El DPD que no puede contradecir a nadie no es un DPD: independencia real versus independencia nominal bajo la LOPDP
En el mercado ecuatoriano circulan ofertas laborales que buscan a una sola persona para ejercer simultáneamente como Delegado de Protección de Datos, Oficial de Seguridad de la Información y gestor de riesgos. El problema no es el sueldo. Es que la LOPDP no exige un perfil: exige una función. Y esa función —ejercida con independencia real, acceso a la máxima autoridad y cobertura técnica y legal completa— no la puede cumplir una persona sola que depende laboralmente de la misma organización a la que debe supervisar.
Lo que la ley entiende por Delegado de Protección de Datos
La Ley Orgánica de Protección de Datos Personales dedica sus Arts. 48 al 50 a la figura del Delegado de Protección de Datos (DPD). El Reglamento General SPDP la desarrolla en los Arts. 48 al 57. La Resolución SPDP-SPD-2025-0028-R establece el reglamento específico del delegado, incluyendo su designación, requisitos y garantías de independencia.
La definición del Art. 48 Reglamento es precisa: el DPD es la persona natural que se encarga principalmente de asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado. El mismo artículo agrega que desempeñará sus funciones con total independencia, y que el responsable está obligado a facilitarle asistencia, recursos y elementos para garantizar el cumplimiento de sus funciones.
Las funciones específicas del Art. 49 LOPDP incluyen cuatro dimensiones que ningún perfil académico singular domina con la misma profundidad: asesoría normativa; supervisión del cumplimiento; asesoría en análisis de riesgo, evaluación de impacto y medidas de seguridad; y cooperación con la SPDP como punto de contacto oficial.
El Art. 50 num. 5 LOPDP establece expresamente que el DPD mantendrá relación directa con el más alto nivel ejecutivo y de decisión del responsable. No con su jefe directo. No con el área jurídica. Con la máxima autoridad. Este requisito no es una recomendación de buenas prácticas: es una obligación legal.
La dicotomía real: DPD nominal versus DPD funcional
El debate que circula en el mercado ecuatoriano —¿el DPD debe ser abogado o ingeniero de sistemas?— parte de una premisa incorrecta. La LOPDP no establece un perfil académico único. El Art. 55 Reglamento exige título de tercer nivel en Derecho, Sistemas de Información, de Comunicación o de Tecnologías, y experiencia de al menos cinco años. La ley acepta ambas formaciones porque reconoce que el rol requiere ambas competencias.
La dicotomía relevante no es de perfil. Es de función:
- DPD nominal: ocupa la casilla en el organigrama, firma los documentos de cumplimiento, aparece en el registro de la SPDP. Pero opera dentro de la cadena jerárquica, recibe instrucciones de sus superiores, y tiene incentivos estructurales —laborales, económicos, de carrera— para no contradecir a la organización que lo emplea.
- DPD funcional: ejerce independencia real. Puede identificar un incumplimiento, reportarlo a la máxima autoridad sin intermediación, y sostener esa posición sin riesgo de sanción laboral. Accede a todos los tratamientos, operaciones y documentación que estime necesaria para su función.
La Res. SPDP-SPD-2025-0028-R refuerza esta distinción al establecer que la SPDP puede imponer sanciones al responsable si determina que se ha vulnerado la independencia del delegado o que ha existido alguna represalia por el ejercicio de sus funciones.
El problema estructural: por qué una persona sola no puede cubrir el Art. 49 LOPDP
En el mercado ecuatoriano circulan ofertas laborales que buscan a una sola persona para ejercer simultáneamente como Delegado de Protección de Datos, Oficial de Seguridad de la Información y gestor de riesgos, con cinco años de experiencia en ISO 27001 y LOPDP. El problema no es el sueldo: es que las cuatro funciones del Art. 49 LOPDP requieren competencias que en la práctica pertenecen a disciplinas distintas.
- Asesoría normativa y supervisión de cumplimiento — exige conocimiento actualizado de la LOPDP, el Reglamento, todas las resoluciones de la SPDP y los marcos iberoamericanos de privacidad. Requiere criterio jurídico para redactar contratos de encargo y representar a la organización ante la SPDP.
- Asesoría en EIPD y medidas de seguridad — exige comprensión técnica de los sistemas de información, capacidad para realizar o supervisar una EIPD conforme a los Arts. 29-35 del Reglamento, y criterio para evaluar cifrado, autenticación, control de accesos y monitoreo. Esta competencia no es jurídica: es técnica.
- Cooperación con la SPDP y punto de contacto — exige disponibilidad para responder requerimientos de la autoridad con criterio autónomo frente a posiciones que la organización podría no compartir. Un empleado en dependencia laboral no tiene garantizada esa autonomía.
DPD individual en nómina vs. modelo multidisciplinario: comparativa
| Dimensión | DPD individual en nómina | DPD externo multidisciplinario |
|---|---|---|
| Relación laboral | Empleado en nómina, con jefe directo y evaluación de desempeño. | Contrato de prestación de servicios. Sin subordinación operativa interna. |
| Independencia real | Incentivos estructurales para no contradecir a la organización. | Sin relación de dependencia — el conflicto de intereses se elimina desde la estructura. |
| Acceso a la máxima autoridad | Frecuentemente mediado por la cadena jerárquica. | Garantizable contractualmente como condición de prestación del servicio. |
| Cobertura de funciones | Una persona cubre asesoría legal, supervisión técnica, gestión de riesgos y enlace con la SPDP. En la práctica, alguna queda sin cobertura real. | Equipo multidisciplinario: perfil legal + compliance + seguridad + operaciones. Cobertura completa del Art. 49 LOPDP. |
| Protección ante remoción | El Art. 51 Reglamento la prohíbe, pero el empleado tiene incentivos para no ejercer su independencia antes de llegar a ese punto. | El contrato de servicios puede incluir cláusulas de continuidad ante presiones indebidas. |
Lo que debe exigir su organización al designar un DPD
Con independencia del modelo elegido —interno o externo—, estas son las preguntas que no pueden quedar sin respuesta:
- ¿El DPD tiene acceso directo a la máxima autoridad institucional, sin intermediación de la cadena jerárquica? Art. 50 num. 5 LOPDP
- ¿Cuenta con recursos técnicos, financieros y humanos para ejecutar sus funciones? Art. 22.2 Res. 0028-R
- ¿Puede ejercer sus funciones sin riesgo de sanción o destitución por hacerlo correctamente? Art. 51 Reglamento
- ¿Tiene competencia técnica para supervisar EIPD y medidas de seguridad, además de criterio jurídico para la asesoría normativa? Art. 49 nums. 1-3 LOPDP
- ¿Está registrado ante la SPDP con el nombramiento formalizado conforme al Art. 4 Res. 0028-R?
Si alguna de estas preguntas no tiene respuesta afirmativa y documentada, su organización tiene un DPD nominal. No un DPD funcional. Y ante un incidente, ante una inspección de la SPDP, o ante un requerimiento de titular, la diferencia entre los dos es la diferencia entre demostrar diligencia proactiva y no poder hacerlo.
¿Su organización tiene un DPD funcional o solo nominal?
En Wiibiq realizamos un diagnóstico gratuito DataGuard que evalúa si la función del DPD en su organización cumple los estándares de independencia, cobertura de funciones y acceso a la máxima autoridad que la LOPDP exige.
Solicitar diagnóstico gratuito DataGuard →