Por primera vez desde la entrada en vigor de la Ley Orgánica de Protección de Datos Personales (LOPDP) y su régimen sancionatorio, la Superindentencia de Protección de Datos Personales (SPDP) impuso sanciones graves a dos de organizaciones con gran visibilidad del país:
la Liga Profesional de Fútbol del Ecuador (LigaPro) y la Federación Ecuatoriana de Fútbol (FEF).
¿La razón?
Ambas entidades incumplieron las medidas exigidas por la ley para garantizar un tratamiento adecuado de los datos personales de miles de aficionados que descargaron o utilizaron las aplicaciones Fan ID y Fan FEF.
El caso está comenzando a generar un enorme interés público y no es para menos: demuestra que el derecho a la privacidad ya no es una teoría, sino una obligación legal y ética que afecta a empresas, clubes, comercios, universidades y cualquier organización que recoja o use información personal.
¿Qué pasó realmente con la LigaPro y la FEF?
De acuerdo con el comunicado oficial de la SPDP, las sanciones se produjeron después de un proceso formal y completo, conforme a lo establecido en los artículos 63, 65 y 66 de la LOPDP y en el Código Orgánico Administrativo (COA).
Primero, la autoridad hizo requerimientos de información y realizó inspecciones in situ para evaluar cómo se gestionaban los datos en los aplicativos Fan ID y Fan FEF.
Luego, al detectar posibles incumplimientos, se ordenaron medidas correctivas para que las entidades ajustaran sus procesos.
El problema fue que, pese a las advertencias, las medidas no se cumplieron total o parcialmente.
Esto llevó a la SPDP a abrir un Procedimiento Administrativo Sancionador (PAS), con todas sus etapas:
- Acto de inicio,
- Fase instructora, y
- Fase resolutoria.
Al final, la autoridad confirmó la existencia de una infracción grave conforme al artículo 68, numeral 1 de la LOPDP, que sanciona la falta de implementación de medidas adecuadas para garantizar la seguridad y legitimidad del tratamiento de datos personales.
El punto crítico: el consentimiento no fue válido
El hallazgo más relevante del caso fue que la SPDP comprobó que 14.398 personas habían entregado sus datos personales sin que su consentimiento sea válido.
Esto significa que los usuarios de las aplicaciones no fueron informados adecuadamente sobre:
- Qué datos se recolectaban,
- Con qué finalidad se usarían,
- Quién los almacenaría, y
- Si serían compartidos con terceros.
En otras palabras, el consentimiento no fue libre, informado, específico ni inequívoco, condiciones exigidas por los artículos 7 y 8 de la LOPDP.
Por este motivo, la SPDP ordenó:
- La eliminación de los datos personales recolectados sin base legal, y
- La notificación individual a todos los titulares afectados para informarles que su consentimiento fue inválido.
Este punto es fundamental. El consentimiento digital no se obtiene con un simple clic en un casillero que diga “acepto”.
Debe estar respaldado por información clara, verificable y por mecanismos que demuestren que el titular comprendió y aceptó realmente el tratamiento de sus datos.
Las sanciones impuestas
Las multas impuestas reflejan el carácter proporcional y ejemplarizante que prevé la ley ecuatoriana.
| Entidad | Multa (USD) | Tipo de infracción | Fundamento |
|---|---|---|---|
| LigaPro | 259,644.01 | Grave | Falta de medidas adecuadas y consentimiento inválido de 14,398 titulares. |
| FEF | 194,856.16 | Grave | Deficiencias en seguridad, transparencia y registro de tratamiento. |
Además de las multas, ambas organizaciones deberán:
- Actualizar su Registro de Actividades de Tratamiento (RAT).
- Implementar una Política de Protección de Datos Personales alineada con la LOPDP y su reglamento.
- Eliminar los datos personales obtenidos sin consentimiento válido.
- Notificar a los titulares sobre la invalidez del consentimiento.
Estas medidas no deben ser vistas simplemente como sanciones, sino también acciones correctivas para restablecer la confianza y la legalidad del tratamiento.
¿Por qué se considera una infracción grave?
Según el artículo 68, numeral 1, de la LOPDP, se considera infracción grave:
“La falta de implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes para garantizar un tratamiento adecuado y conforme con la normativa vigente.”
En palabras simples, esto abarca todo lo que una organización debe hacer para demostrar cumplimiento:
- Contar con un Delegado de protección de datos,
- Tener políticas y procedimientos internos,
- Aplicar medidas de seguridad,
- Mantener evidencia del consentimiento,
- Realizar evaluaciones de impacto, y
- Responder de forma oportuna a los titulares.
Cuando una empresa o entidad falla en varios de estos aspectos (como ocurrió con la FEF y la LigaPro), la infracción pasa de leve a grave, y con ello las sanciones aumentan significativamente.
El mensaje detrás de la sanción: la confianza digital se construye con responsabilidad
Más allá del monto de las multas, lo que realmente importa de este caso es el mensaje que la SPDP envía a todo el país:
“El manejo de los datos personales exige rigor, transparencia y responsabilidad proactiva.”
Esto significa que la confianza del ciudadano digital (ese usuario que comparte sus datos para comprar, registrarse o participar en una app) no puede darse por sentada. Debe ganarse con políticas claras, medidas de seguridad adecuadas y una cultura organizacional que respete la privacidad como un derecho humano.
La SPDP, al sancionar a instituciones tan visibles, establece un precedente nacional: La protección de datos personales no es un tema opcional ni un trámite más, sino una obligación que atraviesa la estrategia, la tecnología y la comunicación de todas las organizaciones.
¿Qué pueden aprender las empresas de este caso?
Las lecciones son muchas, y todas aplicables a empresas privadas, instituciones públicas, universidades, cooperativas o startups tecnológicas.
Aquí las más importantes:
a. El consentimiento debe ser claro y verificable
No basta con colocar una casilla de “acepto los términos”. Debe existir un texto comprensible, que explique qué datos se recogen, para qué se usarán y con quién se compartirán.
b. El incumplimiento no se corrige solo con buena intención
La SPDP demostró que incluso entidades que colaboraron en las inspecciones fueron sancionadas por no cumplir las medidas correctivas ordenadas. Por tanto, el cumplimiento debe ser proactivo y continuo, no reactivo.
c. Las políticas internas deben estar vivas
Muchas empresas redactan políticas de privacidad solo para “cumplir con el requisito”. Sin embargo, la SPDP evalúa si esas políticas se aplican en la práctica, si los empleados las conocen y si están alineadas con la operación real de la empresa.
d. El Delegado de Protección de Datos (DPD) es clave
La figura del delegado, establecida en los artículos 48 a 51 del Reglamento General de la LOPDP y en la Resolución SPDP-SPD-2025-0028-R, es esencial para coordinar la gestión del cumplimiento y evitar errores como los del Fan ID.
Tener un DPD no es un lujo: es una inversión en seguridad jurídica.
e. La reputación cuesta más que una multa
Más allá del impacto financiero, el daño reputacional de una sanción pública puede ser mucho mayor. La confianza de los usuarios y patrocinadores puede verse afectada si perciben que la organización no protege sus datos con seriedad.
¿Cómo evitar caer en una situación similar?
A partir de este precedente, las organizaciones deberían adoptar una estrategia integral de cumplimiento en protección de datos que contemple:
- Diagnóstico inicial: identificar los riesgos y vacíos normativos.
- Mapa de tratamientos: levantar un Registro de Actividades de Tratamiento (RAT) completo.
- Evaluación de impacto (EIPD): analizar los posibles efectos sobre los derechos de los titulares.
- Gestión del consentimiento: diseñar mecanismos de aceptación claros y documentados.
- Capacitación continua: formar a colaboradores sobre privacidad y ciberseguridad.
- Auditorías periódicas: revisar procedimientos y corregir deficiencias.
- Plan de respuesta a incidentes: definir protocolos en caso de fugas o vulneraciones.
Estas acciones no solo reducen el riesgo de sanciones, sino que fortalecen la confianza y reputación digital de la marca.
El impacto positivo de las sanciones
Aunque suene contradictorio, estas primeras sanciones tienen un efecto positivo para el ecosistema digital ecuatoriano.
Muestran que:
- La ley ya está viva y se aplica.
- La SPDP actúa con independencia y rigor técnico.
- Las empresas deben tomarse en serio la protección de los datos personales.
Además, este precedente ayuda a crear un entorno de competencia justa, donde las organizaciones que cumplen con la ley no se vean en desventaja frente a las que la ignoran.
Una nueva cultura digital basada en la confianza
El caso Fan ID y Fan FEF nos recuerda algo esencial: el consentimiento no es un obstáculo, sino la base de la confianza. Cada vez que un usuario comparte su información personal, entrega algo más que un dato: entrega su confianza. Y esa confianza se pierde en segundos si siente que fue engañado o que su información fue usada sin permiso.
Por eso, este hito debe inspirar a las organizaciones a construir una cultura de respeto por la privacidad, donde los datos personales se traten con la misma importancia que las finanzas, la marca o la tecnología.
La era de la rendición de cuentas digital ha comenzado
La SPDP ha dado un paso decisivo para consolidar el sistema de protección de datos en el Ecuador. Las sanciones contra la LigaPro y la FEF no son solo un castigo, sino una lección institucional: la privacidad no se improvisa, se gestiona.
A partir de ahora, ninguna empresa podrá decir “no sabía” o “no era tan importante”. La ley es clara, las sanciones son reales, y el precedente ya está sentado.
El futuro digital del Ecuador depende de que todos; empresas, instituciones, medios y ciudadanos, aprendamos a respetar los datos personales como lo que son: una extensión de la identidad humana.
La protección de datos no es una moda ni debe ser visto como un simple trámite: es una forma de hacer las cosas bien.
