La SPDP aclara cuándo es obligatorio nombrar un Delegado de Protección de Datos en el tratamiento de datos de menores

El 19 de septiembre de 2025, mediante la Absolución de Consulta No. SPDP-IRD-2025-0180-O, la Superintendencia de Protección de Datos Personales (SPDP) resolvió una consulta sobre la obligatoriedad de nombrar un Delegado de Protección de Datos (DPD) cuando una entidad trata datos personales de niños, niñas y adolescentes únicamente para cumplir con obligaciones legales, como las establecidas en el Código del Trabajo o la normativa tributaria.

El pronunciamiento aclara que no se configura la obligación de designar un DPD en estos casos, ya que el tratamiento no responde ni al objeto principal de la organización ni a una actividad habitual.

Fundamento legal: ¿Qué dicen la LOPDP y el Reglamento?

Esta interpretación se basa en dos disposiciones clave:

Artículo 48 de la Ley Orgánica de Protección de Datos Personales (LOPDP):
Establece los casos en los que los responsables o encargados deben contar con un Delegado de Protección de Datos (DPD).

Artículo 10 del Reglamento de los Delegados de Protección de Datos:
Detalla los supuestos en los que se activa dicha obligación. En su numeral 3, exige la designación de un DPD cuando se trate de datos personales de menores de edad pertenecientes a categorías especiales, siempre que este tratamiento sea parte del objeto o se realice de forma habitual.

¿Qué significan “objeto” y “actividad habitual”?

La SPDP aclara que:

  • “Tener por objeto” significa que el tratamiento de datos personales forma parte de la finalidad esencial de la organización, ya sea definida en su objeto social, estatutos o misión institucional.
  • “Dedicarse de forma habitual” implica que, aun cuando el tratamiento no esté formalmente incluido en el objeto social, se realiza de manera continua, estructurada y no ocasional.

Por tanto, no se requiere un DPD cuando el tratamiento se limita al cumplimiento de obligaciones legales puntuales como nómina, afiliación a la seguridad social o reportes tributarios, ya que estas acciones no se consideran ni habituales ni propias del objeto social.

¿Qué implica este pronunciamiento para las organizaciones?

Este criterio aclara que la decisión de nombrar un DPD debe evaluarse caso por caso, analizando la naturaleza de las actividades, la finalidad del tratamiento de datos y su frecuencia. No basta con identificar si existe una obligación legal; es necesario determinar si el tratamiento de datos de menores constituye una parte estructural o estratégica de la actividad de la organización.