La Superintendencia de Protección de Datos Personales establece nuevas reglas para el cálculo de multas – Resolución N° SPDP-SPD-2025-0022-R

En un paso significativo hacia la protección efectiva de nuestros datos personales, la Superintendencia de Protección de Datos Personales (SPDP) ha publicado la Resolución N° SPDP-SPD-2025-0022-R. Esta nueva normativa, junto con sus modelos de cálculo, busca establecer un marco claro y proporcional para la imposición de multas ante el incumplimiento de la Ley Orgánica de Protección de Datos Personales (LOPDP). El objetivo principal es garantizar que las sanciones sean justas y reflejen la gravedad de las infracciones, considerando factores clave como la intencionalidad y el impacto generado.

La SPDP, como organismo técnico de vigilancia y control en materia de datos personales en Ecuador, con potestad sancionatoria, ha cumplido con su facultad de emitir normativa general o técnica para el ejercicio de sus competencias. Esta iniciativa responde a la necesidad de detallar la metodología para el cálculo de multas, tanto para infracciones leves como graves, las cuales ya estaban tipificadas en los artículos 67, 68, 69 y 70 de la LOPDP.

La Resolución N° SPDP-SPD-2025-0022-R y su Anexo I, denominado «Modelos para Calcular el Monto de las Multas Administrativas: MPRIV-1 y MPUB-1”, establecen dos modelos principales para el cálculo de estas multas, dependiendo si la entidad infractora es de derecho privado o pública.

  • Para el sector privado (MPRIV-1): Este modelo está diseñado para instituciones privadas con fines de lucro. Las multas se calcularán en función del volumen de negocio de la empresa infractora, correspondiente al ejercicio inmediatamente anterior al de la imposición de la multa. El rango de las multas por infracciones leves oscilará entre el 0.1% y el 0.7% de dicho volumen, mientras que para infracciones graves, el rango será entre el 0.7% y el 1%. Este modelo considera el «Peso de la Infracción (PDI)» y la «Seriedad de la Infracción (SDI)». La SDI, a su vez, evalúa el «Impacto en los Derechos (IED)» (con un peso del 60%), la «Intencionalidad (INT)» (con un peso del 40%), y de manera opcional, la «Reiteración y Reincidencia (RER)» (como agravante adicional con un peso del 20%). El impacto en los derechos (IED) se estima en función de cuatro factores: (1) tipos de datos personales, (2) número de titulares afectados y volumen de datos, (3) naturaleza de la vulneración, y (4) grupos de titulares especialmente vulnerables.
  • Para el sector público (MPUB-1): Este modelo se aplica a sanciones para servidores o funcionarios del sector público. Las multas se basarán en el Salario Básico Unificado (SBU). Para infracciones leves, las multas pueden ir de uno a diez SBU, y para infracciones graves, de diez a veinte SBU. Al igual que en el modelo privado, se consideran el «Peso de la Infracción (PDI)» y la «Seriedad de la Infracción (SDI)”, con sus respectivos componentes de impacto en los derechos (IED), intencionalidad (INT), y reiteración o reincidencia (RER).

Ambos modelos utilizan la fórmula PERT (Program Evaluation and Review Technique) para la estimación de los valores cuando existe discrecionalidad, definida como (a+4b+c) /6, donde ‘a’ es el valor mínimo, ‘b’ el más probable y ‘c’ el máximo. Esto permite establecer rangos de sanción objetivos y calibrar las multas en intervalos de acierto. Además, contemplan la posibilidad de realizar un análisis de Monte Carlo para generar múltiples escenarios aleatorios, sobre todo cuando la incertidumbre sea alta y los intervalos entre el valor mínimo y el máximo sean grandes. Esto ayuda a la autoridad a contar con un intervalo confiable de acierto para la multa.

La Superintendencia de Protección de Datos Personales podrá modificar la metodología en cualquier momento con la finalidad de mejorar su aplicación. Además, se ha establecido una disposición transitoria que otorga un plazo de tres meses a partir de la publicación de este reglamento en el Registro Oficial para que la Intendencia General de Innovación Tecnológica y Seguridad de Datos Personales desarrolle e implemente el sistema informático institucional que permitirá la aplicación del Anexo I en los procesos administrativos sancionadores.

Es fundamental destacar que esta resolución, firmada en Quito, D.M., el 16 de julio de 2025, entrará en vigor a partir de su suscripción, sin perjuicio de su publicación en el Registro Oficial.

La emisión de esta resolución y sus modelos de cálculo representa un avance significativo en la consolidación del régimen sancionatorio en materia de protección de datos personales en Ecuador. Si bien busca otorgar claridad y objetividad en la determinación de las multas, el impacto para las organizaciones radica en la necesidad imperante de reforzar sus políticas y prácticas de tratamiento de datos personales para asegurar el cumplimiento de la LOPDP. Evita futuros inconvenientes, estamos para solventar tus inquietudes y guiarte en la adaptación a estos cambios. En caso de requerir asesoría para la aplicación de los cambios en la normativa, estamos para servirte.

DURINI & GUERRERO ABOGADOS

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *