Evalúe si su empresa cumple con la LOPDP en 5 minutos

25 preguntas sobre las obligaciones clave de la Ley Orgánica de Protección de Datos Personales. Resultado inmediato con desglose por categoría y próximos pasos recomendados.

⏱️ 5 minutos 🔒 Sin registro previo 📊 25 preguntas 🎯 Score por categoría
0 / 25 preguntas
1

Consentimiento del titular

La base legal más común. El consentimiento debe ser libre, específico, informado e inequívoco.

¿Cuenta con un mecanismo escrito o digital para obtener el consentimiento expreso de cada empleado antes de tratar sus datos?
LOPDP Art. 7 (consentimiento)
¿El consentimiento que recaba especifica las finalidades concretas del tratamiento (verificación, monitoreo, comunicación)?
LOPDP Art. 7, 12 (información al titular)
¿El titular puede revocar su consentimiento de forma tan simple como lo otorgó, y tiene un canal claro para hacerlo?
LOPDP Art. 8 (revocación)
¿Mantiene evidencia trazable del consentimiento (fecha, canal, contenido del texto aceptado) para eventuales auditorías de la SPDP?
LOPDP Art. 7, 40 (prueba del consentimiento)
2

Aviso de privacidad e información al titular

La LOPDP exige informar al titular de manera clara y accesible antes o en el momento de recabar sus datos.

¿Tiene publicado un aviso de privacidad en su sitio web accesible desde cualquier página donde recaba datos?
LOPDP Art. 12 (información al titular)
¿El aviso identifica al responsable del tratamiento (razón social, RUC, dirección, correo de contacto)?
LOPDP Art. 12
¿El aviso informa las finalidades del tratamiento, los derechos ARCO y el canal para ejercerlos?
LOPDP Art. 11, 12 (derechos del titular)
3

Registro de Actividades de Tratamiento (RAT)

Documento que mapea cada actividad donde su empresa trata datos personales.

¿Tiene elaborado y actualizado el Registro de Actividades de Tratamiento (RAT) de su organización?
LOPDP Art. 42 (RAT)
¿El RAT identifica base legal, finalidades, categorías de datos, destinatarios, plazos de conservación y medidas de seguridad para cada actividad?
LOPDP Art. 42 (contenido mínimo del RAT)
¿Revisa y actualiza el RAT cuando introduce nuevos proveedores, sistemas o tipos de datos?
LOPDP Art. 42
4

Delegado de Protección de Datos (DPD)

Obligatorio para industrias específicas conforme a la Resolución SPDP-SPD-2025-0028-R. Plazo venció el 31 de diciembre de 2025.

¿Determinó si su empresa está obligada a designar DPD según la Resolución SPDP-SPD-2025-0028-R (salud, farmacéuticas, seguridad privada, educación, telecomunicaciones, videovigilancia, geolocalización, TI/IA, concesionarias, financieras, deportivas, residenciales)?
LOPDP Art. 47; Resolución SPDP-SPD-2025-0028-R
Si aplica: ¿designó y registró a su DPD ante la SPDP antes del 31 de diciembre de 2025?
LOPDP Art. 47 (DPD)
¿El DPD tiene los recursos, autonomía funcional y acceso a la alta dirección que exige la LOPDP?
LOPDP Art. 47 (autonomía del DPD)
5

Derechos ARCO del titular

Acceso, Rectificación, Cancelación, Oposición, más Portabilidad y No ser objeto de decisiones automatizadas.

¿Tiene un canal público (formulario web, correo dedicado) para que titulares ejerzan sus derechos ARCO?
LOPDP Art. 11, 13–21 (derechos)
¿Responde solicitudes ARCO en los plazos legales (15 días hábiles para acceso, prorrogables)?
LOPDP Art. 21 (plazos de atención)
¿Lleva un registro de solicitudes ARCO recibidas y su estado de atención (respuesta, plazo, fundamento)?
LOPDP Art. 21, 40 (demostración de cumplimiento)
6

Seguridad técnica y organizativa

Medidas proporcionales al riesgo para proteger los datos que trata.

¿Los datos personales se almacenan con cifrado en reposo y se transmiten por canales cifrados (TLS/HTTPS)?
LOPDP Art. 38 (seguridad)
¿Aplica control de acceso por roles (solo personal autorizado accede a datos personales) con registro de accesos?
LOPDP Art. 38 (medidas organizativas)
¿Tiene política de retención que define plazos máximos y procedimiento de eliminación cuando se cumple la finalidad?
LOPDP Art. 10 (principio de conservación)
7

Gestión de incidentes

Procedimiento para detectar, contener, notificar y aprender de brechas de seguridad.

¿Tiene procedimiento documentado para detectar y responder a incidentes de seguridad que involucren datos personales?
LOPDP Art. 43 (incidentes)
¿Conoce los plazos y canales para notificar a la SPDP y a los titulares afectados ante una brecha significativa?
LOPDP Art. 43 (notificación de brechas)
8

Encargados, proveedores y transferencias

Cada tercero que toca datos debe estar vinculado por contrato y verificado.

¿Identificó a todos los terceros (proveedores cloud, CRM, nómina, comunicaciones) que acceden a datos personales de su empresa?
LOPDP Art. 43 (encargados)
¿Firmó con cada encargado un acuerdo que establezca instrucciones, confidencialidad, seguridad y devolución/eliminación al terminar la relación?
LOPDP Art. 43 (contrato con encargado)
Si transfiere datos a países sin nivel adecuado de protección, ¿aplica garantías (cláusulas contractuales, consentimiento explícito informado)?
LOPDP Art. 55–58 (transferencias internacionales)
9

Cultura interna y formación

El papel no protege datos si el equipo no sabe aplicarlo.

¿Capacita periódicamente a su equipo (RRHH, TI, comercial, customer service) sobre LOPDP y cómo aplica a sus funciones?
LOPDP Art. 40 (responsabilidad demostrada)
Su score de cumplimiento
0%

Complete el checklist para ver su resultado.

Solicitar auditoría con StatusEC Ver guía LOPDP completa

¿Quiere el checklist en PDF con el plan de acción?

Le enviamos su score, el desglose por categoría y una lista priorizada de acciones para llevar a su próxima reunión de cumplimiento.

✓ Le enviamos el PDF a su correo. Si no llega, escríbanos a info@statusec.com.

Por qué importa ahora

La Ley Orgánica de Protección de Datos Personales de Ecuador está vigente desde mayo de 2021, y las sanciones económicas son aplicables desde mayo de 2023. En enero de 2026 la Superintendencia de Protección de Datos Personales (SPDP) impuso las primeras sanciones administrativas por infracciones graves: USD 259,644.01 a LIGAPRO y USD 194,856.16 a la FEF por tratamiento de datos biométricos sin consentimiento válido. El monto acumulado supera los USD 454,500 y confirma que la autoridad sí está ejerciendo su facultad sancionadora.

Las multas por infracciones leves oscilan entre 0.1% y 0.7% del volumen de negocio anual; las graves entre 0.7% y 1%. Para una empresa con USD 5 millones en ingresos, una sanción grave puede alcanzar los USD 50,000.

Cómo leer su score

Este checklist es una herramienta de autodiagnóstico, no una auditoría formal. Un score alto no garantiza cumplimiento total ante la SPDP, y un score bajo no significa que haya cometido una infracción — pero sí indica las áreas donde probablemente hay exposición.

90–100%: Excelente base. Las acciones pendientes son probablemente afinar documentación o automatizar procesos.
70–89%: Buena base. Tiene elementos fundamentales pero faltan piezas clave (comúnmente RAT, DPD o gestión de encargados).
50–69%: Zona de riesgo. Algunas obligaciones básicas no están cubiertas. Priorice consentimiento, aviso y RAT.
Menos del 50%: Alta exposición. Empiece con una auditoría externa y un plan de cumplimiento a 90 días.

Si quiere una segunda opinión o ayuda para implementar los controles, agende una demo de StatusEC — le mostramos cómo el módulo de consentimiento, los dashboards por rol y el monitoreo continuo cubren varias de estas obligaciones sin que su equipo tenga que armar todo desde cero.

¿Ayuda con LOPDP?