por | Jul 29, 2025 | Boletines | 0 Comentarios

La Superintendencia de Protección de Datos Personales, mediante la Resolución No. SPDP-SPD-2025-0022-R, ha emitido un nuevo reglamento, que regula cómo se calcularán las multas por infracciones a la Ley Orgánica de Protección de Datos Personales.

Puntos Claves

Objeto

Establecer una metodología clara y uniforme para el cálculo de las multas administrativas derivadas de infracciones leves o graves a la Ley Orgánica de Protección de Datos Personales. El reglamento se aplica exclusivamente en el marco del régimen sancionador de la Superintendencia.

Modelos de Cálculo

Se han diseñado dos modelos distintos según el tipo de institución:

  • Modelo MPRIV-1: Para instituciones privadas con fines de lucro la multa se calcula como un porcentaje del volumen de negocios del año anterior.
  • Modelo MPUB-1: Para instituciones públicas, la base de cálculo es el Salario Básico Unificado (SBU) y aplica a los servidores públicos involucrados.

Modelo MPRIV-1

El modelo aplicable a empresas privadas se llama MPRIV-1, y funciona bajo tres factores principales:

  1. Volumen de Negocios del año anterior

La base del cálculo es la facturación o ingresos del último ejercicio económico cerrado. A mayor volumen, mayor puede ser la multa.

  1. Tipo de infracción y cumplimiento

Se evalúa la gravedad de la infracción (leve o grave), y además, si la empresa ha demostrado cumplimiento con la ley o ha tomado medidas correctivas.

  • Si cumple parcialmente, el impacto será menor.
  • Si no cumple o ignora observaciones, la multa será más alta.
  1. Seriedad del caso

La autoridad considera si el hecho afectó los derechos de los clientes, si hubo intención de ocultarlo o si ya has tenido infracciones similares antes. Estos elementos pueden subir o bajar el monto final.

Categoría de la Infracción (CDI)

Se distingue dos tipos de infracciones:

  • Leves: Multa entre 0.1% y 0.7% del VDN
  • Graves: Multa entre 0.7% y 1% del VDN

Ejemplo: Si “empresa x” comete una infracción grave:

  • Mínimo: 0.7% de $1,000,000 = $7,000
  • Máximo: 1% de $1,000,000 = $10,000

Luego, se ajusta el valor según el Peso de la Infracción (PDI).

¿Qué tan elevadas pueden ser las sanciones?

Aunque no hay una cifra única, las multas se determinan como porcentaje de los ingresos anuales de la empresa. Además, si el caso es complejo o con muchas variables, la Superintendencia de Protección de Datos Personales puede usar herramientas como simulaciones estadísticas para fijar un rango de multa razonable.

Análisis de Monte Carlo

El reglamento autoriza el uso del Análisis de Monte Carlo, una herramienta que permite simular múltiples escenarios posibles de multa, en lugar de calcular un único monto fijo.

El análisis se aplica especialmente cuando hay muchas variables inciertas, y genera muchos resultados posibles para obtener un rango estimado y más realista del valor que podría imponerse.

Es decir, la multa final puede ubicarse dentro de ese rango, dependiendo del contexto del caso y del nivel de cumplimiento demostrado por la empresa. No necesariamente se aplicará el valor más alto.