En 2025, la Superintendencia de Protección de Datos Personales del Ecuador (SPDP) impuso una multa de USD 259.644,01 a la Liga Profesional de Fútbol del Ecuador (LIGAPRO) por infracción a la Ley Orgánica de Protección de Datos Personales (LOPDP), marcando un precedente relevante en el ámbito deportivo y en el tratamiento de datos biométricos.
La protección de datos personales se ha consolidado como un derecho fundamental en Ecuador. La Ley Orgánica de Protección de Datos Personales (LOPDP) es el pilar que lo sustenta.
En este contexto, la Superintendencia de Protección de Datos Personales (SPDP) emitió una resolución administrativa sancionadora que marca un precedente relevante para las organizaciones del país.
La resolución, identificada como EXP-SPDP-ICS-PASN-2025-0004, impone una multa significativa a la Liga Profesional de Fútbol del Ecuador (LIGAPRO) por incumplimiento de la normativa vigente.
Este caso deja un mensaje claro:
la autoridad de control está actuando con firmeza frente a las infracciones a la LOPDP.
¿En qué consiste esta resolución?
La resolución administrativa sancionadora es el resultado de un procedimiento iniciado por la SPDP, en el cual se determinó la responsabilidad de LIGAPRO por una infracción tipificada en la LOPDP.
Específicamente, la entidad incurrió en una infracción establecida en el numeral 1 del artículo 68 de la Ley.
¿Cuál fue el problema?
El núcleo de la infracción no fue la inexistencia de una base legal para el tratamiento de datos, sino su aplicación deficiente.
LIGAPRO identificó una base de legitimación en abstracto, pero omitió garantizar las condiciones que la harían jurídicamente válida.
En otras palabras:
- No bastaba con invocar una base legal.
- Era indispensable verificar previamente que se cumplían todos los requisitos habilitantes.
- Esto era especialmente crítico tratándose de datos biométricos, considerados datos sensibles.
La SPDP determinó que existió falta de diligencia en la verificación previa, lo cual constituye infracción.
¿Cuál fue la sanción?
Como consecuencia, la SPDP impuso:
- Multa de USD 259.644,01
- Plazo de 10 días desde la notificación para realizar el pago.
- Advertencia de aplicación de medidas legales en caso de incumplimiento.
Se trata de una sanción económica significativa que refuerza la seriedad del régimen sancionador en Ecuador.
¿Qué dice la ley? Marco normativo aplicable
La Ley Orgánica de Protección de Datos Personales, vigente desde 2021, establece:
- Principios del tratamiento de datos
- Derechos de los titulares
- Obligaciones de responsables y encargados
- Régimen sancionador
En este caso, la infracción se enmarca en el artículo 68, numeral 1, relacionado con incumplimientos de principios y obligaciones fundamentales del tratamiento de datos personales.
Además, la resolución menciona otras disposiciones relevantes:
Artículo 65
Otorga a la SPDP la facultad de expedir medidas correctivas para:
- Evitar la continuidad de la infracción
- Prevenir su repetición
- Corregir o eliminar efectos del incumplimiento
Artículo 66, numeral 2
Si las medidas correctivas se cumplen de forma tardía, parcial o defectuosa, la SPDP puede escalar el caso y aplicar sanciones por infracciones graves mediante procedimiento administrativo sancionador.
Artículo 72
Regula aspectos procesales del procedimiento administrativo sancionador.
Puntos clave de la resolución
Esta decisión deja varias lecciones importantes para el ecosistema empresarial:
1. No basta con tener una base legal
Identificar una base de legitimación no es suficiente.
Debe implementarse correctamente y con debida diligencia.
Especialmente cuando se trata de datos biométricos, la exigencia es aún mayor.
2. Las sanciones económicas son reales y elevadas
Una multa superior a USD 259 mil demuestra que el incumplimiento puede tener un impacto financiero considerable.
El riesgo económico ya no es hipotético.
3. La SPDP ejerce plenamente sus atribuciones
La autoridad cuenta con facultades para:
- Declarar responsabilidades administrativas
- Imponer multas
- Dictar medidas correctivas
- Escalar procedimientos en caso de reincidencia
4. Los datos biométricos requieren máxima precaución
El tratamiento de datos sensibles exige una observancia estricta de requisitos legales.
El margen de error es mínimo.
Implicaciones prácticas para las organizaciones
Este precedente genera obligaciones claras para empresas públicas y privadas.
Revisión integral de procesos
Las organizaciones deben verificar que las bases de legitimación invocadas:
- Existan legalmente
- Estén correctamente aplicadas
- Cumplan todos los requisitos habilitantes
Capacitación interna
El personal que trata datos debe conocer:
- Principios de la LOPDP
- Exigencias específicas para datos sensibles
- Riesgos sancionatorios
Auditorías periódicas
Las auditorías internas permiten detectar fallas antes de que se conviertan en procedimientos sancionadores.
Documentación y evidencia
Mantener registros claros y actualizados es clave para demostrar debida diligencia ante una investigación.
Riesgos y consideraciones
El incumplimiento de la LOPDP puede generar:
- Multas económicas significativas
- Escalamiento de sanciones
- Daño reputacional
- Pérdida de confianza de usuarios
La falta de cumplimiento de medidas correctivas puede agravar la situación y aumentar la severidad de las sanciones.
Implicaciones legales en Ecuador
¿Qué significa esta sanción para las empresas en Ecuador?
Esta resolución confirma que la SPDP puede imponer sanciones económicas elevadas por incumplimiento en el tratamiento de datos personales, especialmente cuando se trata de datos biométricos considerados sensibles.
Conclusión
La resolución contra LIGAPRO marca un antes y un después en la aplicación práctica de la LOPDP en Ecuador.
El mensaje es claro:
La protección de datos personales no es un simple requisito formal.
Es una obligación legal exigible, fiscalizable y sancionable.
Las organizaciones deben comprender que el cumplimiento normativo no es solo una carga regulatoria, sino una inversión estratégica en confianza, reputación y sostenibilidad empresarial.
Preguntas Frecuentes:
1. ¿Por qué fue sancionada LIGAPRO?
Porque aplicó de forma deficiente la base legal para el tratamiento de datos biométricos, incumpliendo requisitos exigidos por la LOPDP.
2. ¿Cuál fue el monto de la multa impuesta?
La SPDP impuso una multa de USD 259.644,01, con un plazo de 10 días para su pago.
3. ¿Qué norma se infringió?
El artículo 68 numeral 1 de la LOPDP, relacionado con obligaciones en el tratamiento de datos personales.
La actuación de la Superintendencia de Protección de Datos Personales evidencia una línea clara de control y sanción en el ámbito deportivo. Así como en el caso de LIGAPRO se analizó la debida diligencia en el tratamiento de datos biométricos, también la autoridad ha aplicado el régimen sancionador frente a la Federación Ecuatoriana de Fútbol por infracciones graves a la LOPDP. Para comprender el alcance de estas decisiones y sus implicaciones jurídicas, te invitamos a revisar nuestro análisis: “La Superintendencia de Protección de Datos Personales y la Sanción a la Federación Ecuatoriana de Fútbol: Un Análisis de la Resolución RES-SPDP-ICS-2025-0006”.
Advertencia:
Este artículo de Lawem Abogados no podrá ser usado como asesoría u opinión legal, en vista de que se trata de un documento puramente informativo.
Si deseas más información sobre este proceso o una asesoría personalizada para tu empresa, no dudes en escribirnos al correo electrónico: info@lawemabogados.com
Autor: José Suasnavas
