Punitive dosimetry and proactive accountability: The Sanctioning Regime for Personal Data Processing in Ecuador

Article Sidebar

PDF (Spanish) HTML (Spanish)
Published: 2026-05-12
DOI: https://doi.org/10.55813/gaea/rcym/v4/n2/200
Keywords:
Personal data protection, sanctioning regime, accountability, punitive dosimetry, SPDP

Main Article Content

Denisse Carolina Plúas-Espinoza
Universidad Técnica Estatal de Quevedo
https://orcid.org/0000-0001-8397-254X
Joel David Cabrera-Moreira
Universidad Técnica Estatal de Quevedo
https://orcid.org/0000-0003-1868-2225
Gina del Pilar Rendón-Guerra
Universidad Técnica Estatal de Quevedo
https://orcid.org/0000-0002-7197-4764

Abstract

The enactment of the sanctioning regime under Ecuador’s Organic Law on Personal Data Protection in May 2023 marked the commencement of the sanctioning activities of the Superintendence of Personal Data Protection. This study examines the application of the sanctioning regime through an analysis of the first four administrative resolutions issued against the Ecuadorian Professional Football League and the Ecuadorian Football Federation, employing a qualitative, dogmatic-legal approach with a multiple case study design. The findings reveal that the Superintendence has consistently applied the criteria related to the gravity of the infringement, the seriousness of the conduct, the degree of intent, and reiteration, distinguishing between minor and serious infringements. It utilizes an algorithmic system called MPRIV-1, which reduces discretion through a Monte Carlo probability distribution curve. It is concluded that these initial resolutions consolidate an administrative doctrine that materializes the principles of proactive accountability and data protection by design, thereby establishing predictable criteria for data controllers.

Downloads

Download data is not yet available.

Article Details

Issue

Vol. 4 No. 2 (2026): Mapping Knowledge in Contemporary Contexts

Section

Artículos
Creative Commons License

This work is licensed under a Creative Commons Attribution-NonCommercial 4.0 International License.

How to Cite

Plúas-Espinoza, D. C., Cabrera-Moreira, J. D., & Rendón-Guerra, G. del P. (2026). Punitive dosimetry and proactive accountability: The Sanctioning Regime for Personal Data Processing in Ecuador. Scientific Journal Science and Method, 4(2), 362-382. https://doi.org/10.55813/gaea/rcym/v4/n2/200
Crossref
Scopus
Google Scholar
Europe PMC

References

Diseño. https://www.aepd.es/guias/guia-privacidad-desde-diseno.pdf

Agencia Española de Protección de Datos. (2020). Guía de Protección de Datos por Defecto. https://www.aepd.es/guias/guia-proteccion-datos-por-defecto.pdf

Asamblea Constituyente. (2008). Constitución de la República del Ecuador. Registro Oficial 449, 20 de octubre de 2008. https://www.asambleanacional.gob.ec/es/contenido/constitucion-de-la-republica-del-ecuador

Asamblea Nacional del Ecuador. (2021). Ley Orgánica de Protección de Datos Personales. Registro Oficial Suplemento 459, 26 de mayo de 2021. https://www.telecomunicaciones.gob.ec/wp-content/uploads/2021/06/Ley-Organica-de-Datos-Personales.pdf

Bustamante Fabara. (2025, noviembre 26). Personal data protection officer (DPO): The new backbone of corporate compliance in Ecuador. https://bustamantefabara.com/en/personal-data-protection-officer-dpo-the-new-backbone-of-corporate-compliance-in-ecuador/

Cañavate-Megías, M. Á. (2021). El principio de responsabilidad proactiva en el Reglamento General de Protección de Datos [Trabajo de fin de máster, Universidad Internacional de La Rioja]. Re-UNIR. https://reunir.unir.net/handle/123456789/11953

Echeverría, D. (2025). Protección de datos personales. Derecho Ecuador. https://derechoecuador.com/proteccion-de-datos-personales-2/

Estepa Montero, M. (2022). El principio de responsabilidad proactiva o rendición de cuentas como principio conformador del régimen jurídico de la protección de datos de las personas físicas. Anuario Jurídico y Económico Escurialense, (55), 67–90. https://doi.org/10.54571/ajee.511

Krippendorff, K. (2004). Content analysis: An introduction to its methodology (2nd ed.). Sage Publications.

Presidencia de la República del Ecuador. (2023). Reglamento General a la Ley Orgánica de Protección de Datos Personales. Decreto Ejecutivo No. 904. Registro Oficial Suplemento 435 de 13 de noviembre de 2023.

Remolina Angarita, N. (2010). ¿Tiene Colombia un nivel adecuado de protección de datos personales a la luz del estándar europeo? International Law: Revista Colombiana de Derecho Internacional, 8(16), 489–523. https://revistas.javeriana.edu.co/index.php/internationallaw/article/view/13847

Romeo, A. (2020). La responsabilidad proactiva de las Administraciones Públicas en la protección de datos personales. Revista Vasca de Gestión de Personas y Organizaciones Públicas, (18), 138-153. https://dialnet.unirioja.es/servlet/articulo?codigo=7491822

Sánchez Reyero, D. (2009). Dosimetría punitiva en el seno del derecho administrativo. Actualidad Administrativa, (8), 894–898. https://cpresidencia.carm.es/cedi/verDocumento.jsf%3Bjsessionid%3D27F5B68BA5D9A35BA62AC02B4C499532.jvmcedipru1?id=7922&utm_source=chatgpt.com

Santamaría Ramos, F. J. (2020). El principio de responsabilidad proactiva: Una oportunidad para un mejor cumplimiento de la normativa en materia de protección de datos de carácter personal en el ámbito latinoamericano. Derecho PUCP, (85), 139–174. https://doi.org/10.18800/derechopucp.202002.005

Superintendencia de Protección de Datos Personales. (2024a). Oficio No. SPDP-IGRPD-2024-002-O-C. https://spdp.gob.ec/consultasatendidas/

Superintendencia de Protección de Datos Personales. (2024b). Oficio No. SPDP-IGRPD-2024-008-O-C. https://spdp.gob.ec/consultasatendidas/

Superintendencia de Protección de Datos Personales. (2025a). Resolución No. RES-SPDP-ICS-2025-0002. Expediente No. EXP-SPDP-ICS-PASN-2025-0004.

Superintendencia de Protección de Datos Personales. (2025b). Resolución No. RES-SPDP-ICS-PASN-2025-0003. Expediente No. EXP-SPDP-ICS-PASN-2025-0003.

Superintendencia de Protección de Datos Personales. (2025c). Resolución No. RES-SPDP-ICS-2025-0005. Expediente No. EXP-SPDP-ICS-PASN-2025-0002.

Superintendencia de Protección de Datos Personales. (2025d). Resolución No. RES-SPDP-ICS-2025-0006. Expediente No. EXP-SPDP-ICS-PASN-2025-0005.

Superintendencia de Protección de Datos Personales. (2025e). Resolución No. SPDP-SPD-2025-0022-R. Reglamento para la aplicación de la metodología para el cálculo de multas en el régimen administrativo sancionatorio de la Superintendencia de Protección de Datos Personales.

Superintendencia de Protección de Datos Personales. (2025f). Resolución No. SPDP-SPD-2025-0028-R. Reglamento del Delegado de Protección de Datos Personales.

Superintendencia de Protección de Datos Personales. (2025g). Guía de gestión de riesgos y evaluación de impacto del tratamiento de datos personales.

Superintendencia de Protección de Datos Personales. (2025h). Guía de protección de datos personales desde el diseño y por defecto.

Unión Europea. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos). Diario Oficial de la Unión Europea, L 119, pp. 1-88. https://eur-lex.europa.eu/eli/reg/2016/679/oj

Yin, R. K. (2018). Case Study Research and Applications: Design and Methods (6ª ed.). SAGE Publications.