Instagram Linkedin
Agenda una cita

La SPDP emite sus primeras sanciones por infracciones graves a la ley de protección de datos personales

La SPDP emite sus primeras sanciones por infracciones graves a la ley de protección de datos personales

El 1 de diciembre de 2025, la Superintendencia de Protección de Datos Personales (SPDP) anunció sus primeras sanciones administrativas por infracciones graves a la Ley Orgánica de Protección de Datos Personales (LOPDP) en Ecuador, dirigidas contra la Liga Profesional de Fútbol del Ecuador (LIGAPRO) y la Federación Ecuatoriana de Fútbol (FEF) por el uso de las aplicaciones Fan ID y Fan FEF.

Se trata de un hito regulatorio: por primera vez la autoridad aplica el régimen sancionador completo previsto en la LOPDP (Registro Oficial Suplemento 459, 26 de mayo de 2021) y su normativa de desarrollo, incluyendo el Reglamento General a la LOPDP (Decreto Ejecutivo 904, 13 de noviembre de 2023) y el Reglamento para la metodología de cálculo de multas aprobado mediante Resolución Nº SPDP-SPD-2025-0022-R

En un contexto en el que la LOPDP reconoce la protección de datos personales como un derecho fundamental autónomo (art. 1 LOPDP, Ecuador) y establece principios como legalidad, proporcionalidad, minimización, seguridad y responsabilidad proactiva, estas sanciones marcan el paso de la fase “pedagógica” a una fase de enforcement efectivo.

Supuesto clave: a la fecha de esta respuesta (2 de diciembre de 2025) solo se conoce el comunicado oficial de prensa de la SPDP; las resoluciones sancionadoras individuales aún no constan publicadas en la sección de “Resoluciones SPDP”, por lo que no se dispone públicamente del número de resolución, antecedentes completos, fundamentos detallados ni todos los artículos aplicados.
El análisis se basa en ese comunicado, en la LOPDP, su Reglamento y en notas de prensa especializadas.

Descripción de los hechos y las sanciones

Según la SPDP, tras requerimientos de información, actuaciones previas (incluidas inspecciones in situ) y procedimientos de medidas correctivas al amparo de los arts. 63, 65 y 66 LOPDP, se verificó el incumplimiento total o parcial de dichas medidas. Esto motivó la apertura de Procedimientos Administrativos Sancionadores (PAS) completos (acto de inicio, fase instructora y resolución).

Los casos se centran en el tratamiento de datos personales a través de:

  • Fan ID (LIGAPRO): sistema de reconocimiento facial biométrico para registro e identificación de aficionados en estadios.
  • Fan FEF (FEF): plataforma para compra de entradas y gestión de aficionados, que exige datos de cédula y contacto, y se vincula con el control de acceso.

Del comunicado y la prensa se desprenden los siguientes elementos:

Sujetos sancionados (tipología):

  • LIGAPRO: entidad privada, de gran visibilidad pública, gestora del campeonato profesional de fútbol (sector deportivo/entretenimiento).
  • FEF: asociación deportiva de interés público, rectora del fútbol ecuatoriano (sector asociativo/deportivo).

Cuantía y medidas impuestas:

  • LIGAPRO
    • Multa: USD 259.644,01.
    • Obligación de informar a 14.398 titulares que su consentimiento no fue obtenido válidamente.
    • Orden de eliminar los datos personales recabados de esas personas de todas las bases de datos administradas por la entidad.
  • FEF
    • Multa: USD 194.856,16.
    • Obligatoriedad de:
      • Actualizar su Registro de Actividades de Tratamiento (RAT) conforme a la LOPDP.
      • Implementar una Política de Protección de Datos ajustada a la normativa.
      • Notificar a los titulares sobre la invalidez del consentimiento recabado.
      • Eliminar los datos tratados a través de la aplicación Fan FEF.

Supuesto adicional (por contexto):
La información pública disponible sugiere que el tratamiento implica datos sensibles biométricos (reconocimiento facial) y otros datos identificativos, lo que agrava el riesgo para los titulares (art. 25 LOPDP, Ecuador).

Fundamento jurídico

Según la SPDP, en ambos expedientes se constató una infracción grave prevista en el art. 68, numeral 1, LOPDP, por no implementar medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes para garantizar un tratamiento conforme a la normativa.

Aun sin el texto completo de las resoluciones sancionadoras, de lo conocido pueden destacarse los siguientes ejes jurídicos:

  1. Principios y bases de legitimación
    • El art. 7 LOPDP regula las bases legitimadoras del tratamiento, incluyendo el consentimiento y el interés legítimo, exigiendo que el tratamiento sea lícito, informado y verificable.
    • El uso de reconocimiento facial para control de acceso a estadios involucra datos sensibles, lo que refuerza la exigencia de un consentimiento expreso, específico e informado, y de medidas reforzadas de seguridad (arts. 7, 25 LOPDP, Ecuador).
  2. Principios afectados (LOPDP, Ecuador)
    Con base en la ley y su doctrina, las conductas descritas apuntan a la vulneración de varios principios:
    • Legalidad y licitud del tratamiento: tratamiento sin una base válida (consentimiento inválido o insuficiente).
    • Transparencia e información: deficiencias en la información previa y en la comprobación del consentimiento.
    • Minimización y proporcionalidad: uso intensivo de biometría para fines de seguridad/ingreso que deben superar un test de necesidad y proporcionalidad.
    • Seguridad y confidencialidad: la infracción del art. 68.1 LOPDP se centra, precisamente, en la falta de medidas de seguridad adecuadas.
    • Responsabilidad proactiva y demostrada: ausencia de una gestión de riesgos suficientemente documentada y demostrable.
  3. Medidas correctivas y PAS
    • El art. 65 LOPDP faculta a la SPDP a dictar medidas correctivas ante incumplimientos, mientras que el art. 66 prevé la posibilidad de normas de procedimiento para su aplicación.
    • La secuencia descrita por la SPDP —actuaciones previas, medidas correctivas y, ante su incumplimiento, PAS— sigue el esquema del Capítulo XI LOPDP: Medidas correctivas, infracciones y régimen sancionatorio (arts. 65 y ss.).
  4. Criterios de graduación de las sanciones
    • La LOPDP tipifica infracciones leves y graves del responsable (arts. 67 y 68) y del encargado (arts. 69 y 70).
    • La Resolución Nº SPDP-SPD-2025-0022-R aprueba el Reglamento para la aplicación de la metodología para el cálculo de las multas, que introduce modelos de valoración con factores estáticos (tipo de infracción, naturaleza de la entidad, volumen y carácter de los datos, etc.) y factores dinámicos (conducta en el procedimiento, reincidencia, corrección de efectos, cooperación).

Inferencia: no se han publicado aún los detalles de los factores concretos ponderados en estos dos casos (p. ej. beneficio económico obtenido, duración del incumplimiento). La mención a la infracción del art. 68.1 y a las cuantías permite suponer que el uso de datos sensibles biométricos y el elevado número de titulares han sido elementos relevantes en la graduación.

Implicaciones prácticas para organizaciones y profesionales

De estos primeros casos pueden extraerse varias alertas prácticas:

  • El uso de biometría y datos sensibles exige:
    • Análisis de proporcionalidad y evaluación de impacto (DPIA) cuando proceda (Reglamento General LOPDP, Ecuador, arts. N/D; referencia general).
    • Políticas de seguridad y privacidad robustas, documentadas y auditables.
  • El consentimiento “de formulario” o poco claro no es suficiente:
    • Debe poder demostrarse que cada titular comprendió el tratamiento, especialmente si es un requisito para entrar a un estadio o comprar entradas.
  • Las medidas correctivas no son opcionales:
    • El incumplimiento de medidas correctivas puede agravar la sanción e incluso configurar una infracción adicional (art. 68 LOPDP, incisos sobre incumplimiento de medidas de la autoridad).
  • La SPDP observa el ciclo completo de cumplimiento:
    • Registro de Actividades de Tratamiento actualizado (art. 44 LOPDP, Ecuador).
    • Políticas de protección de datos alineadas con la LOPDP.

Controles mínimos a reforzar en organizaciones

  • Mapeo y registro de tratamientos, especialmente los que involucran biometría, geolocalización y perfilamiento.
  • Revisión de bases legitimadoras (consentimiento, interés legítimo, obligación legal, etc.) y su documentación.
  • Definición e implementación de medidas de seguridad según riesgo: cifrado, seudonimización, controles de acceso, pruebas de intrusión, etc.
  • Procedimientos internos para atención de derechos de titulares (acceso, rectificación, oposición, eliminación, portabilidad).
  • Capacitación periódica, especialmente en áreas de negocio que impulsan proyectos tecnológicos (apps, plataformas, marketing).

Impacto en el ecosistema de protección de datos en Ecuador

Estas sanciones envían un mensaje claro a todo el ecosistema:

  • A empresas y desarrolladores de tecnología:
    El uso de tecnologías de reconocimiento facial y biometría en contextos de ocio y deporte se encuentra bajo un especial escrutinio, en línea con lo que ya ocurre en otras jurisdicciones (por ejemplo, sanciones de la AEPD a LaLiga por uso de datos biométricos en estadios y procedimientos del INAI en México por Fan ID).
  • A las administraciones públicas y entidades de control de acceso (transporte, eventos, seguridad):
    El mensaje es que las soluciones “innovadoras” no pueden implementarse sin un análisis riguroso de riesgos, proporcionalidad y adecuación jurídica.
  • A la ciudadanía:
    Se refuerza la idea de que los titulares tienen derecho a decidir sobre sus datos, a ser informados de manera clara y a exigir transparencia frente a proyectos que afecten su identidad y su biometría.

Probablemente veremos:

    • Más actuaciones preventivas y correctivas en sectores con alto volumen de datos sensibles.
    • Mayor utilización de las guías, reglamentos y modelos de cálculo de multas emitidos por la SPDP para orientar el cumplimiento.
    • Incremento de auditorías internas y externas en organizaciones que tratan biometría y datos masivos.

Conclusiones y límites del análisis

En síntesis:

  • La SPDP ha estrenado el régimen sancionador de la LOPDP con dos casos emblemáticos en el fútbol profesional.
  • El núcleo jurídico de las sanciones gira en torno a la falta de medidas de seguridad adecuadas (art. 68.1 LOPDP) y a deficiencias en el consentimiento y la información a los titulares.
  • Las multas se sitúan en rangos que, sin ser máximos, son significativos para el contexto ecuatoriano y van acompañadas de órdenes de eliminación de datos, notificación masiva y refuerzo de programas de cumplimiento.

Límites del análisis:

  • N/D: número y contenido íntegro de las resoluciones sancionadoras, criterios concretos de ponderación de factores en la metodología de cálculo, detalle pormenorizado de pruebas y alegaciones.
  • La información disponible procede de:
    • Comunicado oficial de la SPDP.
    • Textos normativos (LOPDP, su Reglamento y Resolución 0022-R).
    • Cobertura de medios y análisis profesionales.

Por lo anterior, no puede sustituir asesoría jurídica específica. Cualquier organización potencialmente afectada debería:

  • Revisar sus tratamientos de datos (especialmente biométricos).
  • Analizar el riesgo regulatorio concreto en función de su sector.
  • Obtener asesoramiento especializado para diseñar o ajustar su programa de cumplimiento conforme a la LOPDP, su Reglamento y los criterios sancionadores de la SPDP.

El rol y apoyo de KahuData

En KahuData ofrecemos apoyo especializado a organizaciones ecuatorianas para implementar una gestión de riesgos de datos adaptada a proyectos de IA.
Su equipo multidisciplinario asesora en:

  • Elaboración de Evaluaciones de Impacto (EIPD).
  • Diseño e implementación de privacy by design.
  • Análisis de bases legales y mapeo de datos.
  • Evaluación de proveedores y transferencias internacionales.
  • Capacitación en gobernanza y auditoría de cumplimiento.

KahuData ayuda a que las empresas puedan innovar con confianza, alineando sus iniciativas de IA con los principios de la LOPDP y las directrices de la Superintendencia de Protección de Datos Personales (SPDP).

¿Necesitas acompañamiento?

En KahuData  ayudamos a organizaciones en el cumplimiento de la LOPDP.

Si necesitas apoyo para llevar a cabo estas recomendaciones, los expertos están a tu alcance. KahuData Solutions ofrece asesoría especializada en protección de datos personales en Ecuador.

Puedes contactarnos en info@kahudata.com o al +593 99 881 5397​.

Ayudamos a empresas a implementar la LOPDP de forma práctica y alineada con mejores estándares.

Necesitas o tienes dudas sobre el cumplimiento de la LOPDP, estamos listos para ayudarte.

Contacta hoy y descubre cómo convertir el cumplimiento en una ventaja competitiva.

Primera consulta GRATUITA ¡Agéndala ahora!

¿Te gustó? Por favor, comparte y dale Like

  • Categorías
  • Archivos