Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 362

Dosimetría punitiva y responsabilidad proactiva:

Régimen sancionatorio en el tratamiento de datos en

Ecuador

Punitive dosimetry and proactive accountability: The Sanctioning

Regime for Personal Data Processing in Ecuador

Plúas-Espinoza, Denisse Carolina

Cabrera-Moreira Joel David

https://orcid.org/0000-0001-8397-254X

https://orcid.org/0000-0003-1868-2225

dpluase@uteq.edu.ec

jcabreram4@uteq.edu.ec

Universidad Técnica Estatal de Quevedo, Ecuador,

Quevedo.

Universidad Técnica Estatal de Quevedo, Ecuador,

Quevedo.

Rendón-Guerra Gina del Pilar

https://orcid.org/0000-0002-7197-4764

grendon@uteq.edu.ec

Universidad Técnica Estatal de Quevedo, Ecuador,

Quevedo.

Autor de correspondencia

DOI / URL: https://doi.org/10.55813/gaea/rcym/v4/n2/200

Resumen: La entrada en vigor del régimen

sancionatorio de la Ley Orgánica de Protección de Datos

Personales en mayo de 2023 marcó el inicio de la

actividad sancionadora de la Superintendencia de

Protección de Datos Personales en Ecuador. Este

estudio analiza la aplicación del régimen sancionatorio a

través de las cuatro primeras resoluciones dictadas

contra la LIGAPRO y la FEF, mediante un enfoque

cualitativo de tipo dogmático-jurídico y estudio de caso

múltiple. Los resultados revelan que la SPDP aplica

consistentemente los criterios de peso de la infracción,

seriedad, intencionalidad y reiteración, distinguiendo

entre infracciones leves y graves. Se utiliza un sistema

algorítmico denominado MPRIV-1 que reduce la

discrecionalidad mediante una curva de distribución de

probabilidades Monte Carlo. Se concluye que las

primeras resoluciones consolidan una doctrina

administrativa que materializa los principios de

responsabilidad proactiva y protección de datos desde el

diseño, estableciendo criterios de predictibilidad para los

responsables del tratamiento.

Palabras clave: Protección de datos personales;

régimen sancionatorio; responsabilidad proactiva;

dosimetría punitiva, SPDP.

Artículo Científico

Received: 27/Mar/2026

Accepted: 21/Abr/2026

Published: 12/ May/2026

Cita: Plúas-Espinoza, D. C., Cabrera-Moreira,

J. D., & Rendón-Guerra, G. del P. (2026).

Dosimetría punitiva y responsabilidad

proactiva: Régimen sancionatorio en el

tratamiento de datos en Ecuador. Revista

Científica Ciencia Y Método, 4(2), 362-

382. https://doi.org/10.55813/gaea/rcym/v4/n2

/200

Revista Científica Ciencia y Método (RCyM)

https://revistacym.com

revistacym@editorialgrupo-aea.com

info@editoriagrupo-aea.com

acceso abierto distribuido bajo los términos y

condiciones de la Licencia Creative

Commons, Atribución-NoComercial 4.0

Internacional.

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 363

Artículo Científico

Abril – Junio 2026

Abstract:

The enactment of the sanctioning regime under Ecuador’s Organic Law on Personal

Data Protection in May 2023 marked the commencement of the sanctioning activities

of the Superintendence of Personal Data Protection. This study examines the

application of the sanctioning regime through an analysis of the first four administrative

resolutions issued against the Ecuadorian Professional Football League and the

Ecuadorian Football Federation, employing a qualitative, dogmatic-legal approach with

a multiple case study design. The findings reveal that the Superintendence has

consistently applied the criteria related to the gravity of the infringement, the

seriousness of the conduct, the degree of intent, and reiteration, distinguishing

between minor and serious infringements. It utilizes an algorithmic system called

MPRIV-1, which reduces discretion through a Monte Carlo probability distribution

curve. It is concluded that these initial resolutions consolidate an administrative

doctrine that materializes the principles of proactive accountability and data protection

by design, thereby establishing predictable criteria for data controllers.

Keywords: Personal data protection; sanctioning regime; accountability; punitive

dosimetry, SPDP.

1. Introducción

La progresiva digitalización de las relaciones sociales, económicas e institucionales

eleva los datos personales a la categoría de activo estratégico, impulsando un

replanteamiento global de los marcos regulatorios destinados a su protección. En

Ecuador, este proceso encuentra su expresión institucional más relevante en la

promulgación de la Ley Orgánica de Protección de Datos Personales (LOPDP),

publicada en el Registro Oficial No. 459, del 26 de mayo del 2021, cuyo régimen

sancionatorio entra en vigor en mayo de 2023, tras un período de adecuación de dos

años (Asamblea Nacional del Ecuador, 2021). Este hito normativo consolida el

reconocimiento constitucional del derecho a la autodeterminación informativa

consagrado en el artículo 66, numeral 19 del texto supremo (Asamblea Constituyente,

2008) y crea la Superintendencia de Protección de Datos Personales (SPDP) como

autoridad de control independiente, dotada de potestades regulatorias, supervisoras

y sancionatorias (Echeverría, 2025).

El régimen establece un sistema dual de consecuencias jurídicas, integrado por

medidas correctivas de naturaleza preventiva y restitutoria, y por sanciones

administrativas con finalidad punitiva y disuasoria, cuya cuantificación se vincula al

volumen de negocio del infractor, siguiendo el modelo del Reglamento General de

Protección de Datos (RGPD) de la Unión Europea (Reglamento UE 2016/679). Las

infracciones se tipifican en dos categorías; por un lado, las infracciones leves, como

la no implementación de protección de datos desde el diseño y por defecto,

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 364

Artículo Científico

Abril – Junio 2026

sancionables con multas del 0,1% al 0,7% del volumen de negocio; y, las infracciones

graves, que comprenden omisiones estructurales como la ausencia de metodologías

de gestión de riesgos o la falta de medidas para garantizar el tratamiento conforme a

la ley, sancionables con multas del 0,7% al 1% (Asamblea Nacional del Ecuador,

2021). Además, la determinación de estas sanciones exige la aplicación de criterios

de graduación como la intencionalidad, la reiteración y la naturaleza del perjuicio.

La entrada en funcionamiento de la SPDP viene acompañada de un desarrollo

normativo secundario significativo, que incluye guías para la gestión de riesgos,

protocolos para la realización de evaluaciones de impacto relativas a la protección de

datos y directrices para la designación y funciones de un delegado de protección de

datos personales (SPDP, 2025g; 2025h), configurándose así un sistema de

cumplimiento de creciente complejidad técnica. La relevancia de este marco

trasciende la prevención de sanciones pecuniarias, ya que incide directamente en la

sostenibilidad reputacional de las organizaciones; por este motivo, el incumplimiento

puede generar afectaciones a la imagen corporativa, pérdida de oportunidades

comerciales y responsabilidades civiles derivadas del tratamiento indebido de

información sensible (Bustamante, 2025).

En sectores donde el manejo de datos biométricos, de localización e identificación de

aficionados se intensifica exponencialmente, como en el ámbito deportivo profesional,

las consecuencias de una gestión deficiente son graves. La Liga Profesional de Fútbol

del Ecuador (LIGAPRO), en su calidad de organización que gestiona información

personal de jugadores, personal técnico y espectadores a escala nacional, constituye

un caso paradigmático de las tensiones entre innovación tecnológica y cumplimiento

normativo, siendo objeto de una de las primeras resoluciones sancionatorias de la

SPDP. El estado del arte sobre el régimen sancionatorio ecuatoriano en materia de

protección de datos se encuentra aún en una fase incipiente de desarrollo,

caracterizada por una literatura predominantemente descriptiva que se concentra en

la exposición del marco normativo y en la comparación con el RGPD, sin abordar

sistemáticamente la aplicación concreta de la potestad sancionadora (Echeverría,

2025).

A nivel regional, los estudios sobre la recepción del modelo europeo en ordenamientos

latinoamericanos avanzan en el análisis comparado de los marcos normativos, pero

se circunscriben al examen del texto legal sin abordar su aplicación práctica ni el

ejercicio efectivo de la potestad sancionadora (Remolina, 2010). En el plano doctrinal,

la literatura especializada destaca la influencia del modelo europeo en principios como

la responsabilidad proactiva (conocido por el término en ingles accountability) y la

protección de datos desde el diseño y por defecto, pero soslaya el análisis empírico

de cómo estos principios se materializan en la práctica sancionatoria (Cañavate, 2021;

Estepa, 2021). Desde esta perspectiva, entonces, existe una brecha significativa

respecto de la dosimetría punitiva, esto es, los criterios técnicos mediante los cuales

la SPDP gradúa las sanciones dentro de los rangos legales y operacionaliza los

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 365

Artículo Científico

Abril – Junio 2026

conceptos jurídicos indeterminados como intencionalidad, reiteración y naturaleza del

perjuicio.

Esta laguna resulta relevante por cuanto la predictibilidad del régimen sancionatorio

constituye un elemento estructural de la seguridad jurídica para los responsables y

encargados del tratamiento de datos personales. La posibilidad de anticipar, con un

grado razonable de certeza, las consecuencias jurídicas derivadas de una infracción

a la ley son una condición necesaria para el cumplimiento normativo efectivo y para la

planificación de estrategias de compliance institucional. No obstante, la ausencia de

estudios que analicen sistemáticamente la aplicación de la potestad sancionadora en

el contexto ecuatoriano impide una evaluación crítica de la eficacia del modelo

regulatorio adoptado y limita la posibilidad de formular recomendaciones de política

regulatoria basadas en evidencia.

El vacío se avista respecto de las primeras resoluciones de la SPDP, que constituyen

el corpus inicial de doctrina administrativa y sientan precedentes interpretativos de

gran relevancia para el desarrollo futuro del sistema. En ese sentido, la pregunta que

guía esta investigación es: ¿cómo se configura la dosimetría punitiva en la aplicación

del régimen sancionatorio de la LOPDP por parte de la SPDP, a partir del análisis de

las primeras resoluciones dictadas contra LIGAPRO y la FEF?

La presente investigación se justifica en la necesidad de generar conocimiento

sistemático sobre la práctica sancionatoria en protección de datos en Ecuador. Desde

una perspectiva teórica, el estudio se inserta en el análisis de la responsabilidad

proactiva en el derecho administrativo sancionador, explorando cómo los principios

del RGPD se trasladan y adaptan en un ordenamiento jurídico latinoamericano con

características institucionales propias (Santamaría, 2020). La elección del caso

LIGAPRO y FEF resulta pertinente porque estas organizaciones fueron sujeto de las

primeras resoluciones sancionatorias emitidas por la SPDP, lo que permite analizar el

precedente fundacional de la doctrina administrativa; y, además, porque los

tratamientos de datos biométricos y de identificación de aficionados que realizan son

el ejemplo de los mayores desafíos en la protección de datos personales en sectores

de alta exposición pública.

Metodológicamente, esta investigación combina el análisis dogmático de la normativa

con el estudio de caso de las primeras resoluciones sancionatorias, utilizando fuentes

primarias como las propias resoluciones de la SPDP y la base normativa, y fuentes

secundarias con la doctrina nacional e internacional para construir un análisis

integrado de la dosimetría punitiva. La viabilidad del estudio se sustenta en la

disponibilidad de estos documentos públicos y en la existencia de literatura

especializada que permite contextualizar los hallazgos.

El propósito de este artículo es analizar el régimen sancionatorio de la LOPDP a través

del estudio de las primeras resoluciones de la SPDP, describiendo la estructura

normativa de las infracciones leves y graves, examinando los rangos de sanción y los

criterios de graduación empleados y contrastando el modelo sancionatorio

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 366

Artículo Científico

Abril – Junio 2026

ecuatoriano con el RGPD. Con ello, se busca contribuir a la comprensión de la

dinámica sancionatoria en el emergente campo de la protección de datos en Ecuador,

proporcionando elementos de juicio tanto para la práctica profesional como para el

diseño de políticas de cumplimiento, y sentando las bases para investigaciones futuras

sobre la consolidación de una cultura de protección de datos en el país.

2. Materiales y métodos

Siguiendo la metodología propuesta por Yin (2018), la investigación se desarrolló bajo

un enfoque cualitativo de tipo dogmático-jurídico, complementado con un estudio de

caso múltiple de carácter descriptivo-analítico. Este diseño resultó pertinente para

analizar la aplicación del régimen sancionatorio de la LOPDP a partir de las primeras

resoluciones de la SPDP, ya que permitió la interpretación sistemática de textos

normativos y resoluciones administrativas, así como la comparación entre los distintos

supuestos infractores para identificar patrones en el ejercicio de la potestad

sancionatoria.

La población de estudio estuvo constituida por todas las resoluciones sancionatorias

dictadas por la SPDP desde la entrada en vigor del régimen (26 de mayo de 2023)

hasta el 31 de diciembre de 2025. El muestreo fue intencional, incluyéndose

únicamente resoluciones emitidas por la Intendencia General de Control y Sanción

que contuvieran declaración de responsabilidad administrativa, sanción pecuniaria

cuantificada y publicación oficial. Se seleccionaron las siguientes cuatro resoluciones:

RES-SPDP-ICS-2025-0002 (LIGAPRO, infracción grave, artículo 68 número 1)

(SPDP, 2025a), RES-SPDP-ICS-PASN-2025-0003 (Federación Ecuatoriana de

Fútbol [FEF]), RES-SPDP-ICS-2025-0005 (LIGAPRO) (SPDP, 2025c) y RES-SPDP-

ICS-2025-0006 (FEF) (SPDP, 2025d), con las cuales se permitió contrastar la

aplicación del régimen a los distintos tipos de infracción, diferentes sujetos infractores

y diversas obligaciones incumplidas. Se excluyeron las resoluciones en etapa de

recurso o que no habían causado estado al momento de la recolección.

La recolección de datos se realizó mediante análisis documental de fuentes primarias

y secundarias. Las primeras comprendieron la LOPDP, su Reglamento General, las

cuatro resoluciones sancionatorias seleccionadas, las consultas absueltas por la

SPDP en el año 2024 (SPDP-IGRPD-2024-002-O-C y 008-O-C) y la Resolución No.

SPDP-SPD-2025-0028-R sobre el delegado de Protección de Datos. Las fuentes

secundarias incluyeron una búsqueda sistemática de literatura académica nacional e

internacional, empleando los descriptores de responsabilidad proactiva, protección de

datos desde el diseño, régimen sancionatorio y dosimetría punitiva.

El procedimiento analítico se estructuró en tres fases. La primera consistió en el

análisis dogmático de los artículos 67, 68, 71, 72 y 73 de la LOPDP y los artículos 58,

59 y 60 de su Reglamento, para identificar la tipología de infracciones, los rangos de

sanción y los criterios de graduación legalmente previstos. Se excluyó el análisis los

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 367

Artículo Científico

Abril – Junio 2026

artículos 69 y 70 de la LOPDP, relativos a infracciones del encargado del tratamiento,

por no corresponder a la naturaleza jurídica de los sujetos sancionados en los casos

seleccionados, LIGAPRO y FEF, los cuales actuaban como responsables del

tratamiento.

En la segunda fase se aplicó un análisis de contenido temático a las resoluciones

seleccionadas, siguiendo los lineamientos de la metodología cualitativa propuesta por

Krippendorff (2004). Se definieron de manera previa las siguientes categorías de

análisis: tipo de infracción, base legal, criterios de graduación (peso de la infracción,

seriedad, intencionalidad, reiteración y reincidencia), metodología de cuantificación y

medidas correctivas. La codificación fue realizada de forma independiente por dos

investigadores, resolviéndose discrepancias mediante consenso.

En la tercera fase se realizó un análisis comparado con el sistema sancionatorio del

RGPD (artículos 83 y 84 del Reglamento UE 2016/679), con el fin de contextualizar

los hallazgos ecuatorianos en el derecho comparado y evaluar su grado de

armonización con los estándares internacionales. El objetivo de este contraste es

evaluar el grado de armonización entre la práctica administrativa de la SPDP y los

estándares del RGPD, determinando si la autoridad ecuatoriana aplica una

metodología de cuantificación técnica y previsible o si, por el contrario, existe un

margen de discrecionalidad no reglada en la determinación de la sanción.

Para la sistematización y el análisis comparativo de la información, se diseñó una

matriz de análisis en una hoja de cálculo, estructurada a partir de las siguientes

variables: identificación del expediente, sujeto infractor, fecha de emisión, infracción

imputada, tipo de infracción leve o grave, porcentaje de multa aplicado, cuantía de la

sanción, criterios de graduación empleados y medidas correctivas impuestas. Dicha

matriz permitió la comparación sistemática entre los casos analizados y la

identificación de regularidades en el ejercicio de la potestad sancionatoria por parte

de la SPDP.

La investigación se fundamentó en fuentes documentales de acceso público, por lo

que no implicó la participación de personas ni el tratamiento de datos personales no

divulgados oficialmente. Las resoluciones analizadas fueron publicadas oficialmente

por la SPDP en su portal institucional, garantizando su carácter público. Se respetó

en todo momento la supresión de los datos personales contenidos en las versiones

oficiales, y no se realizó ningún intento de identificar a los funcionarios intervinientes

más allá de lo estrictamente necesario para la comprensión del procedimiento

administrativo.

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 368

Artículo Científico

Abril – Junio 2026

3. Resultados

3.1. Tipología de infracciones y criterios de graduación en las primeras

sanciones de la SPDP

Del análisis de las cuatro resoluciones sancionatorias seleccionadas, se identificó que

la SPDP ha aplicado tanto infracciones leves como graves, conforme a la tipología

establecida en los artículos 67 y 68 de la LOPDP. Como se muestra en la Tabla 1, las

infracciones leves fueron sancionadas en un rango del 0,1% al 0,7% del volumen de

negocio, mientras que las infracciones graves lo fueron en el rango del 0,7% al 1%.

En el caso de LIGAPRO, la sanción por no implementar protección de datos desde el

diseño y por defecto (artículo 67 número 2), impuesta mediante la Resolución No.

RES-SPDP-ICS-2025-0005 ascendió a $95.502,63 (SPDP, 2025c). En cambio, por la

infracción grave de no implementar medidas de garantía, esto es, la obtención del

consentimiento inválido, mediante la Resolución No. RES-SPDP-ICS-2025-0002 la

multa fue de $259.644,01.

Para la FEF, las sanciones por infracciones graves ascendieron a $194.856,16

conforme consta de la Resolución No. RES-SPDP-ICS-PASN-2025-0003 y

$194.496,85 bajo la Resolución No. RES-SPDP-ICS-2025-0006, respectivamente

(SPDP, 2025b; 2025d). En todos los casos, la SPDP utilizó el sistema informático

institucional MPRIV-1 para el cálculo de la multa, adoptando el valor medio de la curva

de distribución de probabilidades Monte Carlo generada por el sistema, como criterio

para reducir la discrecionalidad en la determinación de la sanción.

Tabla 1

Síntesis de las sanciones impuestas por la SPDP

Resolución

Sujeto

infractor

Infracción

Tipo

Base legal

Sanción

(usd)

aplicado

Res-spdp-

ics-2025-

0005

Ligapro

No implementar

protección desde el

diseño y por defecto

Leve

Art. 67.2

lopdp

95.502,63

0,1% –

0,7%*

Res-spdp-

ics-2025-

0002

Ligapro

No implementar

medidas de garantía

(consentimiento

inválido)

Grave

Art. 68.1

lopdp

259.644,01

0,7% –

1%*

Res-spdp-

ics-pasn-

2025-0003

Fef

No implementar

medidas de garantía

(rat, política de datos,

consentimiento)

Grave

Art. 68.1

lopdp

194.856,16

0,7% –

1%*

Res-spdp-

ics-2025-

0006

Fef

No utilizar

metodologías de

análisis y gestión de

riesgos adaptadas

Grave

Art. 68.4

lopdp

194.496,85

0,7% –

1%*

Nota: El porcentaje exacto no se publica en las resoluciones; se indica el rango legal aplicable (Autores,

2026).

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 369

Artículo Científico

Abril – Junio 2026

Tabla 2

Criterios de graduación identificados en las resoluciones sancionatorias.

Criterio de

graduación

Subcriterio

Aplicación en los casos analizados

Peso de la infracción

Medidas correctivas

Cumplimiento parcial en resolución no. Res-

spdp-ics-2025-0005; incumplimiento total en

resolución no. Res-spdp-ics-pasn-2025-0003 y

resolución no. Res-spdp-ics-2025-0006.

Peso de la infracción

Grado de madurez

regulatoria

Calificado como reducido o bajo en todos los

casos.

Seriedad de la

infracción

Tipos de datos personales

Datos biométricos (datos sensibles) en las

resoluciones de ligapro (resolución no. Res-

spdp-ics-2025-0002 y resolución no. Res-

spdp-ics-2025-0005); datos personales

generales en los casos de la fef.

Seriedad de la

infracción

Número de titulares

afectados

14.398 titulares en la resolución no. Res-spdp-

ics-2025-0002; no determinado en otros casos.

Seriedad de la

infracción

Naturaleza de la

vulneración

Estructural (afecta la licitud desde origen) en

las infracciones graves.

Intencionalidad

Grado de conocimiento y

voluntad

Baja intencionalidad con negligencia relevante

en todos los casos.

Reiteración y

reincidencia

Antecedentes

sancionatorios

Reiteración configurada en la resolución no.

Res-spdp-ics-2025-0005 por sanción previa

grave (resolución no. Res-spdp-ics-2025-

0002).

Nota: (Autores, 2026).

Respecto del tipo de datos personales, la SPDP destacó que LIGAPRO trataba datos

biométricos mediante la aplicación FAN ID, los cuales, conforme al artículo 4 de la

LOPDP, constituyen datos sensibles sujetos a un régimen reforzado de protección. En

cuanto al número de titulares afectados, en la Resolución No. RES-SPDP-ICS-2025-

0002 se identificó un universo de 14.398 personas cuyo consentimiento no había sido

obtenido válidamente, lo que constituyó un criterio de agravación. Finalmente, la

naturaleza de la vulneración fue calificada como estructural en las infracciones graves,

en tanto que afectaba la licitud del tratamiento desde su origen y no se trataba de

incumplimientos aislados o meramente formales. Además de las sanciones

pecuniarias, la SPDP impuso a los infractores una serie de medidas correctivas de

carácter preventivo y restitutorio, cuyo cumplimiento fue exigido en un plazo uniforme

de un mes. La tabla 3 sistematiza estas medidas por cada resolución.

Tabla 3

Medidas correctivas impuestas por la SPDP en cada resolución

Resolución

Medidas correctivas impuestas*

Plazo de

cumplimiento

RES-SPDP-ICS-2025-

0002 (LIGAPRO)

Informar a los 14.398 titulares sobre la invalidez del

consentimiento y suspender el tratamiento; eliminar sus

datos personales de todas las bases de datos.

1 mes

RES-SPDP-ICS-2025-

0005 (LIGAPRO)

Rediseñar la solución FAN ID para diferenciar las

actividades de tratamiento; elaborar un consentimiento

específico para cada finalidad o justificar otra base

legitimadora.

1 mes

RES-SPDP-ICS-

PASN-2025-0003

(FEF)

Contar con un RAT completo; contar con una política de

protección de datos conforme al art. 12 LOPDP; informar

a los titulares sobre la invalidez del consentimiento y

1 mes

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 370

Artículo Científico

Abril – Junio 2026

suspender el tratamiento; eliminar los datos personales

tratados a través de FANFEF.

RES-SPDP-ICS-2025-

0006 (FEF)

Reformular la metodología de riesgos y la evaluación de

impacto, corrigiendo la conclusión de riesgo residual

cero.

1 mes

Nota: En esta tabla se sistematizan las medidas correctivas, parte esencial del sistema dual de

consecuencias jurídicas; con las que se aprecia la proporcionalidad entre la infracción y las medidas

ordenadas (Autores, 2026).

La intencionalidad fue valorada en todos los casos como baja intencionalidad con

negligencia relevante. La SPDP distinguió entre la ausencia de dolo y la presencia de

negligencia, concluyendo que, si bien no existió intención deliberada de vulnerar la

normativa, la conducta era jurídicamente reprochable por cuanto el responsable no

había adoptado las medidas razonablemente exigibles para garantizar el

cumplimiento. Este criterio fue aplicado de manera uniforme en los cuatro casos

analizados, sin que se identificaran diferencias significativas en la valoración de la

intencionalidad entre las infracciones leves y graves.

La reiteración y reincidencia fue aplicada en la Resolución No. RES-SPDP-ICS-2025-

0005 como criterio de agravación dentro del rango de la infracción leve. La SPDP

certificó que LIGAPRO había sido previamente sancionada mediante Resolución No.

RES-SPDP-ICS-2025-0002 por una infracción grave, lo que configuró el supuesto de

reiteración previsto en el artículo 71 número 2 letra b) de la LOPDP. No se configuró

reincidencia en ninguno de los casos, en tanto que las infracciones anteriores no eran

de la misma naturaleza que las nuevas conductas imputadas.

3.2. Metodología de cuantificación de las sanciones: el sistema MPRIV-1.

En todas las resoluciones analizadas, la SPDP utilizó el sistema informático

institucional denominado MPRIV-1, para el cálculo de las sanciones. Este sistema

implementa un modelo ontológico que aplica una curva de distribución de

probabilidades Monte Carlo basada en los criterios de graduación previamente

ponderados, y que descompone la determinación de la multa en dos grandes factores:

la categoría de la infracción (CDI) y la seriedad de la infracción (SDI) (SPDP, 2025e).

La categoría de la infracción (CDI) combina el rango legal de la multa (0,1% - 0,7%

para infracciones leves; 0,7% - 1% para graves) con el peso de la infracción (PDI),

que calibra el grado de madurez regulatoria del infractor y el cumplimiento de medidas

correctivas. La seriedad de la infracción (SDI) pondera, mediante una fórmula que

integra la distribución PERT y la simulación Monte Carlo, tres subelementos: el

impacto en derechos (IED) que, a su vez, considera el tipo de datos personales, el

número de titulares afectados, la naturaleza de la vulneración y la existencia de grupos

vulnerables; la intencionalidad (INT); y, en su caso, la reiteración o reincidencia (RER)

(SPDP, 2025e).

El sistema MPRIV-1 ejecuta una simulación de Monte Carlo que genera una curva de

distribución de probabilidades con valores mínimo, medio y máximo de sanción dentro

del rango legal correspondiente. Como se observa en la Tabla 1, la SPDP adoptó en

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 371

Artículo Científico

Abril – Junio 2026

todos los casos el valor medio de la distribución como criterio para reducir la

discrecionalidad en la determinación de la sanción. Este procedimiento, previsto en el

propio modelo como el parámetro más equitativo, fue explicitado en las resoluciones

como una medida orientada a garantizar la objetividad, proporcionalidad y

predictibilidad del régimen sancionatorio (SPDP, 2025e).

Figura 1

Proceso de cuantificación de sanciones mediante el sistema MPRIV-1*

Nota: El sistema MPRIV-1 ingresa los criterios de graduación ponderados, esto es, peso de la

infracción, seriedad, intencionalidad, reiteración. Con base en estos factores y utilizando la fórmula

PERT, el sistema ejecuta una simulación de Monte Carlo que genera una curva de distribución de

probabilidades con valores mínimo, medio y máximo de sanción. La SPDP adopta el valor medio como

sanción definitiva para reducir la discrecionalidad (Autores, 2026)

3.3. La protección de datos desde el diseño y por defecto como infracción leve.

En la Resolución No. RES-SPDP-ICS-2025-0005, la SPDP sancionó a LIGAPRO por

la comisión de la infracción leve tipificada en el artículo 67, numeral 2, de la LOPDP,

relativa a la no implementación de la protección de datos desde el diseño y por

defecto. Del análisis del expediente, la autoridad constató que la aplicación FAN ID no

había sido concebida, desde sus fases iniciales, con medidas técnicas, organizativas

y jurídicas que garantizaran la observancia de los principios de lealtad, finalidad y

minimización en el tratamiento de datos biométricos.

En particular, la SPDP identificó tres inobservancias sustanciales. Primera, una

inobservancia del principio de lealtad, derivada de la inconsistencia en la base de

legitimación invocada, esto es, consentimiento versus obligación legal. Segunda, una

inobservancia del principio de finalidad, evidenciada por la ampliación de las

finalidades del tratamiento a ámbitos comerciales y operativos sin segmentación ni

salvaguardas. Tercera, una inobservancia de los principios de pertinencia y

minimización, por el tratamiento extensivo de datos biométricos para fines no

estrictamente necesarios. La SPDP enfatizó que la protección de datos desde el

diseño exige una implementación concreta, verificable y específica, no meramente

declarativa, y que la mera existencia de políticas de privacidad no satisface la

obligación legal cuando no se acredita su efectiva aplicación.

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 372

Artículo Científico

Abril – Junio 2026

3.4. La gestión de riesgos como infracción grave autónoma.

En la Resolución No. RES-SPDP-ICS-2025-0006, la SPDP sancionó a la FEF por la

infracción grave tipificada en el artículo 68, numeral 4, de la LOPDP, consistente en

no utilizar metodologías de análisis y gestión de riesgos adaptadas a la naturaleza de

los datos personales, a las particularidades del tratamiento y a las partes involucradas.

Del análisis del expediente, la autoridad constató que la metodología de riesgos

presentada por la FEF no cumplía con los estándares técnicos exigidos por la

normativa, en particular porque concluía en la asignación de un riesgo residual igual

a cero en la Evaluación de Impacto de Protección de Datos Personales (EIPD).

La SPDP consideró que esta conclusión era incompatible con el enfoque preventivo

que rige la materia, en tanto que toda actividad de tratamiento de datos personales

implica, por su propia naturaleza, una exposición a riesgos de índole técnica,

organizativa, humana o jurídica. La autoridad destacó que una metodología de riesgos

adecuada debe ser una herramienta de decisión que permita identificar, evaluar y

documentar los riesgos, así como justificar las medidas adoptadas para su mitigación,

y que la existencia formal de una evaluación de impacto no resulta suficiente cuando

su contenido no se ajusta a los estándares técnicos y normativos exigidos.

3.5. Particularidades del caso LIGAPRO: consentimiento inválido para datos

biométricos

En la Resolución No. RES-SPDP-ICS-2025-0002, la SPDP sancionó a LIGAPRO por

la infracción grave tipificada en el artículo 68, numeral 1, de la LOPDP, relativa a la no

implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas

para garantizar el tratamiento conforme a la ley. En este caso, la autoridad analizó

específicamente el consentimiento obtenido de 14.398 titulares de datos personales

para el tratamiento de sus datos biométricos a través de la aplicación FAN ID.

La SPDP concluyó que el consentimiento no cumplía con ninguno de los requisitos

establecidos en el artículo 8 de la LOPDP; ya que, primero, no era libre, por cuanto el

acceso a las instalaciones deportivas se condicionaba a la obtención del FAN ID,

eliminando la posibilidad real de negarse sin sufrir un perjuicio directo; segundo, no

era específico, por cuanto la aceptación era genérica y no diferenciaba entre las

distintas finalidades del tratamiento. Tercero, no era informado, por cuanto la

información relevante se encontraba remitida a una política de privacidad externa sin

garantizar su comprensión efectiva; y, cuarto, no era inequívoco, por cuanto la

manifestación de voluntad se realizaba mediante la mera acción de continuar en el

flujo de registro, sin una acción afirmativa diferenciada. La SPDP destacó que los

datos biométricos, por su carácter sensible, exigen un estándar reforzado de

protección y que el consentimiento explícito requerido por el artículo 26 de la LOPDP

no puede ser suplido por mecanismos genéricos de aceptación de términos y

condiciones.

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 373

Artículo Científico

Abril – Junio 2026

Como se evidencia en los resultados presentados, las primeras resoluciones

sancionatorias de la SPDP han aplicado de manera consistente los criterios de

graduación establecidos en la LOPDP, construyendo una doctrina administrativa que

materializa los principios de responsabilidad proactiva, protección de datos desde el

diseño y gestión de riesgos. La metodología de cuantificación MPRIV-1 permite

reducir la discrecionalidad en la determinación de las sanciones, mediante la adopción

del valor medio de la simulación Monte Carlo, mientras que la diferenciación entre

infracciones leves y graves ha facilitado una respuesta proporcionada a la naturaleza

de los incumplimientos. Estos hallazgos constituyen la base para la discusión sobre

las implicaciones del régimen sancionatorio ecuatoriano en la consolidación de una

cultura de protección de datos en el país.

4. Discusión

Los hallazgos de este estudio permiten afirmar que la SPDP ha iniciado la

construcción de una doctrina administrativa sistemática en materia sancionatoria,

materializando los principios de responsabilidad proactiva y protección de datos desde

el diseño. Los criterios de graduación aplicados, esto es, peso de la infracción,

seriedad, intencionalidad y reiteración muestran una clara inspiración en el modelo del

Reglamento General de Protección de Datos (RGPD), particularmente en los artículos

83 y 84, que establecen un catálogo de elementos para la determinación de las multas

(Unión Europea, 2016).

Este proceso de construcción doctrinal se ha desarrollado en un contexto institucional

aún en fase de consolidación. En 2024, la propia SPDP reconocía que se encontraba

en una etapa de arranque de sus funciones y que aún no existía un procedimiento

formal para verificar el cumplimiento de obligaciones como la designación del

delegado de protección de datos (SPDP, 2024a). Ello refuerza la relevancia de

analizar las primeras resoluciones sancionatorias de 2025, ya que constituyen el

primer esfuerzo sistemático por materializar la potestad sancionadora en un entorno

normativo todavía en desarrollo.

Entonces, esta convergencia normativa era esperable, dado que la LOPDP se diseñó

siguiendo los estándares europeos, y confirma que la SPDP está operando dentro de

los parámetros del enfoque preventivo que caracteriza al accountability (Cañavate,

2021). No obstante, a diferencia del sistema europeo, que establece topes máximos

absolutos además del porcentaje sobre el volumen de negocio, la LOPDP vincula

exclusivamente la sanción a dicho porcentaje. Ello podría generar, en teoría, una

mayor proporcionalidad económica, pero también una menor predictibilidad en tanto

la base de cálculo o el volumen de negocio no se hace pública en las resoluciones.

La interpretación que la SPDP ha realizado del principio de protección de datos desde

el diseño resulta particularmente relevante por su carácter sustantivo y no meramente

formal. En la Resolución No. RES-SPDP-ICS-2025-0005, la autoridad no sancionó la

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 374

Artículo Científico

Abril – Junio 2026

ausencia de políticas de privacidad, sino la falta de implementación concreta,

verificable y específica de medidas que garantizaran, desde las fases iniciales de

concepción del sistema FAN ID, la observancia de los principios de lealtad, finalidad

y minimización.

Esta postura se alinea con el artículo 39 de la LOPDP y los Principios Fundacionales

de la Privacidad desde el Diseño (PbD) desarrollados por Ann Cavoukian y recogidos

por la Agencia Española de Protección de Datos (AEPD, 2019). En particular, la SPDP

aplicó el principio de que la privacidad debe ser la configuración predeterminada

(privacy as the default setting), lo que exige que los datos personales estén

automáticamente protegidos sin necesidad de acción por parte del titular (AEPD,

2019, p. 8). Asimismo, la autoridad ecuatoriana se alineó con el principio de

funcionalidad total (positive-sum), que rechaza las falsas dicotomías entre privacidad

y funcionalidad (AEPD, 2019). Al sancionar la ampliación injustificada de finalidades

hacia ámbitos comerciales y operativos, la SPDP aplicó la estrategia de minimización

(minimizar) y de separación (separar) de contextos de tratamiento (AEPD, 2019).

La SPDP traslada así al plano administrativo sancionador una exigencia que, en el

RGPD, se configura como un principio transversal que informa todo el tratamiento

(Romeo, 2020). La AEPD (2019) señala que la PbD implica utilizar un enfoque

orientado a la gestión del riesgo y de responsabilidad proactiva para incorporar la

protección de la privacidad a lo largo de todo el ciclo de vida del sistema, desde su

concepción hasta su retirada. La resolución de LIGAPRO refleja precisamente esta

exigencia, ya que el sistema FAN ID fue concebido sin integrar las garantías de

privacidad desde sus fases iniciales, lo que derivó en un tratamiento ilícito de datos

biométricos.

En cuanto a la protección de datos por defecto (PDpD), la Guía de Protección de Datos

por Defecto de la AEPD (2020) establece que el responsable debe garantizar que, por

defecto, solo sean objeto de tratamiento los datos personales necesarios para cada

finalidad específica, aplicando esta obligación a la cantidad de datos recogidos, la

extensión del tratamiento, el plazo de conservación y la accesibilidad (AEPD, 2020).

La SPDP, al sancionar a LIGAPRO por la infracción leve del artículo 67 número 2 de

la LOPDP, constató que el sistema FAN ID no respetaba ninguno de estos parámetros

por defecto; más bien, recogía datos biométricos en exceso, los utilizaba para

finalidades no necesarias, como la comercial y la operativa, los conservaba sin plazos

definidos y los hacía accesibles de forma indiscriminada.

La AEPD (2020) subraya que la configurabilidad del tratamiento es esencial para la

PDpD, y que las opciones de configuración deben permitir al usuario (y al responsable)

limitar el tratamiento. En el caso de LIGAPRO, el consentimiento se obtenía mediante

una acción genérica de continuar, sin opciones diferenciadas para cada finalidad, lo

que vulneró el requisito de que el usuario debe realizar una acción afirmativa clara

para ampliar el tratamiento más allá de la configuración por defecto más restrictiva

(AEPD, 2020).

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 375

Artículo Científico

Abril – Junio 2026

La coherencia de la doctrina administrativa de la SPDP se evidencia también en sus

pronunciamientos previos a las sanciones. En el Oficio No. SPDP-IGRPD-2024-008-

O-C, la autoridad ya había concluido que exigir el código dactilar, es decir, un dato

biométrico, junto con el número de cédula para la inscripción de nombramientos de

representantes legales resultaba desproporcionado, toda vez que la cédula identifica

de manera inequívoca a una persona, por lo que la solicitud del dato biométrico

vulneraba los principios de finalidad, pertinencia y minimización (SPDP, 2024b). Este

criterio es directamente aplicable al caso LIGAPRO, donde la aplicación FAN ID

recababa datos biométricos mediante un consentimiento inválido, sin que se justificara

la necesidad de dicho tratamiento más allá de la identificación que ya proporcionaba

el documento de identidad. La SPDP ha mantenido, así, una línea interpretativa

consistente en exigir la proporcionalidad y minimización en el tratamiento de datos

biométricos, tanto en sus respuestas a consultas como en su actuación sancionatoria.

Un hallazgo novedoso es la calificación de la gestión de riesgos como infracción grave

autónoma, aplicada en la Resolución No. RES-SPDP-ICS-2025-0006 contra la FEF.

La SPDP consideró que la metodología de riesgos presentada por el infractor era

inadecuada por cuanto concluía en la asignación de un riesgo residual igual a cero,

en la Evaluación de Impacto de Protección de Datos Personales. Esta conclusión fue

calificada como una deficiencia conceptual incompatible con el enfoque preventivo

que rige la materia, pues el riesgo residual es, por naturaleza, inevitable y debe ser

gestionado, no eliminado mediante una afirmación axiomática.

Desde la perspectiva del RGPD, el artículo 35 impone la realización de una evaluación

de impacto cuando el tratamiento entrañe un alto riesgo para los derechos y libertades,

pero no tipifica como infracción autónoma la inadecuación de la metodología (Unión

Europea, 2016). La LOPDP ha ido más allá, configurando la falta de idoneidad de la

metodología como una infracción grave, lo que refuerza la dimensión preventiva del

sistema y eleva el estándar de diligencia exigible a los responsables del tratamiento.

Esta aproximación resulta coherente con la tendencia latinoamericana señalada por

Santamaría (2020), quien sostiene que la responsabilidad proactiva es especialmente

relevante en contextos normativos fragmentados como el de la región, donde la

ausencia de una legislación uniforme o su obsolescencia exigen que los responsables

del tratamiento implementen mecanismos que vayan más allá del mero cumplimiento

formal de la ley.

En similar sentido, la AEPD (2019) desglosa la responsabilidad proactiva en dos

estrategias fundamentales; por un lado, cumplir (comply), es decir, que se exige definir

una política de protección de datos, mantener procedimientos y defender su eficacia;

y, por otro, demostrar (demonstrate), lo que exige registrar, auditar e informar, a fin de

acreditar el cumplimiento del RGPD. La FEF, al presentar una metodología de riesgos

que concluía en la asignación de un riesgo residual igual a cero, no solo incumplió la

obligación material de gestionar adecuadamente los riesgos, sino que tampoco pudo

demostrar que su metodología era técnicamente idónea y funcionalmente eficaz. La

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 376

Artículo Científico

Abril – Junio 2026

SPDP, al sancionar esta conducta en la Resolución No. RES-SPDP-ICS-2025-0006,

está exigiendo que los responsables no solo implementen evaluaciones de impacto,

sino que estas sean técnicamente sólidas, verificables y estén orientadas a proteger

efectivamente los derechos de los titulares, en plena consonancia con el principio de

responsabilidad proactiva que Santamaría (2020) reclama para el ámbito

latinoamericano.

La conexión entre la doctrina de la SPDP y el principio de responsabilidad proactiva

no se limita a los criterios sancionatorios generales. Santamaría (2020) identifica tres

herramientas que materializan este principio en la práctica, esto son, la protección de

datos desde el diseño y por defecto, las evaluaciones de impacto, y la figura del

delegado de protección de datos. Las primeras resoluciones de la SPDP ya aplicaron

estas herramientas en el plano sancionador; en particular, la sanción a LIGAPRO por

no implementar la protección de datos desde el diseño (Resolución No. RES-SPDP-

ICS-2025-0005) refleja la exigencia de que los responsables integren las garantías de

privacidad en la arquitectura misma de sus sistemas, y no como un añadido posterior.

De igual modo, la sanción a la FEF por una metodología de riesgos inadecuada

(Resolución No. RES-SPDP-ICS-2025-0006) evidencia que la evaluación de impacto

no puede ser un mero requisito formal, sino una herramienta efectiva de gestión de

riesgos. Aunque la figura del delegado de protección de datos aún no ha sido objeto

de sanción en los casos analizados, su regulación por la SPDP mediante la Resolución

No. SPDP-SPD-2025-0028-R (SPDP, 2025f) y su designación por parte de LIGAPRO

y la FEF durante los procedimientos investigativos sugieren que esta herramienta

también será relevante en la consolidación de la responsabilidad proactiva en

Ecuador. Así, la práctica sancionatoria de la SPDP se alinea con la tendencia

latinoamericana que sostiene Santamaría (2020), esto es, que los responsables no se

limiten a cumplir la norma, sino que implementen mecanismos que permitan demostrar

un compromiso efectivo con la protección de datos.

La distinción entre infracciones leves y graves aplicada por la SPDP evidencia una

comprensión matizada de la naturaleza de los incumplimientos. La sanción por no

implementar protección desde el diseño fue calificada como leve, mientras que las

infracciones relacionadas con el consentimiento inválido, la ausencia de medidas de

garantía y la metodología de riesgos inadecuada fueron calificadas como graves. Esta

diferenciación responde a una lógica plausible, ya que las primeras afectan a la

arquitectura preventiva del sistema, es decir, la protección desde el diseño; mientras

que, las segundas inciden en la licitud misma del tratamiento o en la capacidad del

responsable para identificar y gestionar los riesgos asociados.

La SPDP sigue el criterio de que la antijuridicidad material no se configura por la mera

inexistencia de un documento, sino por la ineficacia preventiva del instrumento

empleado. Esta aproximación se alinea con la naturaleza del principio de

responsabilidad proactiva, el cual, como señala Estepa (2021), se configura como

un concepto jurídico indeterminado en el que el responsable del tratamiento goza de

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 377

Artículo Científico

Abril – Junio 2026

un margen para decidir las medidas oportunas, debiendo estar en condiciones de

demostrar su diligencia en función de las circunstancias del caso concreto. De este

modo, la SPDP traslada al plano sancionador la lógica del accountability; es decir, no

basta con tener documentos o políticas formales, es necesario que estos instrumentos

sean funcionalmente eficaces para proteger los derechos de los titulares.

En ese orden de ideas, la doctrina administrativa emergente de la SPDP se aproxima

a la noción de dosimetría punitiva propuesta por Sánchez (2009), que distingue entre

la reincidencia o comisión de una nueva infracción de la misma naturaleza; y, la

reiteración entendida como la comisión de una nueva infracción de distinta naturaleza

tras una sanción previa, y subraya la necesidad de aplicar criterios objetivos para

graduar las sanciones de manera proporcionada y predecible.

La aplicación de la reiteración como criterio de agravación en la sanción leve impuesta

a LIGAPRO (Resolución Nro. RES-SPDP-ICS-2025-0005) constituye un precedente

relevante. La SPDP certificó que LIGAPRO había sido sancionada previamente por

una infracción grave (Resolución Nro. RES-SPDP-ICS-2025-0002), lo que configuró

la reiteración prevista en el artículo 71 número 2 letra b) de la LOPDP. Esta decisión

evidencia que la autoridad considera los antecedentes sancionatorios para graduar la

sanción dentro del rango correspondiente, incluso cuando se trate de infracciones de

distinta naturaleza. Este enfoque se alinea con el principio de proporcionalidad

consagrado en el artículo 76 número 6 de la Constitución de la República (2008), que

exige que las sanciones administrativas guarden relación con la conducta del infractor

y sus circunstancias personales. La reiteración, al evidenciar una persistencia en el

incumplimiento, justifica una respuesta sancionatoria más intensa dentro del mismo

tipo infractor, lo que refuerza la función disuasoria del régimen.

El sistema de cuantificación MPRIV-1, basado en una curva de distribución de

probabilidades Monte Carlo, constituye un mecanismo innovador para reducir la

discrecionalidad en la determinación de las sanciones. La adopción del valor medio

como referencia por parte de la SPDP aporta predictibilidad al régimen sancionatorio,

en tanto que los criterios de graduación ponderados se traducen en un resultado

numérico algorítmicamente generado. Este enfoque, que combina la valoración

cualitativa de las circunstancias del caso con una metodología de cálculo cuantitativo,

podría servir de referencia para otras autoridades de protección de datos en la región,

donde la fragmentación normativa y la ausencia de criterios objetivos de cuantificación

han sido identificadas como problemas recurrentes (Santamaría, 2020). Sin embargo,

la no publicación del volumen de negocio de los infractores en las resoluciones limita

la posibilidad de conocer el porcentaje exacto aplicado y, con ello, la transparencia

plena del proceso sancionatorio.

Las limitaciones de este estudio deben ser consideradas al interpretar sus hallazgos.

En primer lugar, el análisis se circunscribe a las cuatro primeras resoluciones

sancionatorias emitidas por la SPDP, lo que, si bien constituye el corpus inicial de

doctrina administrativa, no permite generalizar sobre la totalidad de la práctica

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 378

Artículo Científico

Abril – Junio 2026

sancionatoria futura. En segundo lugar, la información sobre el volumen de negocio

de los infractores no es pública, lo que impide conocer el porcentaje exacto de multa

aplicado en cada caso y, por tanto, evaluar con precisión la intensidad de la sanción

en relación con la capacidad económica del infractor. En tercer lugar, el estudio se

basa exclusivamente en fuentes documentales de acceso público, sin acceso a los

expedientes administrativos completos, lo que podría omitir elementos de juicio

relevantes para la comprensión de las decisiones de la SPDP. En todo caso, la

doctrina administrativa analizada corresponde a una fase muy temprana del

funcionamiento de la SPDP, por lo que sus criterios podrían evolucionar con el tiempo

a medida que la autoridad adquiera mayor experiencia y se enfrente a supuestos de

hecho más complejos.

A pesar de estas limitaciones, la investigación realizada aporta una sistematización

inédita de los criterios de graduación aplicados por la SPDP en las primeras

resoluciones sancionatorias, ofreciendo una base empírica para el análisis de la

dosimetría punitiva en el emergente campo de la protección de datos en Ecuador.

Futuras investigaciones deberían ampliar el análisis a las resoluciones que se dicten

en los próximos años, con el fin de identificar eventuales cambios en la doctrina

administrativa y evaluar la consistencia de los criterios aplicados. Asimismo, sería

relevante comparar la práctica sancionatoria ecuatoriana con la de otras autoridades

latinoamericanas, para identificar buenas prácticas y áreas de mejora. Desde una

perspectiva teórica, el estudio abre la posibilidad de explorar la relación entre los

criterios de graduación de sanciones y la efectividad disuasoria del régimen, así como

el impacto de las sanciones en la consolidación de una cultura de cumplimiento en el

sector privado.

5. Conclusiones

El análisis de las primeras resoluciones sancionatorias emitidas por la SPDP revela

que la autoridad de control ha iniciado la construcción de una doctrina administrativa

coherente, orientada a materializar los principios de responsabilidad proactiva

(accountability), protección de datos desde el diseño y gestión de riesgos en el

ordenamiento jurídico ecuatoriano. Los criterios de graduación aplicados, esto es, el

peso de la infracción, seriedad, intencionalidad y reiteración, muestran una clara

inspiración en el RGPD de la Unión Europea, aunque con adaptaciones propias, como

la ausencia de topes máximos absolutos y la vinculación exclusiva de la sanción al

volumen de negocio.

La distinción entre infracciones leves y graves responde a una lógica sustantiva; las

primeras afectan a la arquitectura preventiva del sistema o protección desde el diseño;

mientras que, las segundas inciden en la licitud misma del tratamiento o en la

capacidad del responsable para identificar y gestionar riesgos. Estas infracciones

aplicadas en los casos de LIGAPRO y la FEF, ha permitido una respuesta

proporcionada a la naturaleza de los incumplimientos. Las omisiones en la

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 379

Artículo Científico

Abril – Junio 2026

implementación de medidas preventivas fueron calificadas como leves, mientras que

las deficiencias estructurales en materia de consentimiento, medidas de garantía y

gestión de riesgos recibieron la calificación de graves. Esta diferenciación representa

un avance significativo en la operacionalización de la dosimetría punitiva en el ámbito

administrativo nacional. De este modo, la SPDP ha establecido que la antijuridicidad

material no se configura por la mera inexistencia de un documento, sino por la

ineficacia preventiva del instrumento empleado, trasladando así al plano sancionador

la lógica del accountability.

La protección de datos desde el diseño y por defecto ha sido interpretada por la SPDP

como una obligación de implementación concreta y verificable, que no se satisface

con la mera existencia de políticas de privacidad o declaraciones programáticas. En

el caso LIGAPRO, la autoridad sancionó la ausencia de medidas efectivas que

garantizaran, desde las fases iniciales de concepción del sistema FAN ID, la

observancia de los principios de lealtad, finalidad, pertinencia y minimización en el

tratamiento de datos biométricos. Esta interpretación refuerza la naturaleza preventiva

del principio de responsabilidad proactiva y exige a los responsables del tratamiento

un nivel de diligencia que trasciende el cumplimiento meramente formal de la

normativa.

En materia de gestión de riesgos, la SPDP ha configurado esta obligación como de

carácter funcional y no meramente documental. La sanción impuesta a la FEF por una

evaluación de impacto que concluía en un riesgo residual igual a cero establece que

dichas metodologías deben ser herramientas de decisión efectivas, capaces de

identificar, evaluar y documentar los riesgos inherentes al tratamiento, así como de

justificar las medidas adoptadas para su mitigación. Una conclusión de inexistencia

absoluta de riesgo resulta incompatible con el enfoque preventivo que rige la materia

y evidencia una aplicación deficiente de la metodología.

El sistema de cuantificación de sanciones MPRIV-1 basado en una distribución de

probabilidades Monte Carlo, constituye un mecanismo innovador para reducir la

discrecionalidad en la determinación de las multas. La adopción del valor medio como

referencia aporta predictibilidad al régimen sancionatorio, al traducir la valoración

cualitativa de las circunstancias del caso en un resultado numérico

metodológicamente fundamentado. Este enfoque podría servir de referencia para

otras autoridades de protección de datos en la región, donde la fragmentación

normativa y la ausencia de criterios objetivos de cuantificación han sido identificadas

como problemas recurrentes.

El aporte central de esta investigación reside en haber sistematizado los criterios de

graduación aplicados por la SPDP en sus primeras resoluciones sancionatorias,

identificando los patrones de decisión que configuran la doctrina administrativa en

materia de dosimetría punitiva y estableciendo una base empírica para

investigaciones futuras sobre la evolución del régimen sancionatorio ecuatoriano.

Futuros estudios deberán ampliar el análisis a las resoluciones que se dicten en los

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 380

Artículo Científico

Abril – Junio 2026

próximos años, a fin de evaluar la consistencia y eventual evolución de la doctrina

administrativa de la SPDP, así como comparar la práctica sancionatoria ecuatoriana

con la de otras autoridades latinoamericanas.

CONFLICTO DE INTERESES

“Los autores declaran no tener ningún conflicto de intereses”.

Referencias Bibliográficas

Agencia Española de Protección de Datos. (2019). Guía de Privacidad desde el

Diseño. https://www.aepd.es/guias/guia-privacidad-desde-diseno.pdf

Agencia Española de Protección de Datos. (2020). Guía de Protección de Datos por

Defecto. https://www.aepd.es/guias/guia-proteccion-datos-por-defecto.pdf

Asamblea Constituyente. (2008). Constitución de la República del Ecuador. Registro

Oficial 449, 20 de octubre de 2008.

https://www.asambleanacional.gob.ec/es/contenido/constitucion-de-la-

republica-del-ecuador

Asamblea Nacional del Ecuador. (2021). Ley Orgánica de Protección de Datos

Personales. Registro Oficial Suplemento 459, 26 de mayo de 2021.

https://www.telecomunicaciones.gob.ec/wp-content/uploads/2021/06/Ley-

Organica-de-Datos-Personales.pdf

Bustamante Fabara. (2025, noviembre 26). Personal data protection officer (DPO):

The new backbone of corporate compliance in Ecuador.

https://bustamantefabara.com/en/personal-data-protection-officer-dpo-the-

new-backbone-of-corporate-compliance-in-ecuador/

Cañavate-Megías, M. Á. (2021). El principio de responsabilidad proactiva en el

Reglamento General de Protección de Datos [Trabajo de fin de máster,

Universidad Internacional de La Rioja]. Re-UNIR.

https://reunir.unir.net/handle/123456789/11953

Echeverría, D. (2025). Protección de datos personales. Derecho Ecuador.

https://derechoecuador.com/proteccion-de-datos-personales-2/

Estepa Montero, M. (2022). El principio de responsabilidad proactiva o rendición de

cuentas como principio conformador del régimen jurídico de la protección de

datos de las personas físicas. Anuario Jurídico y Económico Escurialense, (55),

67–90. https://doi.org/10.54571/ajee.511

Krippendorff, K. (2004). Content analysis: An introduction to its methodology (2nd ed.).

Sage Publications.

Presidencia de la República del Ecuador. (2023). Reglamento General a la Ley

Orgánica de Protección de Datos Personales. Decreto Ejecutivo No. 904.

Registro Oficial Suplemento 435 de 13 de noviembre de 2023.

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 381

Artículo Científico

Abril – Junio 2026

Remolina Angarita, N. (2010). ¿Tiene Colombia un nivel adecuado de protección de

datos personales a la luz del estándar europeo? International Law: Revista

Colombiana de Derecho Internacional, 8(16), 489–523.

https://revistas.javeriana.edu.co/index.php/internationallaw/article/view/13847

Romeo, A. (2020). La responsabilidad proactiva de las Administraciones Públicas en

la protección de datos personales. Revista Vasca de Gestión de Personas y

Organizaciones Públicas, (18), 138-153.

https://dialnet.unirioja.es/servlet/articulo?codigo=7491822

Sánchez Reyero, D. (2009). Dosimetría punitiva en el seno del derecho administrativo.

Actualidad Administrativa, (8), 894–898.

https://cpresidencia.carm.es/cedi/verDocumento.jsf%3Bjsessionid%3D27F5B6

8BA5D9A35BA62AC02B4C499532.jvmcedipru1?id=7922&utm_source=chatg

pt.com

Santamaría Ramos, F. J. (2020). El principio de responsabilidad proactiva: Una

oportunidad para un mejor cumplimiento de la normativa en materia de

protección de datos de carácter personal en el ámbito latinoamericano. Derecho

PUCP, (85), 139–174. https://doi.org/10.18800/derechopucp.202002.005

Superintendencia de Protección de Datos Personales. (2024a). Oficio No. SPDP-

IGRPD-2024-002-O-C. https://spdp.gob.ec/consultasatendidas/

Superintendencia de Protección de Datos Personales. (2024b). Oficio No. SPDP-

IGRPD-2024-008-O-C. https://spdp.gob.ec/consultasatendidas/

Superintendencia de Protección de Datos Personales. (2025a). Resolución No. RES-

SPDP-ICS-2025-0002. Expediente No. EXP-SPDP-ICS-PASN-2025-0004.

Superintendencia de Protección de Datos Personales. (2025b). Resolución No. RES-

SPDP-ICS-PASN-2025-0003. Expediente No. EXP-SPDP-ICS-PASN-2025-

0003.

Superintendencia de Protección de Datos Personales. (2025c). Resolución No. RES-

SPDP-ICS-2025-0005. Expediente No. EXP-SPDP-ICS-PASN-2025-0002.

Superintendencia de Protección de Datos Personales. (2025d). Resolución No. RES-

SPDP-ICS-2025-0006. Expediente No. EXP-SPDP-ICS-PASN-2025-0005.

Superintendencia de Protección de Datos Personales. (2025e). Resolución No. SPDP-

SPD-2025-0022-R. Reglamento para la aplicación de la metodología para el

cálculo de multas en el régimen administrativo sancionatorio de la

Superintendencia de Protección de Datos Personales.

Superintendencia de Protección de Datos Personales. (2025f). Resolución No. SPDP-

SPD-2025-0028-R. Reglamento del Delegado de Protección de Datos

Personales.

Superintendencia de Protección de Datos Personales. (2025g). Guía de gestión de

riesgos y evaluación de impacto del tratamiento de datos personales.

Superintendencia de Protección de Datos Personales. (2025h). Guía de protección de

datos personales desde el diseño y por defecto.

Revista Científica Ciencia y Método | Vol.04 | Núm.02 | Abr–Jun | 2026 | www.revistacym.com pág. 382

Artículo Científico

Abril – Junio 2026

Unión Europea. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del

Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas

en lo que respecta al tratamiento de datos personales y a la libre circulación de

estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General

de Protección de Datos). Diario Oficial de la Unión Europea, L 119, pp. 1-88.

https://eur-lex.europa.eu/eli/reg/2016/679/oj

Yin, R. K. (2018). Case Study Research and Applications: Design and Methods (6ª

ed.). SAGE Publications.