La Ley Orgánica de Protección de Datos Personales rige en Ecuador desde 2021 y ya cuenta con sus primeras sanciones por infracciones graves. La normativa establece principios, derechos y obligaciones para proteger los datos personales de los ciudadanos; además garantiza que el tratamiento de información sea lícito, transparente y seguro.

Suena a utopía, pero lo cierto es que en Ecuador la Ley otorga derechos como acceso, rectificación, supresión y portabilidad de datos. Esto se cumple con una autoridad de control, la Superintendencia de Protección de Datos Personales (SPDP), que tomó como ejemplo el Reglamento Europeo de Protección de Datos, que entró en vigor en mayo de 2018.

Tras ese breve contexto, el pasado 1 de diciembre se supo que la SPDP resolvió imponer sanciones administrativas a la Liga Profesional de Fútbol del Ecuador (LigaPro) y a la Federación Ecuatoriana de Fútbol (FEF). ¿Por qué? Según el organismo de control ambas entidades cometieron “infracciones graves vinculadas con el tratamiento de datos personales en las aplicaciones Fan ID y Fan FEF, respectivamente”, según señala el sitio web de la Superintendencia.

En ambos casos, la SPDP llevó a cabo requerimientos de información, actuaciones previas (incluidas inspecciones in situ) y procedimientos de medidas correctivas. Tras verificarse presuntos incumplimientos y, posteriormente, el incumplimiento total o parcial de las medidas correctivas ordenadas, la institución inició los correspondientes Procedimientos Administrativos Sancionadores.

En el caso de LigaPro, la SPDP declaró su responsabilidad administrativa e impuso una multa de US$ 259.644,01; además dispuso que la organización informe a 14.398 perosnas que su consentimiento no fue obtenido válidamente y solicitó eliminar dichos datos personales de todas las bases administradas por la entidad.

Con la FEF, la Superintendencia determinó, igualmente, su responsabilidad administrativa e impuso una multa de US$ 194.856,16. Además, la Federación deberá adecuar sus procesos internos mediante la actualización de su Registro de Actividades de Tratamiento, la implementación de una Política de Protección de Datos conforme con la LOPDP, la notificación a los titulares respecto de la invalidez del consentimiento recabado y la eliminación de los datos tratados a través del aplicativo Fan FEF. Son, sin duda, dos precedentes en el país. 

¿Y qué se considera un dato personal? Según la Ley, es cualquier información sobre una persona natural que permita identificarla. Esto incluye nombre, edad, dirección, datos de salud, financieros, académicos, origen étnico, ideología política, religión, orientación sexual, datos biométricos. En pocas palabras: Si la información se refiere a una persona física y puede usarse para saber quién es esa persona, es un dato personal y debe ser protegido.

¿Qué consecuencias pueden enfrentar las empresas ecuatorianas que incumplen la Ley? Estas van desde multas económicas que pueden variar desde un porcentaje de la facturación anual (hasta el 1%) hasta montos fijos, dependiendo si la infracción es leve, grave o muy grave.

La SPDP también puede ordenar la suspensión temporal del tratamiento de datos o incluso prohibir actividades específicas relacionadas con datos personales.

Una consecuencia intangible es el daño reputacional por la falta de cumplimiento de la normativa. Esto merma la confianza de los clientes y proveedores. Otra consecuencia está en posibles indemnizaciones cuando las personas afectadas demanden a una compañía por daños y perjuicios. Es un tema serio. (O)