La Superintendencia de Protección de Datos Personales (SPDP), en ejercicio de las atribuciones, emitió el siguiente pronunciamiento mediante oficio Nro. SPDP-IRD-2025-0262-O, respecto de la consulta formulada relacionada con los requisitos aplicables para el ejercicio de la función de los DPD, en específico la obligatoriedad del Programa Profesionalizante, la experiencia profesional exigida y su aplicación también a los DPD no residentes en el Ecuador.
1. Obligatoriedad del programa profesionalizante
Como primer punto, se consultó a la SPDP si el requisito previsto en el artículo 11 de la Resolución Nro. SPDP-SPD-2025-0028-R, relativo a la aprobación obligatoria del Programa Profesionalizante de Delegados de Protección de Datos Personales resulta exigible también a profesionales que ya cuenten con maestrías, posgrados o certificaciones nacionales o internacionales debidamente acreditados, y si tales títulos podrían considerarse equivalentes para el cumplimiento de dicho requisito.
La SPDP determinó que el requisito previsto en el artículo 11 de la Resolución relativo a la aprobación obligatoria del Programa Profesionalizante de Delegados de Protección de Datos Personales, constituye un requisito adicional y complementario a los establecidos en el artículo 55 del Reglamento a la Ley Orgánica de Protección de Datos (RLOPDP). En consecuencia, este requisito resulta aplicable a toda persona natural que aspire a ejercer o ejerza el cargo de DPD, con independencia de que cuente con maestrías, posgrados o certificaciones nacionales o internacionales en protección de datos personales, aun cuando estas se encuentren debidamente reconocidas por la autoridad competente.
En este contexto, la SPDP aclaró que las maestrías, posgrados o certificaciones nacionales o internacionales en protección de datos personales, aun cuando se encuentren debidamente reconocidas por la autoridad educativa competente[1], no constituyen equivalentes del Programa Profesionalizante, ni existe en la normativa vigente o un procedimiento de homologación o equivalencia que permita sustituir dicho requisito. Asimismo, la SPDP aclaró que la normativa vigente no contempla procedimientos de homologación o equivalencia respecto de tales acreditaciones, por lo que estas no sustituyen ni eximen el cumplimiento del Programa Profesionalizante oficializado por la SPDP.
En consecuencia, la aprobación del Programa Profesionalizante constituye un requisito obligatorio para el ejercicio de la función de Delegado de Protección de Datos Personales, sin que las maestrías, posgrados o certificaciones nacionales o internacionales, por sí solas, puedan considerarse equivalentes o sustitutivas de dicho requisito.
2. Experiencia profesional requerida
Como segundo punto, se solicitó aclarar si la exigencia de acreditar experiencia profesional mínima de cinco (5) años se refiere exclusivamente a experiencia en materia de protección de datos personales o si comprende la experiencia profesional general en las áreas habilitadas por la norma, esto es, derecho, sistemas de información, comunicación o tecnologías.
La SPDP precisó que dicho requisito no se circunscribe exclusivamente a experiencia en materia de protección de datos personales, sino que comprende la experiencia profesional general en las áreas habilitadas por la norma, contadas a partir de la obtención del título profesional de tercer nivel.
3. Aplicabilidad a Delegados de Protección de Datos Internacionales
En relación con los DPD Internacionales (no residentes en el Ecuador), se consultó si el requisito previsto en el artículo 11 de la Resolución Nro. SPDP-SPD-2025-0028-R, relativo a la aprobación del Programa Profesionalizante, resulta igualmente exigible a dichos profesionales, o si sus títulos universitarios, posgrados, maestrías o certificaciones internacionales en protección de datos personales, reconocidos por la autoridad educativa competente, podrían considerarse equivalentes para el cumplimiento de dicha obligación.
La SPDP concluyó que el régimen jurídico ecuatoriano en materia de protección de datos personales no establece excepciones, ni un tratamiento diferenciado para los Delegados de Protección de Datos que no residan en la República del Ecuador. En tal sentido, los DPD internacionales se encuentran igualmente obligados a cumplir con todos los requisitos previstos en la LOPDP, el RLOPDP y la normativa secundaria, sin que las certificaciones o títulos internacionales constituyan equivalentes sustitutivos.
4. Plazo para el registro del nombramiento
Además, se consultó si los responsables o encargados del tratamiento que han designado a un DPD Internacional se encuentran sujetos al mismo plazo de registro del nombramiento, esto es, entre el 1 de noviembre y el 31 de diciembre de 2025.
La SPDP determinó que la Disposición Transitoria Tercera de la Resolución nro. SPDP-SPD-2025-0028-R resulta aplicable de manera uniforme a todos los responsables y encargados del tratamiento de datos personales, sin distinción por razón de nacionalidad o domicilio del DPD designado. En consecuencia, el registro del nombramiento del Delegado de Protección de Datos Personales deberá efectuarse hasta el 31 de diciembre de 2025, bajo prevención de incurrir en incumplimiento de medidas de seguridad de carácter jurídico.
5. Sujeto obligado a realizar el registro del nombramiento
Finalmente, se solicitó aclarar si, en los casos en que se haya designado a un DPD Internacional, el registro del nombramiento debe ser realizado exclusivamente por dicho apoderado especial domiciliado en el país, o si también puede ser efectuado directamente por el responsable, encargado o DPD extranjero, de manera virtual, a través del portal institucional de la SPDP.
La SPDP precisó que el registro del nombramiento del DPD corresponde exclusivamente a los responsables o encargados del tratamiento, quienes podrán efectuarlo directamente o a través de un apoderado especial debidamente facultado de manera física o electrónica a través del portal habilitado por la SPDP. La normativa vigente no habilita al propio DPD para registrar su nombramiento ante la SPDP, puesto que sus funciones son de asesoría y supervisión.
6. Conclusión de profesionalización del DPD
Con este pronunciamiento, la SPDP reafirma de manera expresa la obligatoriedad de cursar y aprobar el Programa Profesionalizante de Delegados de Protección de Datos Personales como, requisito adicional y complementario para el ejercicio de dicha función, aplicable a todos los DPD, sin excepción. Sin perjuicio de ello, y conforme al régimen transitorio previsto en la Resolución N.° SPDP-SPD-2025-0028-R, el cumplimiento de este requisito entrará en vigencia a partir del 01 enero de 2029. No obstante, resulta indispensable recordar que, con independencia del estado de cumplimiento del programa profesionalizante, todos los responsables y encargados del tratamiento deberán registrar el nombramiento de su DPD hasta el 31 de diciembre de 2025, bajo prevención de incurrir en incumplimiento de medidas de seguridad de carácter jurídico.
En este contexto, AVL se encuentra a disposición para brindar acompañamiento integral en los procesos de designación, registro y adecuación del perfil del DPD, así como en la planificación del cumplimiento progresivo de las obligaciones establecidas por la normativa vigente, o en su defecto, dar el servicio del DPD por parte del socio de la firma, a cargo del Área de Protección de Datos y Privacidad.
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL.
_____________________________________________________________________
[1] Ministerio de Educación, Deporte y Cultura.