¿Sabías que las urbanizaciones en Ecuador ahora están obligadas a contar con un Delegado de Protección de Datos Personales (DPD)? Con la entrada en vigor de la Ley Orgánica de Protección de Datos Personales (LOPDP), su Reglamento y la Resolución SPDP-SPD-2025-0004-R, la Superintendencia de Protección de Datos Personales establece esta exigencia legal, que aplica también a conjuntos residenciales con administración organizada. En este artículo te explicamos qué es un DPD, por qué tu urbanización debe tener uno, qué funciones cumple, cuáles son las sanciones por incumplir y cómo adecuarse a esta normativa.

¿Qué es el Delegado de Protección de Datos Personales (DPD)?

El artículo 4 de la LOPDP define al Delegado de Protección de Datos Personales como:

“Persona natural encargada de informar al responsable o al encargado del tratamiento sobre sus obligaciones legales en materia de protección de datos, así como de velar o supervisar el cumplimiento normativo al respecto, y de cooperar con la Autoridad de Protección de Datos Personales, sirviendo como punto de contacto entre esta y la entidad responsable del tratamiento de datos.”

En otras palabras, el DPD es el responsable interno del cumplimiento normativo en materia de protección de datos dentro de una entidad pública o privada. Es quien vela porque el tratamiento de datos personales se realice con transparencia, seguridad, legalidad y proporcionalidad.

¿Por qué aplica a las urbanizaciones?

Aunque muchas urbanizaciones y barrios cerrados se consideran “privados”, la realidad jurídica es distinta cuando existe una administración organizada, ya sea en forma de persona jurídica (compañía, fideicomiso, asociación) o como comité.

Estas administraciones manejan información personal sensible y permanente, como:

• Datos de residentes y propietarios
• Información de visitantes (nombres, cédula, placas de vehículos)
• Videovigilancia (cámaras de seguridad)
• Registros digitales o físicos de accesos y correspondencia
• Datos de trabajadores, conserjes, guardias, etc.

Este manejo constituye tratamiento de datos personales según lo dispuesto en la Ley. Por tanto, estas organizaciones se convierten en responsables o encargadas del tratamiento, y como tales, deben cumplir con todas las obligaciones que la ley impone, incluida la designación de un Delegado.

Nueva resolución de la SPDP y requisitos del DPD

El 3 de abril de 2025, la Superintendencia de Protección de Datos Personales (SPDP) expidió la Resolución SPDP-SPD-2025-0004-R, mediante la cual aprueba el Reglamento del Programa Profesionalizante de Delegados de Protección de Datos Personales.

Esta resolución establece que:

• El DPD debe tener formación en derecho, sistemas y tecnologías de la información y comunicación.
• La formación será impartida por instituciones de educación superior autorizadas.
• Los títulos, certificados o diplomas obtenidos deben ser reportados a la SPDP.
• La designación del DPD será obligatoria para los responsables o encargados del tratamiento, cuando así lo disponga la autoridad o la ley.

Y esto último es clave: la SPDP está facultada para establecer nuevas condiciones en las que debe designarse un DPD, lo que le da el poder de exigir esta designación a las urbanizaciones y conjuntos residenciales organizados, como ya lo está haciendo.

Funciones del Delegado de Protección de Datos Personales

• Informar a la administración sobre sus obligaciones legales.
• Supervisar que se cumplan los principios de protección de datos.
• Monitorear el tratamiento de datos: qué datos se recogen, cómo se almacenan, por cuánto tiempo, y con qué finalidad.
• Revisar y aprobar las políticas de privacidad, avisos legales, contratos con proveedores, entre otros.
• Actuar como punto de contacto entre la urbanización y la SPDP.
• Llevar registro de incidentes o vulneraciones de seguridad y gestionar su reporte ante la autoridad.

En resumen: es la figura que garantiza que la urbanización actúe dentro del marco legal en el tratamiento de datos personales.

Sanciones por incumplimiento

• Infracciones leves: Multas de hasta 0,7 salarios básicos unificados (aprox. USD 280). Ejemplo: no actualizar una base de datos o no facilitar el ejercicio de derechos a los titulares.
• Infracciones graves: Multas de hasta 2,5 salarios básicos unificados (aprox. USD 1.000). Ejemplo: no contar con medidas de seguridad adecuadas, tratamiento de datos sin base legal.
• Infracciones muy graves: Multas de hasta 100 salarios básicos unificados (aprox. USD 46.000 – 86.400). Ejemplo: tratamiento masivo de datos sensibles sin consentimiento, incumplimiento sistemático de la normativa o reincidencia.

No contar con un DPD cuando es obligatorio, podría encuadrarse como infracción grave o muy grave, especialmente si hay filtraciones de datos, mal uso o denuncias de titulares.

Pasos que deben tomar las urbanizaciones

• Realizar un diagnóstico legal: Revisar cómo se recogen, tratan y almacenan los datos personales en la urbanización.
• Designar un DPD con formación adecuada: Identificar y contratar (o formar internamente) a una persona con las cualidades exigidas por la normativa.
• Implementar políticas internas de tratamiento de datos: Establecer protocolos claros sobre videovigilancia, registro de visitas, tratamiento de datos de trabajadores, proveedores, etc.
• Incluir cláusulas de protección de datos en contratos.
• Registrar al DPD ante la SPDP.

Beneficios de cumplir con la normativa

• Mejora de imagen institucional
• Mayor confianza de residentes
• Reducción de riesgos legales y operativos
• Cumplimiento con estándares internacionales

¿Quién puede ser DPD?

Puede ser un profesional externo, un miembro del comité con la formación adecuada o una empresa especializada contratada para esa función. Se requiere poseer un título de tercer nivel en áreas como derecho, tecnologías de la información, sistemas de información o comunicación, acreditar experiencia profesional de al menos cinco años en actividades relacionadas con la protección de datos personales o áreas afines, y tener plenos derechos políticos.

Conclusión

Contar con un DPD no es una formalidad: es una herramienta clave para garantizar el cumplimiento legal y proteger la privacidad de los datos en urbanizaciones. Esta obligación aplica ya en Ecuador y debe ser atendida con responsabilidad y previsión.