RegulacionLOPDP · casos reales · 2026

Multas de la LOPDP en Ecuador: lo que LigaPro y la FEF pagaron y cómo evitar sanciones en 2026

El 20 de enero de 2026 la SPDP emitió las dos primeras multas firmes por infracción grave a la LOPDP: $259.644 a LigaPro y $194.856 a la FEF. Las dos compartieron el mismo error: capturar datos sin medidas técnicas suficientes y sin política real. Acá va el detalle exacto y la lista de fallas que toda PYME debería revisar hoy.

28 de mayo de 202610 minNixon Marrasquin·Fundador NM Tech Studio

Edición · Mayo 2026

Durante años, la pregunta sobre la LOPDP en Ecuador fue 'pero, ¿alguien va a multar?'. El 20 de enero de 2026 esa pregunta murió. La Superintendencia de Protección de Datos Personales (SPDP) emitió las resoluciones RES-SPDP-ICS-2025-0005 y RES-SPDP-ICS-2025-0006: $259.644,01 contra LigaPro y $194.856,16 contra la FEF. Las dos por la misma raíz: capturar datos personales sin medidas técnicas suficientes ni política formal. Si manejás una app, una base de clientes o un sitio que recolecta datos, este post es la radiografía exacta de qué hicieron mal y cómo no repetirlo.

Los números que ya nadie puede ignorar

$259.644

Multa a LigaPro por infracción grave (Resolución RES-SPDP-ICS-2025-0005)

SPDP, 20 de enero de 2026

$194.856

Multa a la FEF por infracción grave (Resolución RES-SPDP-ICS-2025-0006)

SPDP, 20 de enero de 2026

14.398

Titulares que LigaPro debe notificar por consentimiento inválido en la app FAN ID

Resolución SPDP

Art. 68 #1

Disposición incumplida en ambos casos: falta de medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes

Ley Orgánica de Protección de Datos Personales

Caso LigaPro: qué pasó con FAN ID

FAN ID es la aplicación que LigaPro implementó para identificar hinchas en estadios. Recolectaba datos personales y biométricos para emitir credenciales digitales de acceso. La SPDP encontró tres fallas concretas: el consentimiento solicitado en la app no cumplía los requisitos de la LOPDP, no había protección de datos por diseño ni por defecto, y las medidas de seguridad sobre los biométricos no eran ni concretas ni verificables. El consentimiento inválido contaminó toda la base: 14.398 titulares deben ser notificados y sus datos eliminados.

El detonante: biometría sin garantías

Los datos biométricos son categoría sensible bajo la LOPDP. Procesarlos requiere consentimiento expreso, evaluación de impacto previa y medidas de seguridad reforzadas (cifrado en reposo, control de acceso por rol, segregación de datasets). FAN ID falló en las tres. Para cualquier empresa que use reconocimiento facial, huella o iris en accesos físicos, este caso es manual de qué no hacer.

Caso FEF: cuando el problema es la base, no la app

La Federación Ecuatoriana de Fútbol operaba la app Fan FEF para hinchas. La SPDP determinó responsabilidad administrativa por tres motivos: Registro de Actividades de Tratamiento (RAT) desactualizado, ausencia de Política de Protección de Datos formal y consentimiento inválido del titular dentro de la aplicación. La multa de $194.856,16 no fue por la app en sí, sino por la ausencia de la infraestructura interna de cumplimiento detrás de ella.

Panel de cumplimiento LOPDP con Registro de Actividades de Tratamiento y política de privacidad — El RAT actualizado y la política formal son lo primero que la SPDP pide cuando inicia un expediente. Si no existen, la multa no se discute, se calcula.

Las 5 fallas comunes detrás de las dos multas

1. Consentimiento mal recogido

Las dos apps tenían botones de 'aceptar política' pero sin granularidad por finalidad. El consentimiento debe ser libre, específico, informado e inequívoco. Un checkbox premarcado no sirve; un único 'aceptar todo' que mete marketing, biometría y analítica en la misma casilla, tampoco. La regla práctica: una casilla por finalidad, sin marcar por defecto.

2. Sin Registro de Actividades de Tratamiento (RAT)

El RAT documenta qué datos trata la empresa, con qué finalidad, base legal, plazos de retención, encargados y transferencias. La FEF no lo tenía actualizado. Es el primer documento que la SPDP exige cuando inicia un expediente. Si no existe, la empresa entra a la mesa de negociación sin defensa.

3. Política de protección de datos genérica o inexistente

Copiar la política de un sitio español, dejarla colgada en un PDF en el footer y nunca enlazarla desde la app no es cumplir. La política debe declarar responsable real, finalidades, base legal, derechos ARCO y portabilidad, encargados de tratamiento y procedimiento de respuesta a brechas. La FEF fue sancionada justamente por no tenerla formalmente.

4. Sin protección de datos por diseño ni por defecto

El principio de privacy by design exige que el sistema minimice los datos desde el primer commit. La app FAN ID recolectaba datos biométricos sin justificar que fueran necesarios para la finalidad declarada. La SPDP penaliza tanto el exceso de recolección como la falta de medidas técnicas de protección al guardar y transmitir esos datos.

5. Medidas de seguridad imprecisas

Decir 'usamos medidas razonables' no funciona. La SPDP exige evidencia concreta: cifrado en tránsito y en reposo, control de acceso por rol, logs de auditoría, segregación de ambientes, backup cifrado, plan de respuesta a incidentes. Si no puedes probarlo con documentos y configuración real, no existe para la autoridad.

Cuánto te dolería el mismo error a tu escala

Facturación anual del negocio	Multa leve (0,1%–0,7%)	Multa grave (0,7%–1%)	Equivalente para entender el golpe
$200.000	$200 a $1.400	$1.400 a $2.000	1 a 2 meses de planilla de un equipo chico
$500.000	$500 a $3.500	$3.500 a $5.000	Compra de una camioneta usada
$1.000.000	$1.000 a $7.000	$7.000 a $10.000	Sueldo anual de un middle developer
$5.000.000	$5.000 a $35.000	$35.000 a $50.000	Inversión completa en un ERP a medida
$20.000.000	$20.000 a $140.000	$140.000 a $200.000	Equipo de tecnología trimestral

$200.000

Multa leve (0,1%–0,7%): $200 a $1.400
Multa grave (0,7%–1%): $1.400 a $2.000
Equivalente para entender el golpe: 1 a 2 meses de planilla de un equipo chico

$500.000

Multa leve (0,1%–0,7%): $500 a $3.500
Multa grave (0,7%–1%): $3.500 a $5.000
Equivalente para entender el golpe: Compra de una camioneta usada

$1.000.000

Multa leve (0,1%–0,7%): $1.000 a $7.000
Multa grave (0,7%–1%): $7.000 a $10.000
Equivalente para entender el golpe: Sueldo anual de un middle developer

$5.000.000

Multa leve (0,1%–0,7%): $5.000 a $35.000
Multa grave (0,7%–1%): $35.000 a $50.000
Equivalente para entender el golpe: Inversión completa en un ERP a medida

$20.000.000

Multa leve (0,1%–0,7%): $20.000 a $140.000
Multa grave (0,7%–1%): $140.000 a $200.000
Equivalente para entender el golpe: Equipo de tecnología trimestral

El detalle clave que se pasa por alto: la multa se calcula sobre la facturación anual del año anterior. Para LigaPro y la FEF, organizaciones grandes, el monto se ubicó en la franja alta de las infracciones graves. Para una PYME ecuatoriana con $500.000 anuales en ventas, una infracción grave del 0,85% son $4.250: suficiente para frenar la nómina de un mes.

Lo que la SPDP exige cuando entra a tu empresa

Cuando se inicia un expediente, el primer pedido es el RAT, la política de privacidad, el listado de encargados (DPA firmados), evidencia de consentimiento de los titulares y el procedimiento de respuesta a brechas. Si esos cinco documentos existen y están al día, la conversación arranca en defensa técnica; si no existen, arranca calculando la multa.

Plan defensivo de 14 días para no terminar en la próxima resolución

1Día 1 a 2: inventario de datos personales que recolectás (web, app, ERP, CRM, llamadas, WhatsApp). Listá cada formulario y campo capturado.
2Día 3 a 5: redacta el RAT con finalidad, base legal, retención y encargados por cada tratamiento. Si tienes una app, declárala con su flujo de captura.
3Día 6 a 7: revisa la política de privacidad. Si es plantilla copiada o genérica, reescríbela con datos reales del responsable ecuatoriano.
4Día 8 a 9: auditá cada formulario y onboarding de app: checkboxes sin marcar, casillas por finalidad, doble opt-in en newsletter.
5Día 10 a 11: firma DPA con Google, Meta, OpenAI, hosting, CRM y pasarelas. Documenta los que ya están firmados dentro de la cuenta.
6Día 12 a 13: define canal y plantilla de respuesta a brechas. 5 días calendario para notificar a la SPDP y, si el riesgo es alto, también a los titulares.
7Día 14: prueba real con un cliente piloto: pediles que ejerzan un derecho ARCO y respondé en menos de 15 días. Si fallás esa prueba, tu proceso está vivo solo en papel.

Lo que hacemos en NM Tech Studio cuando construimos apps o sistemas a medida en Ecuador es entregar el RAT base, la política de privacidad parametrizada con los datos del responsable y el módulo de consentimiento granular ya conectado al backend. Eso convierte una app que en condiciones normales tomaría meses ponerse en regla en una app que sale al aire con cumplimiento desde el primer día.

Si tu negocio recién está aterrizando el cumplimiento del sitio web base, la guía completa de qué le exige la LOPDP a tu sitio en 2026 la cubrimos en otro artículo del blog. Y si lo que estás por desplegar usa IA o decisiones automatizadas (scoring, chatbots, OCR), la norma específica que aplica es la SPDP-SPD-2026-0009-R: el detalle de obligaciones lo tenemos en el post sobre IA y LOPDP.

Preguntas frecuentes

¿Cuánto fue exactamente la multa a LigaPro y a la FEF?

La SPDP impuso $259.644,01 a LigaPro por la aplicación FAN ID (Resolución RES-SPDP-ICS-2025-0005) y $194.856,16 a la Federación Ecuatoriana de Fútbol por la aplicación Fan FEF (Resolución RES-SPDP-ICS-2025-0006). Ambas resoluciones se emitieron el 20 de enero de 2026 y constituyen las primeras sanciones por infracción grave del régimen LOPDP en Ecuador.

¿Qué incumplió específicamente LigaPro?

La SPDP determinó que LigaPro infringió el artículo 68, numeral 1 de la LOPDP por falta de medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes para proteger datos personales. En la app FAN ID el consentimiento del titular no era válido, no había protección de datos por diseño y por defecto, y las medidas de seguridad sobre datos biométricos no eran concretas ni verificables.

¿Mi PYME con baja facturación está fuera del riesgo?

No. La LOPDP no excluye por tamaño. La multa se calcula sobre la facturación anual del año anterior, lo que significa que el impacto absoluto en dólares es menor, pero el porcentaje es el mismo: 0,1% a 0,7% para leves, 0,7% a 1% para graves. Para una PYME con $500.000 de facturación anual, una multa grave puede llegar a $5.000: suficiente para frenar nómina o congelar inversión.

¿Qué documentos tengo que tener listos por si llega una inspección?

Cinco documentos: el Registro de Actividades de Tratamiento (RAT) actualizado, la política de privacidad formal con responsable real declarado, los acuerdos de tratamiento (DPA) firmados con cada encargado (Google, Meta, hosting, CRM, pasarelas), evidencia de consentimiento de los titulares en cada formulario y el procedimiento documentado de respuesta a brechas con plazos. Si los cinco existen y están al día, la conversación con la SPDP empieza desde otro lugar.

¿Las multas se publican y son consultables?

Sí. Las resoluciones sancionadoras se publican en el portal oficial de la SPDP. Tanto la de LigaPro como la de la FEF están disponibles públicamente. Para una empresa que vive de su marca, la exposición reputacional pesa tanto o más que la multa monetaria: la noticia de las dos primeras sanciones circuló en medios nacionales como El Universo, Primicias y El Mercurio en enero y febrero de 2026.

Servicio relacionado

Integramos tu sistema al SRI sin parchar lo que ya tienes

Transmisión inmediata, dashboard de salud y firma electrónica conectados a tu ERP o tienda.

Cero multas SRI desde 2026
Validación previa al pago

Desde $4,000 USDSolicitar diagnóstico

Catálogo NM Tech Studio

Precios públicos desde 2021

Sin sorpresas. Sin "cotizar para conocer precio".

Habla con un ingenieroRespuesta en menos de 30 min · Lun a VieWhatsApp directo