La Superintendencia de Protección de Datos Personales emitió el Oficio No. SPDP-IRD-2026-0127-O, en el que se pronuncia sobre la obligación de designar un Delegado de Protección de Datos (DPD) en empresas privadas que prestan servicios públicos. El pronunciamiento aclara que esta obligación, prevista en el artículo 10, numeral 14 del Reglamento del Delegado de Protección de Datos Personales, la Resolución SPDP-SPD-2025-0028-R, y vinculada con los artículos 4 y 48 de la Ley Orgánica de Protección de Datos Personales (LOPDP), se aplica únicamente a personas jurídicas públicas o privadas concesionarias de servicios públicos y a asociaciones público-privadas que distribuyan, comercialicen o suministren dichos servicios.

Las empresas privadas que prestan servicios públicos mediante otros mecanismos, como autorizaciones o delegaciones por actos administrativos, no quedan automáticamente obligadas a designar un DPD. Sin embargo, podrían estar sujetas a esta obligación si, según los artículos 4, 9 y 48 de la LOPDP y el reglamento, realizan un tratamiento sistemático, permanente o a gran escala de datos personales.