La Superintendencia de Protección de Datos Personales (SPDP) ha emitido un pronunciamiento relevante que aclara en qué casos es obligatoria la designación de un Delegado de Protección de Datos (DPD), particularmente cuando se tratan datos de niños, niñas y adolescentes (NNA), en cumplimiento de disposiciones legales.
Cumplimiento legal no es igual a actividad principal
El hecho de que una organización trate datos de NNA, únicamente por obligación legal (por ejemplo, conforme al Código del Trabajo o normativa tributaria) no implica automáticamente la obligación de designar un DPD, siempre que dicho tratamiento no forme parte de la actividad habitual ni del objeto principal de la entidad.
No obstante, si la organización realiza además otros tratamientos que encajan en las causales previstas en el artículo 10 de la Resolución SPDP-SPD-2025-0028-R, estará obligada a designar un DPD. Dicho artículo establece supuestos específicos de designación obligatoria, que incluyen, entre otros: instituciones educativas de todos los niveles; entidades financieras; compañías e intermediarios de seguros; empresas dedicadas a la publicidad, prospección comercial o investigación de mercados con elaboración de perfiles; prestadores de servicios de salud y establecimientos farmacéuticos; así como empresas de seguridad privada, administradores de conjuntos residenciales y prestadores de telecomunicaciones, videovigilancia, geolocalización o Inteligencia Artificial.
Asimismo, conforme al artículo 48 de la LOPDP, se deberá designar un DPD cuando el tratamiento lo realicen entidades del sector público; cuando las actividades del responsable o encargado requieran un control permanente y sistematizado por su volumen, naturaleza, alcance o finalidades; cuando se trate de tratamiento a gran escala de categorías especiales de datos; entre otras.
En definitiva, la evaluación debe ser integral, considerando la naturaleza, el alcance y el volumen de todas las actividades de tratamiento, para determinar si corresponde la designación de un DPD.
Ejemplo práctico
Un colegio que recopila información sobre las cargas familiares de sus trabajadores por obligación legal no estaría obligado a designar un DPD únicamente por esa razón. Sin embargo, al tratar habitualmente datos de NNA en el marco de su actividad educativa, incurre en la causal del numeral 1 del artículo 10 del Reglamento y, por tanto, sí tiene la obligación de nombrar un DPD.
Por lo que, la obligación de designar un Delegado de Protección de Datos no se activa automáticamente por el simple hecho de tratar categorías especiales de datos derivadas de obligaciones legales. Sin embargo, si la organización cumple con cualquiera de las causales previstas en la normativa (Reglamento de los DPD y artículo 48 de la LOPDP), la designación resulta obligatoria.
En caso de requerir mayor información para determinar si su empresa necesita un Delegado de Protección de Datos, no dude en contactar con AVL Abogados.
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL Abogados.
