Cumplimiento LOPDP

Delegado de Protección de Datos: cuándo es obligatorio y cómo designarlo (incluye qué hacer si perdió el plazo del 31-dic-2025)

El plazo para registrar al DPD ante la SPDP venció el 31 de diciembre de 2025. Si su empresa está obligada y no cumplió, la acción no es esconder el incumplimiento — es regularizar. Este artículo explica qué sectores están obligados, qué perfil necesita el DPD, cómo formalizar la designación y qué hacer si perdió el plazo.

📅 30 de abril de 2026 · ✍️ Equipo StatusEC · ⏱ 11 min de lectura
Este artículo desarrolla una de las secciones de la Guía completa LOPDP 2026. Si busca una visión general antes de entrar en el detalle, empiece por la guía.

El Reglamento del Delegado de Protección de Datos Personales fue expedido por la SPDP el 30 de julio de 2025 mediante la Resolución SPDP-SPD-2025-0028-R. Establece las condiciones de designación, funciones, requisitos, impedimentos e independencia de quienes asuman esta figura. El plazo para registrar al DPD ante la SPDP para el sector privado corrió del 1 de noviembre al 31 de diciembre de 2025.

Ese plazo ya venció. Si su empresa estaba obligada y no cumplió, este artículo le dice qué hacer ahora. Si no está segura de si estaba obligada, también le sirve para identificarlo.

Qué es el DPD y por qué no es un cargo decorativo

El DPD (Data Protection Officer o DPO en inglés) es la persona natural encargada de asesorar y supervisar, con independencia, el cumplimiento de la normativa de protección de datos dentro de la organización, y de cooperar con la SPDP como punto de contacto. Tres características lo definen:

  • Es persona natural — no puede ser una firma ni un departamento.
  • Tiene autonomía funcional — no recibe instrucciones sobre el ejercicio de sus funciones.
  • Reporta al más alto nivel jerárquico — directamente al representante legal o al directorio.

Esta autonomía no es teórica. La LOPDP y el Reglamento del DPD prohíben remover o sancionar al DPD por el desempeño de sus funciones, y cualquier acción injustificada en su contra puede ser denunciada ante la SPDP.

Quién está obligado a designar DPD

La obligación es automática para el sector público. Para el sector privado, el Reglamento del DPD (Resolución SPDP-SPD-2025-0028-R) establece los supuestos específicos. Los principales son:

Sector / actividadTipo de dato o tratamiento
Entidades financierasDatos financieros de clientes, a gran escala
Compañías aseguradoras, reaseguradoras, intermediariosDatos de asegurados, salud de riesgos
Sector farmacéutico (laboratorios, distribuidoras, farmacias)Datos de pacientes y prescripciones
Instituciones de salud obligadas a llevar historia clínicaDatos sensibles de salud
Instituciones educativas (inicial, básica, bachillerato, superior)Datos de menores de edad + datos académicos
TelecomunicacionesDatos de tráfico + contenido
Empresas con videovigilancia sistemáticaImagen (dato personal, a veces biométrico)
Actividades de geolocalizaciónUbicación de titulares
Seguridad privadaDatos de personal + vigilancia
Actividades que impliquen tratamiento a gran escala, perfilamiento o monitoreo sistemáticoCualquier categoría
Tratamiento de categorías especiales de datos de menoresDatos sensibles de menores

Esta lista no es taxativa. El criterio de fondo es si la actividad implica tratamiento a gran escala, datos sensibles, monitoreo sistemático o perfilamiento. Si su empresa no está en un sector listado pero hace perfilamiento de clientes o tratamiento masivo de datos sensibles, probablemente también aplica.

Plazo vencido. El registro del DPD ante la SPDP para el sector privado se habilitó entre el 1 de noviembre y el 31 de diciembre de 2025. Ese plazo ya venció. El incumplimiento del registro constituye infracción grave por falta de medidas de seguridad jurídicas, sancionable con multa de 0.7% a 1% del volumen de negocio anual según el artículo 68 de la LOPDP.

Requisitos para ser DPD

El artículo 55 del Reglamento General y el artículo 11 del Reglamento del DPD establecen los requisitos de perfil:

  1. Título de tercer nivel en Derecho, Sistemas de Información, de Comunicación o de Tecnologías.
  2. Cinco años de experiencia profesional verificable.
  3. Aprobación de un programa de profesionalización oficializado por la SPDP. Este último requisito será exigible a partir del 1 de enero de 2029; hasta entonces basta con el perfil académico y la experiencia.

Impedimentos

El DPD no puede ejercer funciones que comprometan su imparcialidad. En particular, no puede ser simultáneamente:

  • Oficial de cumplimiento (UAFE, etc.)
  • Oficial de seguridad de la información (CISO)
  • Apoderado especial de entidades extranjeras
  • Responsable directo de decisiones sobre tratamiento de datos

La lógica es que el DPD supervisa — no puede supervisarse a sí mismo. Un CISO puede ser el mejor conocedor técnico de la seguridad de datos en la empresa, pero por eso mismo no puede ser el DPD.

DPD interno o externo

El Reglamento permite ambas modalidades. Cada una tiene trade-offs:

  • DPD interno: empleado de la organización con conocimiento profundo del contexto. Ventaja: velocidad. Riesgo: presión jerárquica, potencial compromiso de independencia si el reporte no llega al nivel adecuado.
  • DPD externo: persona contratada como prestador de servicios (frecuentemente una firma legal o consultora). Ventaja: independencia estructural. Riesgo: menor conocimiento del contexto operativo del día a día.

En empresas medianas y grandes, un modelo híbrido funciona bien: un DPD interno acompañado por asesoría externa especializada para casos complejos.

Cómo formalizar la designación

La designación formal requiere un documento que incluya:

  1. Fecha del nombramiento.
  2. Identificación del responsable del tratamiento (razón social, RUC, representante legal).
  3. Datos del DPD: nombres completos, cédula, correo electrónico, teléfono, dirección.
  4. Funciones específicas asignadas (las del Art. 49 de la LOPDP y concordantes).
  5. Firma de aceptación del cargo por el DPD.
  6. Firma del representante legal de la organización.

El nombramiento debe registrarse ante la SPDP dentro de los 15 días posteriores a su otorgamiento si se hace con firma electrónica, a través del portal institucional. Si es en formato físico con firma manuscrita, el registro es presencial.

¿Quiere evaluar su exposición antes de actuar?

El checklist LOPDP tiene una categoría específica sobre DPD: le ayuda a confirmar si su empresa estaba obligada y qué áreas de riesgo adicionales tienen que atenderse con prioridad.

Ir al checklist LOPDP

Qué hacer si perdió el plazo del 31 de diciembre de 2025

Si su empresa estaba obligada y no registró al DPD, la respuesta no es esconder el incumplimiento. La SPDP permite registros extemporáneos y evalúa la diligencia posterior al graduar sanciones. El plan de acción concreto:

  1. Esta semana: designe formalmente al DPD con el documento descrito arriba.
  2. En los próximos 15 días: registre el nombramiento ante la SPDP, aunque sea extemporáneo.
  3. Documente las razones del retraso. Un acta interna con firma del representante legal que explique por qué no se cumplió y qué se está haciendo para regularizar. Esto es evidencia de diligencia si hay requerimiento.
  4. Fortalezca los demás pilares. Un DPD tardío acompañado de un RAT robusto, avisos de privacidad claros, acuerdos de encargado firmados y registros de atención ARCO pesa menos negativamente que un DPD tardío en medio de un expediente vacío.
  5. Si recibe requerimiento de la SPDP: responda dentro del plazo con la evidencia de la regularización y las acciones correctivas adoptadas. No ignore el requerimiento — el incumplimiento de medidas correctivas es agravante.

Qué hace el DPD día a día

Las funciones están definidas en la LOPDP y el Reglamento del DPD. Las operativas:

  • Asesorar en análisis de riesgos y evaluaciones de impacto de privacidad.
  • Supervisar el cumplimiento del RAT.
  • Coordinar la atención de derechos ARCO y mantener el registro.
  • Capacitar al personal en LOPDP aplicada a sus funciones.
  • Revisar contratos con encargados y transferencias internacionales.
  • Gestionar incidentes de seguridad que involucren datos personales.
  • Actuar como punto de contacto ante la SPDP y ante los titulares que quieran ejercer derechos.
  • Reportar al más alto nivel jerárquico el estado del programa de cumplimiento.

Preguntas frecuentes

¿Mi empresa de 50 empleados en el sector retail está obligada?

Depende del tratamiento. El retail tradicional sin programa de fidelización sistemático, sin videovigilancia a gran escala y sin datos sensibles probablemente no. El retail con programa de fidelización que perfile clientes, e-commerce con tracking avanzado, o retail de productos sensibles (farmacia, óptica) sí puede caer en la obligación.

¿Puedo contratar a un abogado externo como DPD?

Sí. Es una práctica común. El abogado externo firma como DPD, la empresa lo registra ante la SPDP, y el contrato de servicios define alcance, responsabilidades e independencia. Asegúrese de que el contrato incluya la cláusula de independencia y el reporte directo al más alto nivel.

¿El DPD tiene responsabilidad personal si mi empresa incumple?

El DPD asesora y supervisa, pero la responsabilidad del tratamiento recae en el responsable (la empresa). La responsabilidad del DPD es profesional: puede haber consecuencias civiles o laborales por negligencia grave en su rol, pero no se traslada la responsabilidad administrativa ante la SPDP.

¿Cuánto cuesta tener un DPD?

Varía. Un DPD externo en Ecuador va típicamente de USD 800 a USD 3,000 mensuales según el tamaño de la empresa y la complejidad del tratamiento. Un DPD interno depende del salario base del profesional. Para una empresa mediana de 100-300 empleados, un DPD externo dedicado parcial suele ser la ruta costo-efectiva.

¿Si tengo oficial de cumplimiento UAFE, ese mismo puede ser DPD?

No. El Reglamento del DPD prohíbe que el DPD asuma roles que comprometan su imparcialidad, y oficial de cumplimiento es explícitamente uno de ellos. Son dos personas o dos roles distintos.

Conclusión

El DPD no es un trámite, es una figura de gobierno. Si su empresa está obligada y no lo designó a tiempo, el camino es regularizar con diligencia documentada, no esperar a que la SPDP toque la puerta. Y si no está seguro de si está obligada, el checklist LOPDP tiene una categoría específica para responder exactamente esa pregunta en tres preguntas concretas.

Nota legal: este artículo es informativo y no constituye asesoría legal. Las decisiones sobre cumplimiento LOPDP deben tomarse con el acompañamiento de un profesional del derecho que revise la situación específica de su organización. La normativa en Ecuador está sujeta a actualizaciones por parte de la SPDP y de la Asamblea Nacional; confirme siempre la versión vigente de las resoluciones citadas antes de tomar acciones.
SE
Equipo StatusEC

Ingeniería, legal y operaciones de StatusEC. Cada artículo sobre LOPDP es revisado por abogado especializado en protección de datos antes de publicar. ¿Dudas o correcciones? Escríbanos a info@statusec.com.

Lectura relacionada

Continúe explorando

Cumplimiento LOPDP

Guía completa LOPDP 2026

El artículo pilar con el marco general y los plazos críticos.

 Cumplimiento LOPDP

Cómo armar su RAT sin consultora

El DPD es quien típicamente mantiene el RAT actualizado.

 Cumplimiento LOPDP

Primeras multas SPDP: LIGAPRO y FEF

La ausencia de DPD figuró entre los hallazgos.

¿Su empresa ya designó DPD y necesita herramientas operativas?

StatusEC entrega al DPD lo que necesita para supervisar la actividad de verificación de antecedentes: consentimientos firmados, logs de consulta, registros por titular y trazabilidad auditable para la SPDP.

Solicitar demo de 15 min
¿Duda LOPDP?