La Superintendencia de Protección de Datos Personales (SPDP) ha emitido la Resolución No. SPDP-SPD-2025-0030-R, con la que regula la seudonimización, anonimización, bloqueo y eliminación de datos personales.
A continuación los aspectos más importantes de la mencionada resolución:
1. SEUDONIMIZACIÓN
Se trata de una medida que permite ocultar la identidad de una persona en un conjunto de datos, pero sin eliminar la posibilidad de volver a identificarla más adelante si es necesario y bajo condiciones seguras. Para aplicarla, se exige que quien maneja los datos realice previamente un análisis de riesgos.
Se debe usar la seudonimización en tres casos:
A. Cuando se prestan servicios o productos sin necesidad de saber quién es la persona;
B. En investigaciones científicas, históricas o estadísticas, incluyendo las del sector salud;
C. Para auditorías, pruebas o análisis de seguridad.
Si en algún momento se vuelve a identificar a la persona, esa acción debe quedar registrada para garantizar seguridad jurídica y respeto a los derechos del titular de los datos.
2. ANONIMIZACIÓN
La anonimización es una medida técnica que elimina la posibilidad de identificar a una persona dentro de un conjunto de datos, incluso cuando estos se combinen con otras fuentes de información. Una vez aplicada correctamente, los datos dejan de considerarse personales bajo la LOPDP.
Antes de aplicarla, el responsable o encargado del tratamiento debe realizar un análisis exhaustivo de riesgos, considerando:
A. La naturaleza de los datos personales;
B. El estado de la técnica;
C. Las particularidades del tratamiento y de las partes involucradas.
En el caso de datos sensibles, especialmente de salud, se debe:
A. Priorizar su anonimización siempre que sea técnicamente posible;
B. Obtener autorización previa de la SPDP para cualquier tratamiento de datos de salud anonimizados;
C. Asegurar que esta medida no afecte la continuidad, ni la calidad del servicio prestado.
Finalmente, cuando los datos están debidamente anonimizados, ya no se requiere el consentimiento del titular para su transferencia o comunicación a terceros.
3. BLOQUEO
El bloqueo de datos personales es una medida que permite conservarlos de forma segura y con acceso restringido, una vez que se ha cumplido la finalidad para la cual fueron tratados.
Esta medida solo es válida si:
- Existe una base de legitimación que habilite su conservación.
- Se mantiene el acceso limitado y restringido, como respaldo, durante un periodo pertinente según el sector en que se aplique.
La decisión de aplicar el bloqueo dependerá de:
- Una evaluación de riesgos;
- La necesidad de conservar los datos para otras finalidades legítimas del responsable del tratamiento.4. SUSPENSIÓN
El derecho a la suspensión aplica a cualquier tratamiento de datos personales, siempre que se cumplan los requisitos establecidos en la normativa vigente.
El titular puede solicitar al responsable que detenga temporalmente una actividad de tratamiento específica. En tal caso:
- El responsable deberá suspender el tratamiento en un plazo máximo de tres días.
- Si el tratamiento ha sido delegado, el responsable debe notificar al encargado, quien también deberá suspenderlo en un máximo de tres días desde la notificación.
Excepcionalmente, el tratamiento podrá continuar en los siguientes casos:
A. Para formular, ejercer o defender reclamaciones y solicitudes del titular;
B. Para proteger los derechos de otra persona, previa evaluación que garantice la opción menos gravosa;
C. Por razones de interés público previstas en la ley, respetando los principios de proporcionalidad, minimización y seguridad;
D. Por cumplimiento de obligaciones legales, siempre bajo los principios de limitación, minimización y seguridad.
Si el titular ejerce el derecho de suspensión o revoca su consentimiento, el responsable deberá suspender o cesar el tratamiento dentro del plazo máximo de tres días contados desde la notificación.
5. ELIMINACIÓN
El derecho de eliminación aplica a todas las categorías de datos personales, siempre que se cumplan los requisitos establecidos en la normativa vigente.
Este derecho permite al titular:
- Solicitar la eliminación total o parcial de sus datos personales;
- Exigir la eliminación de datos crediticios ante las fuentes correspondientes;
- Solicitar la eliminación de los datos de personas fallecidas, cuando se acredite la titularidad de derechos sucesorios.
El responsable solo podrá conservar los datos si cuenta con una base de legitimación válida conforme a la normativa de protección de datos.
Al recibir una solicitud de eliminación:
A. El responsable deberá eliminar los datos de sus sistemas y emitir un documento que acredite su eliminación, incluyendo la desactivación de medidas de seguridad asociadas;
B. Si la solicitud es presentada ante un encargado, este deberá emitir el mismo documento y remitirlo al responsable una vez finalizada la relación jurídica;
C. La eliminación deberá ejecutarse en un plazo máximo de tres días.
Si los datos fueron previamente transferidos o comunicados a terceros o encargados, el responsable deberá notificárselo, para que también procedan con la eliminación.
La eliminación no será obligatoria cuando:
- Exista una base legitimadora para conservar los datos; o
- Se pretenda realizar un nuevo tratamiento. En ese caso, el tercero pasará a ser responsable del tratamiento.
Adicionalmente, en los casos de portabilidad, una vez que los datos hayan sido transferidos exitosamente a un nuevo responsable, el responsable original deberá eliminarlos de sus sistemas, salvo que exista una base de legitimación que justifique su conservación, con excepción del interés legítimo.
Al finalizar la relación jurídica entre el responsable y el encargado del tratamiento:
- El encargado deberá devolver o, en su defecto, eliminar los datos personales tratados durante dicha relación;
- Esta acción deberá ejecutarse dentro del plazo máximo de cinco días y conforme a las instrucciones emitidas por el responsable;
- El encargado deberá entregar un documento que acredite la devolución o eliminación.
Todo contrato de encargo deberá contener cláusulas específicas que regulen las condiciones, mecanismos y garantías para asegurar la devolución o eliminación de los datos personales al término de la relación.
En caso de incumplimiento de la normativa, de las directrices emitidas por la autoridad o de los principios que rigen la protección de datos, la SPDP podrá ordenar la eliminación de los datos como medida correctiva para prevenir la continuidad o repetición de la infracción, sin perjuicio de las sanciones administrativas que correspondan.
En caso de requerir una mayor profundización sobre las obligaciones y procedimientos establecidos en el Reglamento sobre Seudonimización, Anonimización, Bloqueo, Suspensión y Eliminación de Datos Personales, así como su correcta aplicación conforme a la Resolución No. SPDP-SPD-2025-0030-R, no dudes en contactar con el equipo de AVL Abogados
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL Abogados.
