La Resolución Nº SPDP-SPD-2025-0022-R, emitida por la Superintendencia de Protección de Datos Personales (SPDP) el 23 de julio de 2025, establece el Reglamento para aplicar la metodología de cálculo de multas por infracciones a la Ley Orgánica de Protección de Datos Personales (LOPDP).
A continuación, te explico de qué trata, para qué sirve, cómo ayuda y qué ventajas ofrece:
¿De qué trata la resolución?
La Resolución expide el Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionador de la SPDP. Define los lineamientos para determinar las sanciones pecuniarias que corresponden en casos de infracciones leves y graves relacionadas con el tratamiento inadecuado de datos personales.
¿Para qué sirve?
Este reglamento sirve como herramienta normativa y técnica para:
- Calcular las multas de forma proporcional y estandarizada.
- Aplicar correctamente las sanciones contempladas en la LOPDP.
- Establecer criterios objetivos y medibles como la intencionalidad, la reiteración, el perjuicio ocasionado y la reincidencia para determinar la multa.
¿Cómo se calculan las multas por mal uso de datos personales?
La Superintendencia de Protección de Datos Personales (SPDP) cuenta con un modelo técnico para calcular las multas administrativas que se imponen cuando una empresa o entidad pública incumple la Ley Orgánica de Protección de Datos Personales (LOPDP). Aunque se trata de un proceso técnico, aquí te lo explicamos de forma sencilla para que todos puedan entender cómo funciona.
¿Qué factores se toman en cuenta?
El modelo combina factores objetivos como el tamaño de la empresa o el Salario Básico Unificado, con factores subjetivos como la gravedad del daño o si hubo mala intención. Para calcular un valor equilibrado entre estos elementos, se utiliza la llamada fórmula PERT, que estima un promedio ponderado entre tres valores: uno mínimo, uno probable y uno máximo.
¿De qué depende el punto de partida?
- Si es una empresa privada, el cálculo comienza según el volumen de negocio de la empresa.
- Si es una institución pública, se usa como base el SBU.
¿Cómo se clasifica la infracción?
Una vez definido el valor base, se aplica un ajuste técnico que depende del grado de cumplimiento de la ley y las medidas correctivas que haya adoptado la organización. Esto se conoce como el Peso de la Infracción (PDI).
Las multas se dividen en dos categorías:
Para entidades privadas:
- Infracción leve: entre el 0.1% y el 0.7% del volumen de negocio.
- Infracción grave: entre el 0.7% y el 1%.
Para entidades públicas:
- Infracción leve: entre 1 y 10 salarios básicos unificados.
- Infracción grave: entre 10 y 20 salarios básicos unificados.
¿Qué más influye en la multa?
Otro elemento importante es el nivel de madurez o preparación de la entidad frente a la ley de protección de datos. Este puede medirse en un rango del 0% al 100% y se basa en qué tan bien la organización ha implementado medidas para cumplir con la normativa.
Además, se evalúan factores agravantes o atenuantes que afectan la seriedad de la infracción, entre ellos:
- El impacto en los derechos de las personas afectadas (hasta un 60% del peso).
- Si hubo dolo, negligencia o intención clara de dañar (hasta un 40%).
- La reincidencia, si es que ha cometido faltas similares antes (hasta un 20%).
Finalmente, se aplica esta fórmula:
- Multa = Categoría de la infracción × Seriedad de la infracción
- En casos con mucha incertidumbre, puede usarse una técnica de simulación matemática llamada Monte Carlo, para prever distintos escenarios.
¿Qué pueden hacer las empresas para evitar multas?
Lo mejor que pueden hacer las organizaciones es implementar un programa integral de protección de datos, que cumpla con la ley y su reglamento. Algunas acciones clave incluyen:
- Registrar todas las actividades relacionadas con datos personales.
- Establecer políticas internas claras.
- Realizar evaluaciones de impacto.
- Gestionar incidentes de seguridad.
- Controlar el acceso a la información.
- Capacitar al personal constantemente.
- Contar con estas medidas no solo reduce el riesgo de recibir sanciones, sino que además ofrece ventajas económicas, legales y reputacionales, ya que demuestra un compromiso serio con la privacidad y los derechos de las personas.
Si manejas datos personales en tu empresa, prepárate, asesórate y actúa a tiempo. Proteger los datos no es solo una obligación legal, ¡es una responsabilidad ética! En Lawem Abogados contamos con profesionales especialistas en la materia que te ayudarán a cumplir con la Ley Orgánica de Protección de Datos y evitar multas.
Se consideran factores objetivos como el volumen de negocio o el salario básico unificado (SBU), y factores subjetivos como la gravedad del daño, intencionalidad, reincidencia, madurez institucional y medidas correctivas implementadas.
Es un ajuste técnico que se aplica al valor base de la multa, dependiendo del grado de cumplimiento de la normativa y de las medidas correctivas adoptadas por la entidad infractora. Sirve para reflejar de forma más justa la conducta y compromiso institucional frente a la protección de datos.
– Implementar un sistema integral de cumplimiento que incluya:
– Registro de actividades de tratamiento.
– Políticas internas claras.
– Evaluaciones de impacto.
– Planes de respuesta a incidentes.
– Capacitaciones periódicas.
– Control de accesos a datos.
Advertencia:
Este artículo de Lawem Abogados no podrá ser usado como asesoría u opinión legal, en vista de que se trata de un documento puramente informativo.
Si deseas más información sobre este proceso o una asesoría personalizada para tu empresa, no dudes en escribirnos al correo electrónico: info@lawemabogados.com
