Hito en la Protección de Datos en Ecuador: Análisis de las Primeras Sanciones Graves de la SPDP
El fin del periodo de gracia: La SPDP impone multas históricas al fútbol ecuatoriano
El panorama del cumplimiento normativo en Ecuador cambió definitivamente este 1 de diciembre de 2025. La Superintendencia de Protección de Datos Personales (SPDP) hizo públicas sus primeras resoluciones sancionatorias por infracciones graves a la Ley Orgánica de Protección de Datos Personales (LOPDP), dirigidas a dos de las instituciones más visibles del país: la Liga Profesional de Fútbol del Ecuador (LIGAPRO) y la Federación Ecuatoriana de Fútbol (FEF).
Estas sanciones, que en conjunto superan los $450,000 USD, no solo representan un golpe económico, sino que envían un mensaje contundente al sector empresarial: la autoridad de control está operativa, vigilante y dispuesta a ejercer sus facultades coercitivas.
Los hechos: ¿Qué detonó la sanción?
La investigación de la SPDP se centró en el tratamiento de datos personales realizado a través de los aplicativos Fan ID y Fan FEF. Tras realizar requerimientos de información e inspecciones in situ (facultades previstas en los arts. 63, 65 y 66 de la LOPDP), la autoridad detectó incumplimientos sistemáticos que no fueron subsanados adecuadamente durante la fase de medidas correctivas.
El núcleo de la infracción se fundamenta en el Artículo 68, numeral 1 de la LOPDP, referente a la falta de implementación de medidas administrativas, técnicas, físicas y jurídicas suficientes.
DESGLOCE DE SANCIONES
La SPDP no solo impuso multas pecuniarias, sino también medidas correctivas de alto impacto operativo:
- Caso LIGAPRO:
- Multa: US$259,644.01.
- Medida Correctiva Drástica: La orden de eliminar los datos personales de todas las bases administradas, al determinarse que el consentimiento de 14,398 titulares no fue obtenido válidamente. Además, la obligación de notificar a cada uno de estos usuarios sobre la invalidez de su autorización.
- Caso FEF:
- Multa: US$194,856.16.
- Obligaciones: Adecuación integral de procesos internos, actualización del Registro de Actividades de Tratamiento (RAT), implementación de Políticas de Protección de Datos y, al igual que en el caso anterior, la eliminación de los datos tratados irregularmente a través de Fan FEF.
ANÁLISIS JURÍDICO: Más alla de la multa económica
Como especialistas en privacidad y cumplimiento normativo, destacamos tres lecciones críticas que toda empresa ecuatoriana debe extraer de este precedente:
1. La «Muerte» de la Base de Datos
Quizás el aspecto más punitivo de estas resoluciones no es el dinero, sino la orden de eliminación de datos. Para una empresa moderna, su base de datos (clientes, prospectos, usuarios) es su activo más valioso. La SPDP ha demostrado que si la recolección de esos datos («el origen») está viciada por un consentimiento inválido, el fruto de ese trabajo debe ser destruido. El costo de perder la base de datos suele ser superior al de la multa administrativa.
2. El Consentimiento debe ser Impecable
Las resoluciones hacen énfasis en la «invalidez del consentimiento». Esto suele ocurrir cuando se utilizan:
- Casillas pre-marcadas (opt-out en lugar de opt-in).
- Textos legales ambiguos, extensos o ilegibles.
- Condicionamiento del servicio a la entrega de datos no necesarios. El consentimiento debe ser libre, específico, informado e inequívoco.
3. La Responsabilidad Proactiva (Accountability)
La ley exige demostrar que se han tomado medidas técnicas y organizativas antes de que ocurra un incidente. La falta de políticas internas claras y medidas de seguridad robustas fue un factor determinante para calificar la infracción como «grave».
Conclusión y Recomendación para el Sector Empresarial
Estas sanciones marcan un antes y un después. La gestión de datos personales ha dejado de ser un «trámite administrativo» para convertirse en un riesgo estratégico de alto nivel.
Desde nuestra firma, recomendamos a todas las organizaciones realizar una auditoría inmediata de sus puntos de recolección de datos (formularios web, apps, contratos) y verificar la robustez de sus cláusulas de consentimiento. La prevención es, sin duda, la inversión más rentable frente a un escenario de fiscalización activa.
¿Su organización está preparada para una inspección de la SPDP? Contáctenos para realizar un diagnóstico de cumplimiento y blindar sus activos de información.
Este artículo se basa en el boletín emitido por la Superintendencia de Protección de Datos Personales (https://spdp.gob.ec/prensa/)
En caso de requerir información adicional, por favor contactarse con el correo electrónico administracion@moncayoberrazueta.com o al WhatsApp número (+593) 0992521287 / (+593) 0994019505.
