La Superintendencia de Protección de Datos Personales (SPDP) ha expedido el Reglamento del Delegado de Protección de Datos Personales, mediante resolución suscrita el 30 de julio de 2025.
Esta normativa desarrolla, complementa y precisa las disposiciones de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su Reglamento General (RGLOPDP) en lo relativo al delegado de protección de datos personales (el “DPD”), figura clave para la supervisión y cumplimiento de la normativa de protección de datos.
Fundamentalmente, establece la obligación de designar y registrar un DPD para todas las entidades públicas y, en el caso del sector privado, cuando el tratamiento de datos así lo amerite, según su actividad o la naturaleza de los datos tratados.
(i) Objeto, ámbito y exigencia de designación
El Reglamento tiene por objeto regular las actividades del DPD, aplicable a los integrantes del sistema de protección de datos. (arts. 1 y 2).
El artículo 9 establece la designación obligatoria para todas las entidades del sector público, mientras que el artículo 10 dispone un listado detallado de entidades privadas que, por su actividad o por el tipo de datos tratados, tales como datos sensibles o de menores de edad, también están obligadas a designar un DPD, aun cuando no persigan fines de lucro.
Se detalla, a continuación, algunos de los sectores que requieren un DPD obligatoriamente, existiendo otros:
a. Compañías que realicen actividades de publicidad, mercadeo, prospección comercial o elaboración de perfiles.
b. Prestadoras de servicios de telecomunicaciones, videovigilancia, geolocalización o tecnologías como Inteligencia Artificial.
c. Empresas de seguridad privada y administradoras de urbanizaciones, conjuntos residenciales o propiedades horizontales.
d. Gremios profesionales, clubes deportivos, academias, federaciones o asociaciones deportivas.
(ii) Designación, nombramiento y registro
Se regula la forma en que debe efectuarse la designación del DPD, ya sea por personas naturales o jurídicas, públicas o privadas (art. 3), y establece los elementos obligatorios del nombramiento (art. 4).
El registro ante la SPDP debe realizarse dentro de los 15 días posteriores a la designación (art. 5), preferentemente de manera electrónica, y será gestionado por la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales (arts. 5 y 6).
Se aclara que la inscripción no equivale a validación automática de idoneidad, ya que la verificación puede efectuarse por parte de la SPDP en cualquier momento (art. 6, segundo inciso). El artículo 7 limita la información visible al público, como nombre del responsable, dirección, y correo electrónico del DPD.
(iii) Requisitos, funciones adicionales e impedimentos
Además de los requisitos previstos en el RGLOPDP (art. 55), el artículo 11 del Reglamento establece que todo DPD, a partir del 1 de enero de 2029, deberá haber aprobado el contenido mínimo del Programa Profesionalizante, oficializado por la SPDP (Disposición Transitoria Séptima).
Los artículos 13 y 14 introducen funciones adicionales del DPD y la limitación de supervisión, entre ellas:
- Análisis de riesgos, evaluaciones de impacto y adopción de medidas de seguridad aplicables a las transferencias de datos personales (art. 13.1).
- Atención de solicitudes presentadas por los titulares para el ejercicio de sus derechos (art. 13.2).
- Gestión de vulneraciones a la seguridad y su notificación a los titulares, a la SPDP y, cuando corresponda, a la Agencia de Regulación y Control de las Telecomunicaciones (ARCOTEL) (art. 13.3).
- Evaluación de la eficacia de las medidas de seguridad técnicas, físicas, administrativas, organizativas y jurídicas implementadas (art. 13.4).
- Supervisión del cumplimiento del registro de actividades de tratamiento conforme al RGLOPDP y a los lineamientos de la SPDP (art. 13.5).
- Verificación del cumplimiento normativo en materia de protección de datos personales (art. 13.6).
Por otro lado, el artículo 15 establece expresamente los impedimentos funcionales del DPD, como ejecutar directamente tareas que competen al responsable (ej. implementar la LOPDP o decidir sobre finalidades del tratamiento), representar a la organización ante la SPDP, o ejercer o asumir funciones incompatibles con su rol. Entre estas se incluye ejercer, simultáneamente, cargos como oficial de cumplimiento, oficial de seguridad de la información, implementador u otros que puedan generar conflictos de interés con su función supervisora e independiente.
El artículo 16 amplía esta lista con impedimentos personales, incluyendo a apoderados especiales de responsables extranjeros y a autoridades de nivel jerárquico superior en el sector público.
Asimismo, los artículos 17 y 18 regulan los conflictos de interés reales o potenciales, estableciendo la obligación de declarar su existencia y abstenerse de asumir o continuar en el cargo si estos se configuran.
(iv) Garantías de independencia y procedimiento de denuncia
Los artículos 19 a 23 desarrollan las garantías institucionales y procedimientos para preservar la independencia del DPD, incluyendo:
- Posibilidad de denunciar actos de represalia ante la SPDP (art. 19), con el contenido mínimo establecido (art. 20);
- Evaluaciones institucionales anuales sobre recursos, acceso a la alta dirección y cumplimiento normativo (art. 22);
- Prohibición de represalias o remociones injustificadas, las cuales serán sancionadas conforme al régimen sancionatorio de la LOPDP (art. 23).
(v) Disposiciones Transitorias
Finalmente, en las Disposiciones Transitorias se establece que:
- Los nombramientos realizados antes de la vigencia de la resolución serán válidos si se ajustan al art. 3
- La SPDP desarrollará e implementará un sistema digital para el registro de DPD del sector privado dentro de los tres meses posteriores a la publicación del reglamento.
- Las entidades privadas deberán registrar a sus DPD entre el 1 de noviembre y el 31 de diciembre de 2025, conforme al art. 5.
- Las entidades del sector público que designaron a delegados jerárquicos superiores deberán sustituirlos en el plazo de dos meses (Quinta Disposición Transitoria).
Se desarrollará un aplicativo institucional para defensa de la independencia del DPD y para el procedimiento de quejas por remoción injustificada (Cuarta y Sexta Disposiciones Transitorias).
Por ende, si ya has designado a un DPD, no olvides que el registro deberá realizarse entre el 1 de noviembre y el 31 de diciembre de 2025, según las disposiciones antes mencionadas.
Cumplir este plazo es indispensable para evitar sanciones.
En caso de requerir una mayor profundización sobre las obligaciones del DPD y las responsabilidades del responsable del tratamiento, no dudes en contactar al equipo de AVL Abogados.
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL Abogados.
