La Superintendencia de Protección de Datos Personales (SPDP) ha expedido la Resolución No. SPDP-SPD-2025-0022-R, que emite el Reglamento para la Aplicación de la Metodología para el Cálculo de las Multas en el Régimen Administrativo Sancionatorio de la Superintendencia de Protección de Datos Personales.
METODOLOGÍA GENERAL DE CÁLCULO
La multa se calcula con una fórmula simple:
Multa = Categoría de la infracción × Seriedad del caso
Para ello se toman en cuenta los siguientes factores:
1. Tipo de infracción
La ley distingue entre:
a. Leves: multa entre el 0.1% y 0.7% del volumen de negocios.
b. Graves: entre el 0.7% y 1% del volumen de negocios.
Volumen de negocio: se entiende por volumen de negocio a la cuantía resultante de la venta de productos y de la prestación de servicios realizados por operadores económicos, durante el último ejercicio, que corresponda a sus actividades, previa deducción del Impuesto al Valor Agregado (IVA) y de otros impuestos directamente relacionados con la operación económica.
En el sector público, en lugar del volumen de negocios, se usa como base el Salario Básico Unificado (SBU).
2. Seriedad del caso
Para determinar este parámetro se analizará lo siguiente:
a. El daño a los titulares de los datos (por ejemplo, si eran datos sensibles o si afectó a grupos vulnerables).
b. El volumen de titulares afectados.
c. Si el operador económico actuó con dolo, negligencia o fue un error corregido.
d. Si hubo o no reincidencia.
La combinación de estos factores genera un multiplicador que puede aumentar o reducir la multa base, por ejemplo:
Una clínica privada con un volumen de negocios anual de USD 15 millones filtra sin autorización la historia clínica de una paciente de alto perfil mediático, cuya información médica circula masivamente en redes sociales. La infracción es calificada como grave, por tratarse de datos sensibles y por haberse vulnerado el derecho a la intimidad.
Se aplica el 1% como porcentaje base, lo que equivale a USD 150.000.
Al evaluar la seriedad del caso, se determina que el impacto sobre los derechos de la titular es alto: se filtraron datos de salud, la difusión fue masiva, y no hubo contención o respuesta institucional efectiva. Además, el hecho involucró un entorno con acceso restringido, lo que evidencia negligencia interna.
El multiplicador por seriedad se estima en 2.10, considerando la afectación, la intencionalidad indirecta y la ausencia de medidas correctivas.
La multa final asciende a USD 315.000.
3. En caso de incertidumbre
La resolución contempla el uso de herramientas como el análisis de Monte Carlo que permite simular distintos escenarios posibles para calcular un rango confiable de multa.
Esta información es un resumen de novedades jurídicas de interés, y por tanto no podrá ser considerada como asesoría provista. Cualquier inquietud, comunícate con el equipo de AVL Abogados.
