Facebook Linkedin Instagram Envelope Tiktok

Publicaciones

La Superintendencia de Datos Sanciona a LIGAPRO: Lecciones Clave sobre el FAN ID y Tus Datos Personales en Ecuador

Home » Publicaciones » La Superintendencia de Datos Sanciona a LIGAPRO: Lecciones Clave sobre el FAN ID y Tus Datos Personales en Ecuador

En un entorno cada vez más digitalizado, la protección de los datos personales se ha convertido en una prioridad. En Ecuador, la Ley Orgánica de Protección de Datos Personales (LOPDP) y la Superintendencia de Protección de Datos Personales (SPDP) garantizan este derecho fundamental.

Recientemente, una resolución de la SPDP colocó en el centro del debate a la Liga Profesional de Fútbol del Ecuador (LIGAPRO). Esta decisión generó importantes reflexiones sobre la forma en que las organizaciones gestionan nuestra información personal.

La Resolución Nro. RES-SPDP-ICS-2025-0005, emitida por la Intendencia General de Control y Sanción de la SPDP, sancionó a LIGAPRO por incumplimientos relacionados con la protección de datos personales, específicamente en el contexto del sistema FAN ID. Este caso constituye un recordatorio claro para empresas y ciudadanos sobre la importancia de la privacidad y el tratamiento responsable de la información.

¿En qué consiste esta sanción?

La Superintendencia de Protección de Datos Personales es la autoridad encargada de velar por el cumplimiento de la LOPDP en Ecuador.

En este caso, inició un expediente administrativo sancionador contra LIGAPRO (Expediente Nro. EXP-SPDP-ICS-PASN-2025-0002). Tras el análisis correspondiente, determinó que la entidad incurrió en una infracción.

La sanción se centra en la forma en que LIGAPRO implementó y gestionó el sistema FAN ID, especialmente respecto del tratamiento de datos personales biométricos.

La autoridad concluyó que no se aplicaron de manera efectiva los principios de protección de datos desde el diseño y por defecto. Esto generó una ampliación injustificada de las finalidades para las cuales se recolectaban dichos datos.

Es relevante señalar que no es la primera vez que LIGAPRO es sancionada por la SPDP. La resolución indica que ya había sido sancionada previamente por una infracción grave. Esto configura una reiteración, aunque por conductas distintas.

¿Qué dice la ley sobre la protección de datos en Ecuador?

El derecho a la protección de datos personales es un pilar fundamental en el ordenamiento jurídico ecuatoriano.

La Constitución, en el numeral 19 del artículo 66, reconoce y garantiza:

“El derecho a la protección de datos de carácter personal, que incluye el acceso y la decisión sobre información y datos de este carácter, así como su correspondiente protección. La recolección, archivo, procesamiento, distribución o difusión de estos datos requerirán la autorización del titular o el mandato de la ley”.

Este mandato se desarrolla en la Ley Orgánica de Protección de Datos Personales (LOPDP), que establece principios, derechos y obligaciones aplicables al tratamiento de datos personales.

La norma busca asegurar que la información sea utilizada de manera lícita, leal y transparente, siempre con una finalidad específica y claramente delimitada.

Marco normativo en Ecuador

El marco normativo que regula la protección de datos en el país se compone principalmente de:

  • La Constitución de la República del Ecuador (CRE), que consagra el derecho a la protección de datos personales como un derecho fundamental.
  • La Ley Orgánica de Protección de Datos Personales (LOPDP), que desarrolla los principios aplicables, los derechos de los titulares, las obligaciones de responsables y encargados del tratamiento, así como el régimen sancionador.

Estos instrumentos constituyen la base jurídica sobre la cual la Superintendencia ejerce sus funciones de control y sanción.

Puntos clave de la resolución

1. Protección de datos desde el diseño y por defecto (artículo 67 LOPDP)

La infracción principal consistió en no aplicar este principio.

Todo sistema que implique tratamiento de datos personales debe diseñarse incorporando, desde su origen, mecanismos que garanticen la privacidad. Por defecto, únicamente deben tratarse los datos estrictamente necesarios para cumplir una finalidad específica.

2. Finalidad del tratamiento

LIGAPRO sostuvo que el sistema FAN ID fue implementado para cumplir con la Ley Orgánica de Prevención y Sanción de la Violencia en el Deporte, con énfasis en la seguridad en los estadios.

Sin embargo, la SPDP determinó que la implementación excedió esa finalidad legítima y acotada. Se extendió a ámbitos comerciales y operativos sin la debida justificación legal ni las salvaguardas necesarias.

3. Tratamiento de datos biométricos

Los datos biométricos, como huellas dactilares o reconocimiento facial, son especialmente sensibles.

La resolución subraya que la ausencia de una arquitectura técnica, organizativa y jurídica adecuada para limitar su tratamiento incrementa el riesgo de uso indebido y desviación de finalidad.

4. Reiteración de infracciones

Aunque la infracción actual es distinta a la anterior, la existencia de una sanción previa demuestra la necesidad de implementar medidas correctivas efectivas y sostenidas en el tiempo.

Implicaciones prácticas para las organizaciones

Esta resolución deja enseñanzas claras para las entidades que tratan datos personales en Ecuador:

  • Integrar la protección de datos desde la fase de diseño de cualquier sistema o proceso.
  • Definir con claridad la finalidad del tratamiento, asegurando que sea legítima, específica y limitada.
  • Aplicar el principio de minimización de datos: recolectar únicamente lo estrictamente necesario.
  • Adoptar medidas reforzadas cuando se trate de datos sensibles, especialmente biométricos.

Implicaciones para los ciudadanos

Para los ciudadanos, la resolución refuerza la vigencia de su derecho a la protección de datos personales.

También evidencia la capacidad de la autoridad para sancionar incumplimientos y recuerda la importancia de ser conscientes sobre qué información compartimos y con qué propósito.

Riesgos y consideraciones

El incumplimiento de la LOPDP puede generar sanciones económicas relevantes y daños reputacionales significativos.

Más allá de la multa, la pérdida de confianza de los usuarios puede tener consecuencias a largo plazo.

Para mitigar estos riesgos, las organizaciones deberían:

  • Realizar auditorías internas de sus procesos de tratamiento de datos.
  • Capacitar de forma continua a su personal sobre la LOPDP.
  • Designar un delegado de protección de datos cuando la ley lo exija.
  • Alinear sus sistemas tecnológicos y políticas internas con los principios de protección de datos desde el diseño y por defecto.

Conclusión

La sanción impuesta a LIGAPRO constituye un precedente relevante en materia de protección de datos en Ecuador.

Este caso reafirma la necesidad de cumplir estrictamente con la LOPDP, especialmente en lo referente a la protección de datos desde el diseño y la limitación de la finalidad del tratamiento.

Para las organizaciones, representa una advertencia clara sobre la importancia del cumplimiento normativo. Para los ciudadanos, es una confirmación de que sus derechos a la privacidad y al control de su información cuentan con mecanismos efectivos de tutela.

Preguntas Frecuentes:

1. ¿Por qué fue sancionada LIGAPRO por la Superintendencia de Protección de Datos?

Fue sancionada por no aplicar correctamente el principio de protección de datos desde el diseño en el sistema FAN ID.
La autoridad determinó que el tratamiento de datos biométricos excedió su finalidad legítima.

2. ¿Es legal recolectar datos biométricos como reconocimiento facial en Ecuador?

Sí, pero solo bajo condiciones estrictas establecidas en la LOPDP.
Se requiere justificación clara, finalidad específica y medidas de seguridad reforzadas.

3. ¿Qué puede hacer un ciudadano si considera que sus datos fueron mal utilizados?

Puede ejercer sus derechos ante la organización responsable del tratamiento.
También puede presentar una denuncia ante la Superintendencia de Protección de Datos Personales.

La protección de datos no solo implica sanciones frente al incumplimiento, sino también el reconocimiento a aquellas organizaciones que adoptan estándares elevados de cumplimiento y gestión responsable de la información. La Superintendencia ha destacado la importancia de promover una cultura preventiva y de mejora continua en esta materia. Conoce más sobre este enfoque en nuestro artículo: Reconocimiento de Buenas Prácticas en Protección de Datos: ¿Qué Dice la Superintendencia en Ecuador?

Advertencia:

Este artículo de Lawem Abogados no podrá ser usado como asesoría u opinión legal, en vista de que se trata de un documento puramente informativo.

Si deseas más información sobre este proceso o una asesoría personalizada para tu empresa, no dudes en escribirnos al correo electrónico: info@lawemabogados.com

Autor: José Suasnavas

cOMPARTIR

Quito

Guayaquil

  • Av. 9 de octubre y calle Chile
  • Edificio Gran Pasaje, piso 9, oficina 911

¿Hablamos?

Contáctanos a través de tu red social favorita.

Facebook Linkedin Instagram Envelope Whatsapp
Política de Protección de Datos Personales