Agenda una Reunión

Pablo Arteaga

¿Quién es el «tercero» según la LOPDP de Ecuador? Definición, obligaciones y ejemplos prácticos

La Ley Orgánica de Protección de Datos Personales (LOPDP) de Ecuador establece en su artículo 4 definiciones esenciales para identificar los roles y responsabilidades en el tratamiento de datos personales. Entre ellas destacan el responsable del tratamiento y el encargado del tratamiento, figuras centrales con funciones claramente operativas dentro de la gestión de datos.

Sin embargo, el Reglamento de la LOPDP (R-LOPDP) introduce en su artículo 4, numeral 6, la definición de tercero, un concepto clave que no constituye un rol operativo del tratamiento, sino una categoría de referencia utilizada para regular la comunicación y transferencia de datos personales hacia entidades externas a un tratamiento específico.

¿Qué significa “tercero” según la LOPDP en Ecuador? Definición y diferencias con responsable y encargado

El artículo 4 numeral 6 del R-LOPDP, define a “tercero” como:

“Persona natural o jurídica, autoridad pública, servicio u organismo distinto del titular, del responsable del tratamiento, del encargado del tratamiento y de las personas autorizadas para tratar los datos personales bajo la autoridad directa del responsable.”

De esta definición se desprenden varias conclusiones:

  • El tercero se define por exclusión: es cualquier persona o entidad que no encaje en las categorías de titular, responsable, encargado o personal autorizado bajo la autoridad del responsable. La Superintendencia de Protección de Datos Personales (SPDP) ha confirmado esta interpretación en el Oficio N° SPDP-IRD-2025-0096-O (ratificado en el Oficio N° SPDP-IRD-2025-0098-O), destacando que este criterio permite identificar claramente a los sujetos externos al círculo legítimo de tratamiento de datos personales.
  • No es un rol operativo: a diferencia del responsable (que decide las finalidades y medios del tratamiento, art. 4 LOPDP) y del encargado (que trata datos a nombre y por cuenta del responsable, art. 4 LOPDP), el tercero no participa en la gestión ni en la ejecución operativa del tratamiento.
  • Es una categoría relacional y de referencia: su utilidad práctica aparece principalmente al momento de analizar la el flujo de datos personales hacia actores externos a la relación directa entre responsable y encargado.
  • Tercero vs. destinatario: la SPDP ha señalado que todo destinatario es un tercero, pero no todo tercero es destinatario. El destinatario requiere un acto concreto de comunicación de datos, mientras que el tercero es un concepto más amplio, que incluye a cualquier actor externo, incluso si no se produce una transferencia efectiva.

Obligaciones y responsabilidades de los terceros en la LOPDP de Ecuador

El tercero, en cuanto tal, no asume obligaciones propias bajo la LOPDP mientras permanezca externo al tratamiento de datos. Su relevancia se activa únicamente cuando recibe o accede a datos personales como se puede deducir expresamente del artículo 35 de la LOPDP.

La SPDP, en pronunciamientos recientes (Oficios N° SPDP-IRD-2025-0096-O y N° SPDP-IRD-2025-0098-O), ha precisado que este artículo distingue dos escenarios principales:

  • Acceso para la prestación de un servicio al responsable: Cuando el tercero accede a datos personales con la finalidad de prestar un servicio al responsable del tratamiento, el artículos 35 de la LOPDP establece que no se considera una transferencia o comunicación de datos. En este escenario, el tercero se convierte en encargado del tratamiento, sujeto a un contrato que delimita con precisión el alcance de sus actuaciones.
  • Acceso para fines propios o fuera de las instrucciones del responsable: Cuando el tercero recibe o accede a datos personales para finalidades distintas a las previstas en el servicio, pasa a actuar como responsable del tratamiento por cuenta propia, con todas las obligaciones que la LOPDP impone a esta figura, tales como la aplicación de principios rectores, la existencia de una base de legitimación válida, la obligación de brindar información a los titulares y la adopción de medidas técnicas y organizativas adecuadas. El tratamiento de datos sin base legal, constituye un tratamiento ilícito sancionable.

En consecuencia, la categoría de tercero funciona como un punto de transición: mientras no accede a datos personales, permanece como una noción abstracta; pero una vez que el acceso se produce, la LOPDP redefine su estatus: el tercero pasa a ser encargado del tratamiento si actúa en el marco de un servicio al responsable, o bien se convierte en responsable del tratamiento si utiliza los datos para fines propios. En este último caso, si no cuenta con una base de legitimidad válida, su actuación se considera ilícita y da lugar a las responsabilidades y sanciones previstas en la Ley.

abogados-azul-2 ¿Quién es el "tercero" según la LOPDP de Ecuador? Definición, obligaciones y ejemplos prácticos

Ejemplos prácticos de terceros según la LOPDP en Ecuador

Tercero que se convierte en encargado del tratamiento

Un banco contrata a una empresa de mensajería para entregar estados de cuenta a sus clientes.

  • La empresa accede a los datos personales únicamente para cumplir con el servicio contratado.
  • Actúa a nombre y por cuenta del banco, siguiendo sus instrucciones y bajo contrato.
  • En este escenario, el tercero deviene en encargado del tratamiento, asumiendo obligaciones específicas de acuerdo con la LOPDP.

Tercero que pasa a ser responsable por fines propios

Un hospital transmite datos clínicos a una aseguradora para validar la cobertura de un paciente.

  • La aseguradora recibe la información para fines propios, definidos por su rol en la gestión de seguros.
  • En consecuencia, se constituye como responsable del tratamiento, con la obligación de contar con una base legal, aplicar principios rectores y garantizar la seguridad de los datos.

Destinatario legítimo vs. tercero sin legitimación

Un banco comunica información crediticia a un buró de crédito, amparado en la normativa financiera vigente en Ecuador.

  • El buró, como destinatario legítimo, trata los datos en calidad de responsable por fines propios, con base en la habilitación legal correspondiente.
  • Si la misma comunicación se realizara hacia una entidad sin base jurídica, este actor sería un tercero no autorizado, incurriendo en tratamiento ilícito sancionable por la Autoridad de Protección de Datos Personales.

Tercero que incurre en tratamiento ilícito

Una municipalidad accede a datos personales de ciudadanos obtenidos de otra entidad pública sin contar con competencia legal que lo respalde.

  • En este caso, la municipalidad actúa como tercero no autorizado.
  • La conducta constituye un tratamiento ilícito, sujeto a sanciones administrativas y posibles responsabilidades adicionales bajo la LOPDP.

Conclusiones: el papel del tercero en la protección de datos en Ecuador

El tercero en la LOPDP y el R-LOPDP no constituye un sujeto operativo del sistema de tratamiento de datos, sino una categoría de referencia destinada a delimitar el alcance del flujo de datos personales entre entidades. Su importancia radica en que, dependiendo de la legitimidad de la transmisión:

  • Puede transformarse en un nuevo responsable del tratamiento, con la consiguiente carga de obligaciones cuando recibe datos personales como destinatario, o puede ser un encargado de tratamiento cuando se configura el caso del artículo 35 LOPDP.
  • O bien puede incurrir en un tratamiento ilícito sancionable cuando accede a datos sin fundamento jurídico.

De esta forma, el concepto de tercero permite cerrar el círculo de protección normativa y evitar vacíos en el flujo de datos personales, asegurando que todo acceso a la información esté sujeto a las garantías previstas en la LOPDP y el R-LOPDP.

Bonus – Preguntas frecuentes sobre los terceros en la LOPDP de Ecuador

1. ¿Qué significa ser “tercero” en la LOPDP de Ecuador?

Un tercero es cualquier persona o entidad que no sea el titular, responsable, encargado ni personal autorizado para tratar datos personales. Es una categoría de referencia clave en la comunicación de datos. No constituye un nuevo rol de tratamiento, sino una categoría de referencia utilizada para regular la comunicación de datos personales hacia actores externos a un tratamiento de datos específico.

2. ¿Cuáles son las obligaciones de un tercero según la LOPDP?

El tercero no tiene obligaciones propias hasta que accede a datos personales. En ese momento puede convertirse en encargado (si actúa bajo contrato y siguiendo instrucciones) o en responsable por fines propios, con todas las obligaciones legales.

3. ¿Qué diferencia hay entre tercero, responsable y encargado en la LOPDP?

El responsable decide finalidades y medios del tratamiento, el encargado actúa por cuenta del responsable, y el tercero es cualquier sujeto externo que solo adquiere un rol (responsable o encargado del tratamiento) cuando accede a datos personales.

4. ¿Qué riesgos legales enfrentan las empresas al compartir datos con terceros?

Si no hay base legal, el acceso de un tercero a datos personales puede constituir un tratamiento ilícito sancionable por la Autoridad de Protección de Datos.

Tags: ,

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

es_ESSpanish
en_USEnglish es_ESSpanish