Boletín de las últimas absoluciones de consulta emitidos de la Superintendencia de Protección de Datos Personales
A continuación, se resumen cuatro criterios recientes de la SPDP que pueden incidir en las obligaciones de cumplimiento de responsables y encargados del tratamiento:
La absolución de consulta N° SPDP-IRD-2026-0260-O fue directa: si los laboratorios clínicos o centros de análisis que solo emiten resultados, sin gestionar historias clínicas, realizan tratamiento de datos personales a gran escala; y, si por ello deben designar un Delegado de Protección de Datos Personales (DPO).La Superintendencia de Protección de Datos Personales (SPDP) respondió que sí. El punto de partida de su análisis fue el artículo 4, numeral 7, literal a) del Reglamento General a la LOPDP, que considera tratamiento a gran escala el tratamiento de datos de pacientes en el desarrollo normal de la actividad de hospitales o instituciones que conforman el Sistema Nacional de Salud. Bajo este criterio, los laboratorios clínicos y centros de análisis, aunque solo emitan resultados, tratan datos sensibles de salud y operan como servicios de apoyo diagnóstico dentro del sistema sanitario/asistencial. Por tanto, la ausencia de una historia clínica no cambia la naturaleza del tratamiento ni excluye a estos establecimientos del régimen de gran escala.Por ello, los laboratorios clínicos y centros de análisis deben designar formalmente un DPO. Esta obligación se configura porque tratan datos de salud a gran escala y porque dichos datos pertenecen a categorías especiales, conforme a la Ley, su Reglamento General y resoluciones complementarias emitidas por la SPDP.
La absolución de consulta N° SPDP-IRD-2026-0235-O abordó si la obligación de designar un Delegado de Protección de Datos Personales (DPO), prevista en el numeral 10.9 del artículo 10 de la Resolución N° SPDP-SPD-2025-0028-R, recae sobre quienes administran urbanizaciones, conjuntos residenciales privados o propiedades horizontales; o si también recae, de forma automática, sobre los administrados.La Superintendencia de Protección de Datos Personales (SPDP) respondió que la obligación recae sobre las personas jurídicas de seguridad privada, personas jurídicas de derecho privado o fideicomisos que tengan por objeto o se dediquen de forma habitual a la administración de urbanizaciones, conjuntos residenciales privados o propiedades horizontales, por el tratamiento de datos personales para control de accesos. Bajo este criterio, la obligación no nace por la sola condición de ser condominio, urbanización o propiedad horizontal, ni recae automáticamente sobre estos en calidad de administrados; lo determinante es quién administra de forma habitual y trata datos personales para permitir, registrar o controlar ingresos.El control de accesos comprende el registro de nombres, números de cédula, datos de contacto, información de residentes, propietarios, arrendatarios, visitantes, proveedores o terceros. También puede abarcar el uso de cámaras de videovigilancia, tarjetas de acceso, aplicaciones de ingreso, bitácoras físicas, e incluso copias de documentos de identidad u otros mecanismos de verificación.Sin perjuicio de lo anterior, la SPDP considera recomendable que las propiedades horizontales que no mantengan contratada una empresa de administración evalúen la designación voluntaria de un DPO, como medida de responsabilidad proactiva.
La absolución de consulta N° SPDP-IRD-2026-0221-O abordó cuatro preguntas prácticas sobre (i) la aplicación de la Norma General sobre el Tratamiento de Datos Personales a Gran Escala, (ii) cómo calcular el Modelo Técnico de Gran Escala (MTGE), cuándo los datos sensibles califican como gran escala, (iii) si biométricos y geolocalización operan juntos o por separado, y (iv) cuándo una transferencia de datos se considera sistemática.La SPDP determinó que el MTGE debe calcularse de forma independiente por cada tratamiento de datos personales, y no mediante una suma consolidada de todos los tratamientos realizados por un mismo responsable. El punto de partida de su análisis fue que la Norma General toma como unidad de evaluación a “un tratamiento”, por lo que no corresponde sumar, por ejemplo, tratamientos de trabajadores, clientes, proveedores y usuarios si responden a finalidades distintas. En consecuencia, si cada tratamiento no supera individualmente el umbral de seis puntos, no se configura gran escala por acumulación.Respecto de los datos sensibles o categorías especiales, la SPDP aclaró que su sola naturaleza no convierte automáticamente el tratamiento en gran escala. La Autoridad diferenció dos elementos: una cosa es el tipo de dato tratado, y otra distinta es la escala del tratamiento. Por ello, cuando el tratamiento de categorías especiales no encaje en un supuesto de calificación directa, deberá evaluarse mediante el MTGE. Sin embargo, el artículo 14.1 de la Resolución N° SPDP-SPD-2026-0005-R sí prevé calificación directa cuando el tratamiento se realiza en el marco de sistemas sanitarios, asistenciales, de seguridad social o de gestión de historiales clínicos.En cuanto al artículo 14.4, la SPDP fue clara: el tratamiento de datos biométricos y las actividades de geolocalización son supuestos alternativos e independientes. No deben concurrir al mismo tiempo para activar la calificación directa como tratamiento a gran escala. Basta con que exista tratamiento de datos biométricos, o tratamiento que implique geolocalización de titulares, para que opere la calificación directa, sin necesidad de aplicar el MTGE.Finalmente, sobre las transferencias sistemáticas del artículo 14.6, la SPDP señaló que no toda transferencia de datos personales activa automáticamente la calificación de gran escala. Para que ello ocurra, la transferencia debe ser recurrente, organizada y no ocasional; es decir, formar parte de un patrón estable dentro de las operaciones del responsable o encargado. Un flujo continuo implica transmisiones constantes o periódicas de datos, mientras que un flujo estructural supone que la transferencia está integrada en los procesos, sistemas o relaciones operativas del tratamiento.
La absolución de consulta N° SPDP-IRD-2026-0275-O abordó si una empresa privada que presta servicios de transporte, almacenamiento y distribución de mercancías a entidades del sector público, sin concesión ni alianza público-privada, debe designar obligatoriamente un Delegado de Protección de Datos Personales (DPO).La SPDP respondió que no. La obligación aplica cuando la empresa privada actúa como concesionaria de un servicio público o cuando participa en una alianza público-privada. Una alianza público-privada no es cualquier contrato con el Estado; es un esquema formal en el que el Estado permite que un privado participe en la gestión, desarrollo, prestación o suministro de un servicio público.Lo determinante es si existe una concesión o una alianza público-privada. Si la empresa privada solo mantiene una relación contractual con una entidad pública, sin esas figuras, no está obligada automáticamente a designar un DPO por esta causal.Sin perjuicio de lo anterior, la empresa deberá revisar si la obligación de designar DPO se configura por otros supuestos de la normativa de protección de datos personales, según el tipo de datos que trate, el volumen, la naturaleza, el alcance o las finalidades del tratamiento.
Si usted desea conocer mayor información sobre el contenido, no dude en contactarnos:
Miguel Costta – Asociado
mcostta@baclaw.ec
Patrick Barrera – Socio
pbarrera@baclaw.ec
Connie Frías – Socia
cfrias@baclaw.ec