El 1 de diciembre de 2025, la Superintendencia de Protección de Datos Personales (SPDP) anunció las primeras sanciones administrativas públicas por infracciones graves desde que el régimen sancionatorio de la LOPDP entró en vigencia en mayo de 2023. Los dos casos involucran aplicaciones móviles con datos biométricos y el resultado combinado fue USD 454,500.17 en multas + obligaciones de notificar a titulares y eliminar datos.
Este artículo no es un resumen de prensa. Es una lectura forense de las resoluciones: qué hicieron mal las dos organizaciones, qué elementos específicos priorizó la SPDP al graduar las sanciones, qué ordenó como medidas correctivas, y qué de eso aplica directamente a su empresa incluso si no trata datos biométricos.
Contexto: por qué importan estos dos casos
Hasta diciembre de 2025, las empresas ecuatorianas actuaban asumiendo que el régimen sancionatorio de la LOPDP era teórico. Dos años y medio después de la entrada en vigor del régimen, no había un solo caso público que usar como referencia. El 1 de diciembre ese vacío se cerró.
Los dos casos son importantes por tres razones: establecen metodología (cómo la SPDP instruye un procedimiento sancionador, qué evidencia recaba, cómo llega al monto), establecen escala (cuánto puede doler en dólares reales), y establecen patrón (qué tipo de falla van a perseguir primero — y es una que casi toda empresa mediana comete).
Caso 1: LIGAPRO — USD 259,644.01
La Liga Profesional de Fútbol del Ecuador fue sancionada mediante la Resolución RES-SPDP-ICS-2025-0005 por una infracción grave del artículo 68 numeral 1 de la LOPDP. El hallazgo central: la aplicación Fan ID recogía datos biométricos de aficionados sin cumplir con el principio de protección de datos desde el diseño y por defecto (Privacy by Design & by Default), establecido en el artículo 39 de la LOPDP.
Qué hizo mal LIGAPRO
El diagnóstico de la SPDP identifica al menos cuatro capas de fallas:
- Arquitectura sin análisis de riesgo documentado. Fan ID trataba datos biométricos —categoría especial— sin que la SPDP pudiera verificar que LIGAPRO hubiera hecho una evaluación de impacto previa proporcional al riesgo.
- Medidas de seguridad no verificables. No bastó con afirmar que había controles: la SPDP buscó evidencia concreta y específica. La ausencia de esa evidencia llevó a la calificación de infracción grave por ausencia de medidas suficientes.
- Consentimiento inválido en masa. La resolución identificó a 14,398 titulares cuyo consentimiento no fue obtenido de forma válida.
- Incumplimiento de medidas correctivas previas. Antes de llegar al procedimiento sancionador, la SPDP había ordenado medidas correctivas que LIGAPRO no ejecutó completa o oportunamente. Esa inejecución es agravante.
Qué ordenó la SPDP
- Multa de USD 259,644.01.
- Notificar formalmente a los 14,398 titulares afectados sobre la invalidez del consentimiento obtenido.
- Eliminar los datos personales recabados a través de Fan ID de todas las bases administradas.
- Implementar medidas estructurales de Privacy by Design para cualquier futuro tratamiento.
En febrero de 2026, la SPDP impuso una sanción adicional de USD 95,502.63 a LIGAPRO por insuficiencias específicas en Privacy by Design, más un mandato de rediseñar Fan ID en 30 días. El primer caso no cerró el expediente: lo extendió.
Caso 2: FEF — USD 194,856.16
La Federación Ecuatoriana de Fútbol fue sancionada mediante la Resolución RES-SPDP-ICS-2025-0006, también por infracción grave del artículo 68 numeral 1, con una falla paralela pero matizada: la aplicación Fan FEF carecía de una metodología de análisis y gestión de riesgos proporcional a la naturaleza de los datos tratados.
Qué hizo mal FEF
- Falta de metodología de gestión de riesgos adaptada a datos biométricos y a las particularidades del tratamiento.
- Ausencia de una Política de Protección de Datos que cumpliera con la LOPDP.
- RAT incompleto o inexistente para la actividad de tratamiento vinculada a Fan FEF.
- Consentimientos mal recabados. La resolución ordenó notificar a los titulares afectados.
Qué ordenó la SPDP
- Multa de USD 194,856.16.
- Actualizar el Registro de Actividades de Tratamiento (RAT) con la actividad asociada a Fan FEF.
- Implementar una Política de Protección de Datos acorde con la LOPDP.
- Notificar a los titulares sobre la invalidez del consentimiento.
- Eliminar los datos tratados mediante Fan FEF.
La FEF también recibió sanciones adicionales (~USD 200,000) en febrero de 2026 por deficiencias en gestión de riesgos. El patrón se repite: primer golpe correctivo, incumplimiento o ejecución insuficiente, segundo golpe sancionatorio.
Cómo llegó la SPDP al monto específico
Los rangos de la LOPDP para infracciones graves van del 0.7% al 1% del volumen de negocio anual. La Resolución SPDP-SPD-2025-0022-R establece la metodología de cálculo dentro del rango, usando criterios de graduación como intencionalidad, reiteración, perjuicio al titular, reincidencia, colaboración con la autoridad y medidas correctivas adoptadas o incumplidas.
En ambos casos, los agravantes que justificaron montos sustanciales dentro del rango grave fueron:
- Número elevado de titulares afectados (14,398 solo en LIGAPRO).
- Categoría especial de datos (biométricos — los más protegidos).
- Incumplimiento total o parcial de medidas correctivas ordenadas previamente.
- Ausencia de colaboración plena durante las inspecciones in situ.
| Elemento | LIGAPRO (Fan ID) | FEF (Fan FEF) |
|---|---|---|
| Resolución | RES-SPDP-ICS-2025-0005 | RES-SPDP-ICS-2025-0006 |
| Infracción | Art. 68.1 (grave) | Art. 68.1 (grave) |
| Falla central | Privacy by Design ausente | Gestión de riesgos inadecuada |
| Multa | USD 259,644.01 | USD 194,856.16 |
| Medidas correctivas | Notificar, eliminar datos, rediseñar | Actualizar RAT, Política, notificar, eliminar |
| Sanciones posteriores (feb 2026) | +USD 95,502.63 | ~USD 200,000 |
Qué aprender si su empresa no trata datos biométricos
La tentación al leer estos casos es decir "nosotros no tenemos una app como Fan ID, esto no nos aplica". Es el error más costoso posible. Las dos conductas que la SPDP reprochó no son específicas de biometría ni de apps:
- Ausencia de Privacy by Design. Aplica a cualquier tratamiento nuevo — un portal de empleados, un CRM, un sistema de videovigilancia, una integración con un proveedor cloud.
- Ausencia de gestión de riesgos documentada. Aplica a toda actividad del RAT.
- Consentimiento mal recabado. Aplica a cualquier formulario, aviso, política de privacidad o flujo de alta.
- Incumplimiento de medidas correctivas. Aplica a cualquier requerimiento que la SPDP les gire.
¿Sabe dónde está su empresa hoy?
Nuestro checklist interactivo de 25 preguntas le da un score por categoría — incluye Privacy by Design, gestión de riesgos y consentimiento. Cinco minutos, sin registro.
Ir al checklist LOPDPTres lecciones operativas
1. La SPDP investiga con inspecciones in situ, no solo con formularios
Ambas resoluciones mencionan "requerimientos de información, actuaciones previas e inspecciones in situ". No es una revisión documental a distancia. Su empresa debe poder mostrar evidencia física y digital de lo que documenta: logs de accesos, acuerdos firmados con proveedores, actas de capacitación, versiones firmadas de políticas con fecha.
2. Las medidas correctivas no son sugerencias
LIGAPRO y FEF habían recibido medidas correctivas antes del procedimiento sancionador. El incumplimiento de esas medidas es lo que desbloqueó las sanciones. Si su empresa recibe un requerimiento de la SPDP, la respuesta no es discutir el fondo — es cumplir la medida dentro del plazo, y luego discutir el fondo si corresponde.
3. El expediente de responsabilidad demostrada es el seguro
Tanto en LIGAPRO como en FEF, la SPDP destaca la ausencia de arquitectura preventiva verificable. La defensa en cualquier procedimiento futuro va a depender del expediente que su empresa haya construido antes del evento: RAT actualizado, Política firmada, acuerdos con encargados, registros de consentimiento, actas de capacitación. No se arma el día que llega la inspección.
Preguntas frecuentes
¿Puedo apelar una sanción de la SPDP?
Sí. Las resoluciones de la SPDP son actos administrativos y pueden recurrirse en sede administrativa mediante los recursos previstos en el Código Orgánico Administrativo (COA), y posteriormente en sede judicial mediante acción contencioso-administrativa. Los plazos son cortos: consulte con un abogado especializado inmediatamente si recibe una resolución.
¿La SPDP va a seguir sancionando a otros sectores?
Los casos de diciembre 2025 y febrero 2026 establecen precedente pero no agotan la acción de la autoridad. La SPDP tiene un Plan Anual de Auditorías (Resolución SPDP-SPD-2025-0005-R) que define los sectores prioritarios. Salud, financiero y telecomunicaciones figuran entre los de mayor exposición por el volumen y la sensibilidad de los datos.
¿Tengo que notificar a mis titulares si mi empresa recibe una sanción?
Depende de la resolución. En los casos LIGAPRO y FEF, la notificación a titulares fue parte de la medida correctiva ordenada. Pero incluso sin orden expresa, la LOPDP obliga a notificar vulneraciones de seguridad que afecten derechos y libertades — si la sanción deriva de una brecha, la notificación probablemente ya es obligatoria.
¿Cómo se define el volumen de negocio para calcular la multa?
El artículo 73 de la LOPDP define volumen de negocio como "la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado y de otros impuestos directamente relacionados con la operación económica". Es ingresos brutos del ejercicio cerrado anterior a la sanción, neto de IVA.
Si documenté todo pero algo falló, ¿pueden sancionarme igual?
Sí, pero el expediente bien armado modifica la graduación. La LOPDP valora la responsabilidad proactiva demostrada: si la empresa tomó medidas proporcionales al riesgo, reaccionó a tiempo y colaboró con la autoridad, la sanción tiende al piso del rango o incluso a medidas correctivas sin multa. Sin expediente, la sanción tiende al techo.
Conclusión
LIGAPRO y FEF son el primer capítulo de una serie que va a seguir escribiéndose. La SPDP mostró su metodología: inspección, requerimiento, medida correctiva, procedimiento sancionador, multa. Mostró su escala: USD 250,000+ por caso. Y mostró su criterio: castiga la ausencia de arquitectura preventiva, no solo las fallas puntuales.
La pregunta no es si habrá más sanciones. Es si su empresa va a estar en la próxima lista. Empiece por el checklist para diagnosticar, siga con la guía completa para el marco, y si necesita acompañamiento operativo, agende una demo.