A principios de marzo de 2026, la Dirección de Impuestos y Aduanas Nacionales (DIAN) de Colombia recibió una alerta por posible hackeo de su página web en la sección de agendamiento de citas de usuarios. Según medios especializados en la dark web los datos de cerca de 18 millones de colombianos estaban siendo ofrecidos por USD 2.000 junto con un software para explotar la vulnerabilidad de la página. Aunque el caso sigue bajo investigación, evidencia una vez más el poder de los datos personales y la responsabilidad que tienen las entidades de proteger, resguardar y responder por la vulnerabilidad de uno de los activos más valiosos de la actualidad. En este blog revisamos uno de los últimos casos sobre protección de datos en Ecuador y cómo se encuentra el país preparado para defender este activo. 

El caso Liga Pro - FEF

El 1 de diciembre de 2025, la Superintendencia de Protección de Datos Personales (SPDP) de Ecuador, tras incumplimientos constatados por la entidad, anunció que La Federación Ecuatoriana de Fútbol y la Liga Pro recibieron multas por infracciones graves relacionadas con el tratamiento de datos personales en las aplicaciones FAN ID y FAN FEF. La aplicación ID se usó para la venta de partidos puntuales como finales de liga y EFE se usa en todos los partidos de la selección nacional. La entidad logró determinar que:

• FAN ID incorpora procesos de captura, análisis y verificación automatizada de características faciales, considerados datos biométricos, del personal que labora en los centros deportivos. 
• FAN ID señala que se hace la creación de un mapa facial con los datos recabados. 
• Las finalidades, alcances y características del tratamiento, incluido el tratamiento biométrico no se encontraban definidas con la certeza necesaria en el momento que se recabó el consentimiento para el uso de FAN ID. 
• FAN EFE no menciona en su política de protección de datos los periodos de conservación de los datos recabados. 
• Se detectaron irregularidades en la aplicación FAN EFE respecto al consentimiento. Particularmente en la utilización de términos y condiciones generales como mecanismo de aceptación, la ausencia de información previa suficiente, la inexistencia de mecanismos de manifestación afirmativa diferenciada y el condicionamiento del consentimiento al uso de la aplicación lo que evidencia una falta de comprensión y requisitos mínimos exigidos por la Ley. 
• FAN EFE no ha desarrollado la infraestructura jurídica, administrativa y organizativa adecuada para asegurar el tratamiento de datos.

Teniendo en cuenta la seriedad de la falta de las dos entidades, la SPDP ordenó que:

• Liga Pro debe pagar USD 259.644,01 y debe informar a 14.398 personas que el consentimiento de tratamiento de datos no fue obtenido de forma válida y por eso deben eliminarlos de la aplicación FAN ID. 
• La Federación Ecuatoriana de Fútbol debe pagar USD 194.856,16 y adecuar sus procesos internos, en especial el Registro de Actividades de Tratamiento e implementar una Política de Protección de Datos que se ajuste a la Ley. Además, deben informar a los usuarios que el consentimiento no fue obtenido válidamente y eliminar los datos que fueron recolectados. 

Fan ID en México y Colombia 

Aunque comparten nombre y objetivo, los desarrolladores de FAN ID en México son diferentes a los encargados de la aplicación en Ecuador. Los responsables de la aplicación, tras la violencia que se ha sufrido en los estadios de México, buscaron desarrollar una solución para conocer la identidad de quiénes ingresan a los recintos deportivos y así detectar a aquellos que alteran el orden. Esta medida fue aplicada voluntariamente en enero de 2023 y se hizo obligatoria desde abril del mismo año. Con el éxito que ha tenido en México que ha logrado aumentar en un 16% la asistencia a los estadios al garantizar un ambiente seguro, los expertos se preguntan si esa solución sería viable en Colombia para frenar la violencia en los encuentros deportivos. A diferencia de Ecuador, Fan ID en México cuenta con los principios de proporcionalidad, legalidad y consentimiento que dicta la Ley de Protección de Datos Personales. 

Tratamiento de datos a gran escala  

Los esfuerzos de Ecuador por garantizar la protección de datos no se detienen tras la aprobación de la reciente Ley Orgánica de Protección de Datos de Ecuador y es así que en enero de 2026 presentó un nuevo capítulo en el ámbito de protección con la resolución sobre el tratamiento de datos a gran escala. La SPDP emitió la norma que incorpora el Modelo Técnico de Gran Escala (MTGE) y determina cuando se activan obligaciones de cumplimiento reforzadas. Con esta nueva medida se presenta un sistema de sumatoria que considera aspectos como número de titulares, volumen, categorías, frecuencia, permanencia y geografía. De acuerdo al puntaje, las empresas identificarán si hacen parte o no del MTGE. Sin embargo, existe la calificación directa si la recolección incluye:

• Datos biométricos.
• Datos de salud o sensibles. 
• Geolocalización en tiempo real. 
• Videovigilancia en espacios públicos. 
• Scoring financiero o crediticio. 
• Datos de niños, niñas o adolescentes. 
• Transferencias internacionales sistemáticas. 
• Operaciones de courier masivas. 

Con esta norma se intensifican las labores de verificación de la Superintendencia a través de evaluaciones de impacto, delegados de protección de datos en las compañías, informes técnicos, auditorías y políticas de privacidad claras y explícitas. 

Procesos y datos seguros 

Las aplicaciones que están pensadas para simplificar procesos en las ligas de fútbol también tienen como objetivo garantizar la seguridad en los procesos de compra y de asistencia a los recintos deportivos a través de una validación de usuarios. Sin embargo, ya quedó claro que, si esta no se hace de forma adecuada y respetando los derechos de los usuarios, va a traer más problemas que soluciones. Es así que estas aplicaciones pueden integrar un sistema de verificación de identidad a través de una API como la de Tusdatos para constatar la identidad de usuarios e incluso validar los antecedentes con el fin de activar protocolos de seguridad. Gracias a la integración, las plataformas no solo podrán recolectar datos a través de una API con todas las regulaciones de protección de datos, sino que podrán acceder a información en tiempo real de fuentes públicas para contar con información válida que permita procesos más seguros.