial o elaboración de perfiles a partir de datos personales.
- Establecimientos del sistema de salud obligados a mantener historias clínicas, salvo los profesionales que ejercen individualmente.
- Laboratorios, farmacias, casas de representación y distribuidoras farmacéuticas.
- Empresas de seguridad privada, así como administradoras de urbanizaciones, conjuntos residenciales o propiedades horizontales.
- Federaciones, asociaciones deportivas, clubes profesionales y academias deportivas.
- Colegios o gremios de profesionales.
- Empresas de telecomunicaciones.
- Empresas que ofrezcan servicios de videovigilancia masiva, geolocalización, inteligencia artificial o tecnologías de la información.
- Concesionarias de servicios públicos y alianzas público-privadas que suministren estos servicios.
Además de este listado, la resolución también establece los IMPEDIMENTOS para quien sea designado Delegado de Protección de Datos de su organización:
- Implementar en la organización, de forma directa, la normativa relacionada con la materia, puesto que dicha obligación corresponde al responsable o al encargado del tratamiento;
- Ejecutar, de manera directa, la gestión de riesgos o las evaluaciones de impacto en materia de protección de datos, ya que aquellas son responsabilidades del responsable o del encargado del tratamiento, sin embargo de lo cual el delegado podrá emitir observaciones u orientaciones no vinculantes sobre dichas evaluaciones;
- Tomar decisiones sobre la finalidad del tratamiento de datos personales, o en relación a los medios para realizarlo;
- Representar a la organización ante el ente de control en calidad de responsable o de encargado del tratamiento,
- Ejercer, simultáneamente, funciones tales como la de oficial de seguridad de la información, oficial de cumplimiento, implementador, asesoría en otras materias u otros cargos que pudieren afectar su imparcialidad u objetividad como delegado.
Desde LÓPEZ RIBADENEIRA MORA, ofrecemos nuestro servicio de acompañamiento y soporte al Delegado de Protección de Datos de su organización, para que cuente con un equipo de profesionales especializados de nuestra firma, en todo momento, para el acompañamiento en el cumplimiento de sus funciones.
Para consultas o más información, puede escribirnos a: