Se acabó el tiempo de gracia. Lo que sucedió con la LigaPro y la Federación Ecuatoriana de Fútbol marca un antes y un después en el cumplimiento normativo en Ecuador. La Superintendencia de Protección de Datos Personales pasó de las advertencias a la acción, imponiendo multas que superan los 450.000 USD en conjunto.
El mito del consentimiento en una casilla marcada
El fallo ataca la raíz del problema: el consentimiento viciado. LigaPro y la FEF implementaron los sistemas "Fan ID" y "Fan FEF" bajo la premisa de seguridad, pero cometieron un error fundamental: condicionar el servicio. Si para entrar al estadio el usuario está obligado a ceder sus datos biométricos — el rostro — ese consentimiento no es libre. La Superintendencia ha sido clara: si no hay libertad de elección, no hay consentimiento válido.
"Si para obtener el servicio el usuario no tiene opción, el consentimiento no es libre y por tanto no es válido bajo la LOPDP."
La sanción invisible es la más costosa
La resolución trae algo mucho más doloroso que la multa económica: la eliminación de la base de datos. La autoridad ordenó a LigaPro notificar a más de 14.000 usuarios que sus datos fueron tratados ilegalmente y que serán borrados. Imagine aplicar esto a su empresa: ¿cuánto vale su base de datos de clientes? El daño reputacional y operativo supera con creces los 250.000 USD de la multa.
La obsesión por la biometría y el principio de proporcionalidad
Este caso es un aviso para las empresas que quieren implementar reconocimiento facial, huella dactilar o iris "porque es tecnología de punta". Si puede verificar la identidad con la cédula y un código QR, ¿por qué escanea el rostro? Eso viola el principio de proporcionalidad del Art. 16 de la LOPDP. Recolectar datos biométricos sin una justificación técnica y legal inmaculada es, hoy por hoy, un riesgo inasumible.
La lectura correcta para su empresa
La recomendación es inmediata: revise sus procesos de recolección de datos ahora. Si su estrategia se basa en "obligar" al cliente a aceptar términos para darle el servicio, está sentado sobre una bomba de tiempo. La protección de datos dejó de ser un trámite burocrático; hoy es un tema de responsabilidad financiera y continuidad de negocio.
Este caso debe leerse como una señal de alerta para cualquier organización que opera en Ecuador con modelos de recolección de datos condicionados. El estándar de cumplimiento que la SPDP exige ya no admite ambigüedades.
¿Sus procesos de recolección de datos están expuestos?
MAJLEX realiza auditorías de cumplimiento LOPDP y diagnósticos de riesgo para empresas con exposición regulatoria en Ecuador.
Solicitar auditoría