top of page
Buscar

Sanción a LigaPro y FEF por Tratamiento Indebido de Datos Personales

  • Foto del escritor: Denisse Unda
    Denisse Unda
  • hace 44 minutos
  • 3 Min. de lectura

La Superintendencia de Protección de Datos Personales (SPDP) ha impuesto las primeras sanciones significativas bajo la Ley Orgánica de Protección de Datos Personales (LOPDP). Las organizaciones sancionadas fueron:


  • LigaPro: USD 259.644,01

  • Federación Ecuatoriana de Fútbol (FEF): USD 194.856,16


Ambas entidades estaban implementando el sistema Fan ID, basado en reconocimiento facial, para identificar a aficionados y personal dentro de los estadios. Este proyecto implicaba la recolección de datos biométricos, una categoría considerada sensible y de tratamiento excepcional bajo la legislación ecuatoriana.


La SPDP inició una investigación previa en diciembre de 2024, tras identificar inconsistencias, declaraciones públicas inexactas sobre supuestas autorizaciones del proyecto y señales de que los datos estaban siendo tratados sin la base legal apropiada.


¿Qué detectó la SPDP?

La autoridad concluyó que tanto LigaPro como la FEF incurrieron en infracciones graves, en particular por:


  1. Tratamiento de datos biométricos sin legitimación válida

Los datos de 14.398 titulares fueron procesados sin contar con un consentimiento informado, explícito y verificable, como exige la LOPDP para el tratamiento de datos sensibles.


  1. Incumplimiento de medidas correctivas

A pesar de que la SPDP emitió directrices iniciales para corregir los procesos, estas no fueron atendidas adecuadamente, lo que dio lugar al inicio del procedimiento sancionador.


  1. Fallas en el cumplimiento normativo específico:

LigaPro

FEF

  • No implementó medidas técnicas, administrativas, organizativas y jurídicas suficientes para resguardar los datos biométricos.

  • Deberá notificar a los titulares y eliminar los datos tratados sin consentimiento válido.

  • No actualizó su Registro de Actividades de Tratamiento (RAT).

  • No implementó una Política de Protección de Datos conforme a la LOPDP.

  • Deberá realizar las mismas notificaciones a titulares y eliminación de datos que LigaPro.

Fundamento jurídico

Las decisiones de la SPDP se sustentan en:

  • Ley Orgánica de Protección de Datos Personales (LOPDP)

  • Reglamento General a la LOPDP

  • Normativa secundaria sancionatoria expedida por la SPDP

  • Código Orgánico Administrativo (COA), como marco procedimental de investigación y sanción


La SPDP enfatizó que el tratamiento de datos biométricos (art. 26 LOPDP) solo puede realizarse bajo condiciones estrictas, con bases de legitimación específicas, altos estándares de seguridad y absoluta transparencia hacia los titulares.


Lecciones clave para empresas y organizaciones

Estas sanciones marcan un precedente histórico en Ecuador y dejan lecciones claras para cualquier organización que trate datos personales:


  1. Los datos biométricos exigen máxima rigurosidad: Son datos sensibles y de tratamiento excepcional. Su uso sin base legal puede acarrear multas significativas y la imposición de medidas correctivas inmediatas.

  2. El consentimiento debe ser válido y demostrable: No basta con una información general o ambigua: el consentimiento debe ser explícito, verificable, informado y libre de ambigüedades.

  3. El cumplimiento debe estar documentado: Un RAT actualizado, políticas internas vigentes y controles técnicos robustos son elementos indispensables del modelo de cumplimiento.

  4. La SPDP está fiscalizando activamente: El mensaje es claro: la autoridad no solo emite recomendaciones, sino que aplica sanciones efectivas y exige acciones inmediatas, como la notificación a titulares y la eliminación de datos.

  5. La gobernanza de datos es ahora un requerimiento básico: Las organizaciones deben incorporar la privacidad desde el diseño, gestionar riesgos y asegurar procesos de mejora continua, especialmente cuando utilizan tecnologías de alto impacto como biometría, IA, videovigilancia o reconocimiento facial.


Recomendaciones para nuestros clientes

A la luz de este precedente, recomendamos a todas las organizaciones:

  1. Realizar una auditoría de datos e identificar tratamientos que involucren datos sensibles o de alto riesgo.

  2. Revisar la validez y documentación de los consentimientos obtenidos.

  3. Actualizar el Registro de Actividades de Tratamiento.

  4. Implementar o fortalecer la Política de Protección de Datos Personales.

  5. Revisar contratos con proveedores y sistemas que procesen datos biométricos o sensibles.

  6. Establecer medidas técnicas de seguridad (cifrado, acceso restringido, registros de acceso, anonimización o seudonimización, según corresponda).

  7. Designar un Delegado de Protección de Datos cuando la normativa lo exija o resulte recomendable por el nivel de riesgo.

  8. Preparar mecanismos de notificación a titulares ante eventuales tratamientos incorrectos o incidentes de seguridad.


ree

La protección de datos no es una opción: es una responsabilidad legal, ética y empresarial.


Atentamente,

Jefa del Departamento de Compliance y

Protección de Datos Personales.







Preguntas frecuentes

¿Por qué fueron sancionadas LigaPro y FEF por la SPDP?

Por tratar datos biométricos sin consentimiento válido y no cumplir con medidas correctivas exigidas por la SPDP, según la LOPDP.

¿Qué implica el tratamiento de datos biométricos en Ecuador?

Implica un tratamiento excepcional bajo la LOPDP. Requiere bases legales sólidas, seguridad reforzada y consentimiento explícito.

¿Qué es el Fan ID en Ecuador?

Es un sistema de reconocimiento facial utilizado por LigaPro y FEF para el control de acceso a estadios, que generó preocupación por uso indebido de datos personales.

¿Qué debe tener un consentimiento válido según la LOPDP?

Debe ser informado, explícito, verificable y libre de ambigüedades. No basta con aceptación general o tácita.

¿Qué recomendaciones dio la SPDP tras estas sanciones?

Actualizar el registro de tratamiento, fortalecer políticas internas, asegurar medidas técnicas, y notificar a los titulares afectados.

ree

aviso legal

Aviso Legal

El contenido de este blog se proporciona únicamente con fines informativos y educativos y no debe considerarse como asesoramiento legal.

 

La normativa en Ecuador está sujeta a modificaciones y actualizaciones que pueden afectar la aplicabilidad y precisión de los contenidos publicados aquí.

 

No garantizamos que la información presentada sea precisa, completa o actualizada en el momento de su lectura. Por lo tanto, no se debe interpretar que los posts pasados reflejan necesariamente la normativa vigente.

 

Recomendamos encarecidamente la consulta con nuestros abogados calificados para obtener asesoramiento específico y personalizado.

Oficinas

Quito y Guayaquil

Teléfono

+59322232720

Email

info@lmzabogados.com

Conecta con nosotros

  • LinkedIn
  • Facebook
  • Instagram
  • https://twitter.com/MZAbogadosEC
bottom of page