BOLETIN DE PRENSA 1
Ecuador se adhiere a Declaración Internacional sobre riesgos de imágenes generadas con IA sin consentimiento
La Declaración representa la posición unificada de 61 autoridades y ha sido emitida en respuesta a serias preocupaciones sobre sistemas de inteligencia artificial capaces de generar imágenes y videos realistas de personas identificables sin su conocimiento ni consentimiento, con impactos particularmente graves cuando afectan a niñas, niños y adolescentes.
El documento establece expectativas claras y principios fundamentales que deben observar todas las organizaciones que desarrollen o utilicen sistemas de generación de contenido mediante inteligencia artificial, entre ellos:
• Implementar salvaguardas robustas para prevenir el uso indebido de datos personales y la generación de imágenes íntimas no consentidas u otros materiales dañinos, especialmente cuando involucren a menores de edad.
• Garantizar transparencia significativa sobre las capacidades de los sistemas de IA, sus límites, usos permitidos y consecuencias del uso indebido.
• Proporcionar mecanismos efectivos y accesibles para que las personas puedan solicitar la eliminación de contenidos perjudiciales que involucren su información personal, y responder con rapidez a dichas solicitudes.
• Adoptar medidas reforzadas para mitigar riesgos específicos que afecten a niños y otros grupos vulnerables.
Las autoridades cofirmantes han manifestado su intención de compartir información y coordinar acciones en los ámbitos de supervisión, política pública y educación, a fin de enfrentar de manera conjunta estos riesgos tecnológicos emergentes.
En Ecuador, la SPDP ejerce sus competencias de supervisión y control conforme a la Ley Orgánica de Protección de Datos Personales (LOPDP) y ha fortalecido este marco mediante la expedición de la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial (Resolución Nº SPDP-SPD-2026-0009-R), que establece que toda organización que utilice sistemas de IA para tratar datos personales de titulares ecuatorianos debe cumplir los principios, derechos y obligaciones previstos en la ley, bajo un enfoque basado en riesgos y con medidas de seguridad proporcionales.
Con esta adhesión, la SPDP reafirma su compromiso con la cooperación internacional para enfrentar riesgos digitales de alcance global y con la defensa activa de los derechos de la ciudadanía en el entorno digital.
Descarga la Declaración Conjunta aquí: Ver documento
BOLETIN DE PRENSA 2
La SPDP emite norma general para el tratamiento de datos personales en actividades familiares o domésticas
Quito, 3 de febrero de 2026.– La Superintendencia de Protección de Datos Personales (SPDP) expidió la Norma General para el Tratamiento de Datos Personales en Actividades Familiares o Domésticas, una regulación que responde a una realidad cada vez más frecuente: lo que ocurre en casa o entre personas cercanas deja de ser privado cuando se publica o se comparte en redes sociales o plataformas digitales.
La norma establece que el tratamiento de datos personales —como fotografías, videos, audios, mensajes o publicaciones— solo se considera familiar o doméstico mientras permanezca dentro de un círculo reducido de confianza. Cuando ese contenido se difunde, se comparte fuera de ese entorno o queda accesible a un número indeterminado de personas, deja de ser un asunto privado y pasa a estar sujeto a la Ley Orgánica de Protección de Datos Personales (LOPDP).
En este contexto, acciones cotidianas como subir una fotografía de otra persona sin su consentimiento, reenviar videos, audios o mensajes fuera del entorno íntimo, exponer información personal en grupos abiertos o utilizar contenidos familiares con fines comerciales pueden constituir una vulneración de derechos, incluso cuando no exista una intención deliberada de causar daño.
La SPDP evaluará cada caso de manera concreta, considerando tres criterios clave: la finalidad del tratamiento (por ejemplo, si existe un uso comercial), el alcance de la difusión (cuando los datos llegan a un público indeterminado) y el impacto que la publicación genera en los derechos y libertades del titular de los datos. Si se determina que se han excedido los límites del ámbito familiar o doméstico, podrán activarse medidas correctivas o procedimientos administrativos, conforme a la normativa vigente.
La norma también brinda una guía clara para la ciudadanía cuando una persona considera que su derecho a la protección de datos personales ha sido vulnerado. El primer paso es dirigirse directamente a quien publicó o difundió el contenido, solicitando de forma expresa el ejercicio de sus derechos, como la eliminación, rectificación o limitación del uso de sus datos. Si no existe respuesta, esta es negativa, tardía o insuficiente, el titular puede presentar una solicitud formal ante la SPDP, a través de los canales físicos o digitales habilitados y cumpliendo los requisitos establecidos.
Con esta regulación, la SPDP refuerza un mensaje central: la protección de datos personales empieza en casa, pero no termina ahí. La tecnología y las redes sociales amplifican lo que compartimos y, con ello, también nuestras responsabilidades. Respetar la privacidad ajena, incluso en entornos familiares o digitales aparentemente cerrados, es una forma esencial de convivencia y ciudadanía digital.
Esta norma fortalece el enfoque preventivo y educativo del sistema de protección de datos personales en el Ecuador y busca que las personas tomen decisiones informadas antes de compartir, publicar o difundir información personal de terceros, recordando que el consentimiento, el respeto y los límites importan, incluso entre personas cercanas.
Más información: www.spdp.gob.ec
BOLETÍN DE PRENSA 3
La SPDP sanciona a LIGAPRO por no haber implementado la protección de datos personales desde el diseño y por defecto en la aplicación FAN ID
La SPDP sanciona a LIGAPRO por no haber implementado la protección de datos personales desde el diseño y por defecto en la aplicación FAN ID
Quito, 20 de enero de 2026.– La Superintendencia de Protección de Datos Personales (SPDP) informa a la ciudadanía que, mediante la Resolución Nro. RES-SPDP-ICS-2025-0005, impuso una sanción administrativa a la Liga Profesional de Fútbol del Ecuador (LIGAPRO), tras verificar el cometimiento de una infracción leve relacionada con el tratamiento de datos personales en la aplicación FAN ID.
Luego de sustanciar el procedimiento previsto en la Ley Orgánica de Protección de Datos Personales (LOPDP) y en el Código Orgánico Administrativo (COA), la Autoridad determinó que LIGAPRO incurrió en la infracción tipificada en el numeral 2 del artículo 67 de la LOPDP, al no implementar la protección de datos personales desde el diseño y por defecto, particularmente en el tratamiento de datos personales biométricos.
El análisis realizado permitió constatar la ausencia de una implementación concreta, verificable y específica de medidas de seguridad orientadas a garantizar la observancia efectiva de los principios de lealtad, determinación de la finalidad, así como de pertinencia y minimización de los datos personales.
Verificado el cometimiento de la infracción leve, cuya sanción corresponde a un rango entre el 0,1 % y el 0,7 % del volumen de negocio del ejercicio económico inmediatamente anterior, la SPDP impuso a LIGAPRO una multa administrativa de USD $95.502,63. El pago deberá realizarse en el plazo de diez días contados a partir de la notificación, bajo advertencia de que, de no hacerlo, se procederá con la ejecución coactiva, conforme al artículo 271 del COA.
Adicionalmente, la SPDP dispuso el rediseño de la solución FAN ID, con el fin de presentar con exactitud y de forma diferenciada sus dos actividades de tratamiento de datos personales. Para el cumplimiento de esta medida, LIGAPRO contará con un plazo de un mes, bajo advertencia de que, de no hacerlo, se dictarán las medidas cautelares necesarias para garantizar su ejecución.
Si bien LIGAPRO ha sido sancionada previamente por esta Autoridad, el presente incumplimiento se configura como una reiteración y no una reincidencia, al corresponder a una infracción distinta.
La Superintendencia de Protección de Datos Personales enfatiza que la protección de datos desde el diseño y por defecto no es una formalidad técnica, sino una obligación legal esencial para la aplicación de los principios establecidos en la normativa aplicable, y proteger los derechos de los titulares. Cualquier sistema que trate datos personales, especialmente biométricos, debe concebir, desde su origen, la implementación de medidas técnicas y organizativas adecuadas.
Más información: www.spdp.gob.ec
BOLETÍN DE PRENSA 4
La SPDP sanciona a la FEF por no utilizar metodologías de análisis y gestión de riesgos adecuadas
La SPDP sanciona a la FEF por no utilizar metodologías de análisis y gestión de riesgos adecuadas
Quito, 20 de enero de 2026.– La Superintendencia de Protección de Datos Personales (SPDP) informa a la ciudadanía que, mediante la Resolución Nro. RES-SPDP-ICS-2025-0006, impuso una sanción administrativa a la Federación Ecuatoriana de Fútbol (FEF), tras verificar el cometimiento de una infracción grave relacionada con el tratamiento de datos personales en la aplicación FAN FEF.
Luego de sustanciar el procedimiento previsto en la Ley Orgánica de Protección de Datos Personales (LOPDP) y en el Código Orgánico Administrativo (COA), la Autoridad determinó que la FEF incurrió en una infracción tipificada en el numeral 4 del artículo 68 de la LOPDP, al constatar que el responsable del tratamiento de datos carecía de una metodología de análisis y gestión de riesgos en protección de datos personales que no estaba adaptada a la naturaleza de los datos personales, las particularidades del tratamiento y las características de las partes involucradas.
Como resultado, la SPDP impuso a la FEF una multa administrativa de USD $194.469,85, cuyo pago deberá realizarse en el plazo de diez días contados a partir de la notificación, bajo advertencia de que, de no hacerlo, se procederá con la ejecución coactiva, conforme a lo establecido en el artículo 271 del COA.
Adicionalmente, la Autoridad dispuso la reformulación de la metodología de análisis de riesgos y de la evaluación de impacto, a fin de calibrar adecuadamente los componentes que, de manera errónea, concluyeron en una evaluación de impacto con resultado cero, conforme a la normativa vigente en materia de protección de datos personales. Para el cumplimiento de estas medidas, la FEF contará con un plazo de un mes, bajo advertencia de que, de no hacerlo, se dictarán las medidas cautelares necesarias para garantizar su ejecución.
La Superintendencia de Protección de Datos Personales recuerda que contar con metodologías formales no resulta suficiente si estas no se aplican de manera rigurosa y coherente con la realidad del tratamiento de datos. Evaluar riesgos, anticipar impactos y ajustar oportunamente las medidas de seguridad es una responsabilidad permanente de los responsables del tratamiento y una condición esencial para fortalecer la confianza de la ciudadanía y garantizar el respeto efectivo de sus derechos.
Más información: www.spdp.gob.ec
BOLETÍN DE PRENSA 5
La SPDP Alerta sobre la difusión de un registro viral que vulnera datos personales en Ecuador
La SPDP Alerta sobre la difusión de un registro viral que vulnera datos personales en Ecuador
Quito, 04 de diciembre de 2025.- La Superintendencia de Protección de Datos Personales (SPDP) ha conocido en las últimas horas la circulación masiva de un archivo viral denominado “Lista de Infieles Ecuador”, que se difunde a través de redes sociales, plataformas de mensajería y enlaces públicos. En este registro cualquier usuario puede añadir información sin verificación y sin cumplir con las condiciones lícitas del tratamiento de datos personales, tal como lo estipula el artículo 7 de la Ley Orgánica de Protección de Datos Personales.
La SPDP advierte que esta práctica constituye un riesgo grave para los derechos y libertades de los ciudadanos. Este tipo de listados anónimos, abiertos y colaborativos promueve la exposición indebida de información y vulnera de manera directa el derecho fundamental a la protección de datos personales. Además, la supuesta finalidad recreativa o “viral” del archivo no exime de responsabilidad por el tratamiento ilegítimo de datos ni elimina las posibles consecuencias legales derivadas de su difusión.
En el marco de sus competencias, la institución se encuentra evaluando el alcance, impacto y origen de la difusión del archivo a fin de determinar posibles responsables.
La SPDP insta a la ciudadanía a no participar en estas dinámicas, evitando reenviar, consultar o aportar información. La protección de datos personales es un deber colectivo y una obligación legal. En un entorno digital donde la viralidad puede amplificar riesgos de manera inmediata, es indispensable actuar con responsabilidad, detener la propagación de contenidos que afecten a terceros y promover una cultura de respeto a la protección de datos personales.
Más información: www.spdp.gob.ec
BOLETIN DE PRENSA 6
SPDP emite sus primeras sanciones por infracciones graves a la Ley de Protección de Datos Personales
Quito, 1 de diciembre de 2025.- La Superintendencia de Protección de Datos Personales (SPDP) informa a la ciudadanía que, tras la ejecución de los procedimientos previstos en la Ley Orgánica de Protección de Datos Personales (LOPDP) y en el Código Orgánico Administrativo (COA), resolvió imponer sanciones administrativas a la Liga Profesional de Fútbol del Ecuador (LIGAPRO) y a la Federación Ecuatoriana de Fútbol (FEF), por infracciones graves vinculadas con el tratamiento de datos personales en las aplicaciones Fan ID y Fan FEF, respectivamente.
En ambos casos, la SPDP llevó a cabo requerimientos de información, actuaciones previas (incluidas inspecciones in situ) y procedimientos de medidas correctivas, de acuerdo con los artículos 63, 65 y 66 de la LOPDP. Tras verificarse presuntos incumplimientos y, posteriormente, el incumplimiento total o parcial de las medidas correctivas ordenadas, la institución inició los correspondientes Procedimientos Administrativos Sancionadores (PAS), observando todas sus etapas legales; esto es, acto de inicio, fase instructora y fase resolutoria.
A base de los elementos probatorios recabados, la SPDP constató, en ambos expedientes, la existencia de una infracción grave prevista en el artículo 68, numeral 1, de la LOPDP, relacionada con la falta de implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes para garantizar un tratamiento adecuado y conforme con la normativa vigente.
En el caso de LIGAPRO, la SPDP declaró su responsabilidad administrativa, impuso una multa de US$259,644.01 y dispuso que la organización informe a 14,398 titulares que su consentimiento no fue obtenido válidamente, además de eliminar dichos datos personales de todas las bases administradas por la entidad.
En el caso de la FEF, la SPDP determinó, igualmente, su responsabilidad administrativa e impuso una multa de US$194,856.16. La Federación deberá adecuar sus procesos internos mediante la actualización de su Registro de Actividades de Tratamiento, la implementación de una Política de Protección de Datos conforme con la LOPDP, la notificación a los titulares respecto de la invalidez del consentimiento recabado y la eliminación de los datos tratados a través del aplicativo Fan FEF.
Las resoluciones ⎯que contienen la fundamentación jurídica, los hallazgos técnicos y el detalle de las actuaciones realizadas⎯ estarán disponibles en la página web institucional.
La SPDP reafirma su compromiso con la defensa efectiva del derecho a la protección de datos personales en el Ecuador. Estas decisiones marcan un precedente institucional relevante y envían un mensaje claro a todos los responsables y encargados del tratamiento de datos personales: la gestión de datos personales exige rigor, transparencia y responsabilidad proactiva. La institución continuará actuando con absoluta observancia del debido proceso, para asegurar que los derechos de los ciudadanos sean debidamente respetados.