El mes pasado, la Superintendencia de Protección de Datos Personales (SPDP) resolvió una consulta jurídica (Oficio N° SPDP-IRD-2025-0096-O) clave sobre el tratamiento de datos personales en contextos de prestación de servicios. La resolución determina la interpretación de los artículos 34 y 35 de la Ley Orgánica de Protección de Datos Personales (LOPDP), junto con el artículo 43 de su Reglamento. 

La consulta parte de la necesidad de muchas empresas de permitir a terceros acceder a datos personales con el fin de cumplir un servicio contratado, como resulta en el caso de centros médicos, servicios contables, plataformas electrónicas, etc. Sobre la base de esta realidad se genera la duda: ¿ese tercero puede usar los datos proporcionados para otros fines? La respuesta de la SPDP fue clara: no. 

¿Qué establece la normativa? 

Los artículos 34 y 35 de la LOPDP regulan cuando un tercero pasa a ser considerado encargado del tratamiento. La ley señala que, si una persona natural o jurídica accede a datos personales para prestar un servicio al responsable del tratamiento, no se considera una transferencia de datos per se. En ese caso, el tercero se convierte en encargado del tratamiento. 

Por lo tanto, el encargado actúa en nombre y por cuenta del responsable del tratamiento, y debe regirse exclusivamente por las instrucciones documentadas de este. No puede utilizar los datos para finalidades propias, ni transferirlos, ni conservarlos más allá del plazo establecido.

La SPDP también enfatiza que el uso de datos fuera de las delimitaciones del tratamiento y fuera de las instrucciones del responsable, convierte al encargado en un responsable del tratamiento por esa nueva finalidad, y en consecuencia, deberá cumplir con los requisitos legales, como contar con una base de legitimación válida según el artículo 7 de la LOPDP. 

¿Qué implica esto para las empresas? 

En primer lugar, deben existir contratos claros. La relación con cualquier proveedor que acceda a datos personales debe estar respaldada por un contrato que especifique su rol como encargado, las instrucciones del tratamiento y las medidas de seguridad. 

Por otro lado, el responsable debe supervisar activamente que el encargado no use los datos para fines distintos a los contratados. 

En ese sentido, si el encargado usa los datos para otros fines, como alimentar sus propias bases de datos, hacer marketing o vender información; incurre en una infracción y se convierte en responsable por ese nuevo tratamiento.

Revisado por Belén Noboa y Verónica Benalcázar.