Si tu sitio web recibe leads, vende online o usa Google Analytics, la LOPDP te aplica. La ley se aprobó en 2021, el reglamento entró en 2023 y el régimen sancionador está en pleno vigor desde mayo de ese año. La Superintendencia de Protección de Datos Personales (SPDP) ya está fiscalizando y la mayoría de PYMES en Ecuador opera con políticas de privacidad copiadas de internet o sin banner de cookies real. Acá va lo que te pueden multar y cómo cerrar las brechas más caras.
Qué es la LOPDP en lenguaje claro
La Ley Orgánica de Protección de Datos Personales fue publicada en el Registro Oficial 459 el 26 de mayo de 2021 e inspirada en el RGPD europeo. Su Reglamento se aprobó en noviembre de 2023. Aplica a toda empresa, persona o entidad que trate datos personales de personas en Ecuador, sin importar dónde esté domiciliado el responsable: si tu cliente está en Quito, tú estás obligado aunque tu empresa esté constituida fuera.
De la facturación anual del año anterior: tope máximo de multa por infracción grave
Art. 67 LOPDP, EcuadorTope de multa por infracción leve sobre la facturación anual
Art. 67 LOPDP, EcuadorPlazo máximo para notificar a la SPDP una brecha de seguridad de datos
Reglamento LOPDP, Art. 47Plazo para responder al ejercicio de derechos ARCO + portabilidad y oposición
Reglamento LOPDP, Art. 26El mito que circula entre PYMES
'La LOPDP solo aplica a empresas grandes' es falso. La ley no diferencia por tamaño: aplica a cualquier responsable de tratamiento. Lo que sí cambia con el tamaño es el riesgo de inspección y el cálculo de la multa, que se hace sobre tu facturación real. Una multa del 0.7% sobre $500.000 de facturación anual son $3.500: suficiente para hundir una operación.
Las 7 cosas que tu sitio web debe tener para cumplir
1. Política de privacidad propia, específica y accesible
Copiar la política de otro sitio en Ecuador es la primera causa de incumplimiento. La política debe declarar el responsable del tratamiento (con nombre, RUC y dirección reales), las finalidades específicas para las que recolectas datos, la base legal de cada tratamiento, los plazos de retención, los terceros con los que compartes datos (Google, Meta, Stripe, etc.) y cómo se ejercen los derechos. Debe estar enlazada desde el footer en todas las páginas.
2. Banner de cookies con consentimiento real, no botón único 'aceptar'
El banner que solo dice 'aceptamos cookies' con un único botón verde NO es consentimiento válido. Debe permitir aceptar, rechazar y configurar por categoría (esenciales, analítica, marketing, terceros). Hasta que el usuario actúe, las cookies no esenciales NO pueden cargarse: Google Analytics, Meta Pixel, hotjar, todo eso queda bloqueado hasta el consent. Herramientas como Cookiebot, Iubenda o CookieYes resuelven esto bien; un banner programado a mano sin lógica de bloqueo previo es la trampa más común.
3. Formularios con base legal explícita y checkbox NO premarcado
Todo formulario (contacto, suscripción a newsletter, registro de cliente, checkout) debe informar la finalidad del dato y obtener consentimiento expreso. El checkbox de 'acepto la política de privacidad' debe estar SIN MARCAR por defecto: marcarlo automáticamente invalida el consentimiento. Si vas a hacer marketing por email, necesitas un segundo checkbox separado: el opt-in del marketing es distinto al consentimiento de tratamiento.
4. Procedimiento claro para derechos ARCO + portabilidad y oposición
Cualquier persona puede pedirte que le muestres qué datos suyos tienes, los corrijas, los elimines, los bloquees, te los lleves a otra plataforma u oponerse a un tratamiento específico. Tu sitio debe tener un canal claro (correo, formulario, dirección postal) y respondes en 15 días. Si no respondes o respondes mal, es infracción sancionable. La política de privacidad debe explicar paso a paso cómo se ejerce cada derecho.
5. Transferencias internacionales declaradas
Casi todo sitio en Ecuador transfiere datos al exterior sin saberlo: Google Analytics (USA), Vercel/Netlify (USA), Mailchimp (USA), Stripe (Irlanda/USA), Meta Pixel (USA), Hotjar (Malta). La LOPDP exige declararlo en la política y, para destinos sin nivel adecuado de protección, contar con cláusulas contractuales tipo o consentimiento expreso del titular. La SPDP publica el listado de países con nivel adecuado: el resto requiere salvaguardas.
6. Contratos con tus proveedores (encargados de tratamiento)
Si tu CRM, tu hosting, tu pasarela de pago o tu agencia de marketing tratan datos personales por cuenta tuya, son encargados de tratamiento. Necesitas un contrato (DPA o acuerdo de tratamiento) que especifique la finalidad, la duración, la confidencialidad y la devolución/destrucción al finalizar. Google, Meta, Stripe y los grandes ya ofrecen su DPA estándar: hay que firmarlo dentro de la cuenta. Los pequeños proveedores ecuatorianos suelen no tener uno: te toca redactarlo.
7. Registro de actividades y respuesta a brechas
Toda empresa debe llevar un registro interno de las actividades de tratamiento: qué datos trata, para qué, cuánto los conserva, a quién se los pasa, qué medidas de seguridad tiene. Si sufres una brecha (robo de base de datos, fuga de tokens, malware), tienes 5 días para notificar a la SPDP y, según el riesgo, a los afectados. Sin protocolo de respuesta a brechas, el incidente se vuelve sanción casi automática.
Qué pasa si no cumples: las multas con ejemplos
| Tipo de infracción | Ejemplo concreto | Tope de multa (% facturación anual) |
|---|---|---|
| Leve | Política de privacidad incompleta o sin enlace claro | 0.1% – 0.7% |
| Leve | No respondes en plazo a ejercicio de derechos ARCO | 0.1% – 0.7% |
| Grave | Banner de cookies que carga analíticas sin consentimiento | 0.7% – 1.0% |
| Grave | Tratar datos sensibles sin consentimiento expreso | 0.7% – 1.0% |
| Grave | No notificar brecha de seguridad en 5 días | 0.7% – 1.0% |
| Muy grave | Transferencia internacional sin salvaguardas | Hasta 1.0% |
Leve
- Ejemplo concreto
- Política de privacidad incompleta o sin enlace claro
- Tope de multa (% facturación anual)
- 0.1% – 0.7%
Leve
- Ejemplo concreto
- No respondes en plazo a ejercicio de derechos ARCO
- Tope de multa (% facturación anual)
- 0.1% – 0.7%
Grave
- Ejemplo concreto
- Banner de cookies que carga analíticas sin consentimiento
- Tope de multa (% facturación anual)
- 0.7% – 1.0%
Grave
- Ejemplo concreto
- Tratar datos sensibles sin consentimiento expreso
- Tope de multa (% facturación anual)
- 0.7% – 1.0%
Grave
- Ejemplo concreto
- No notificar brecha de seguridad en 5 días
- Tope de multa (% facturación anual)
- 0.7% – 1.0%
Muy grave
- Ejemplo concreto
- Transferencia internacional sin salvaguardas
- Tope de multa (% facturación anual)
- Hasta 1.0%
Para que la cifra muerda: una empresa con $1.2 millones de facturación anual con una multa grave del 0.85% paga $10.200. Una con $300.000 de facturación paga $2.550. La SPDP ya emite resoluciones públicas y se pueden consultar en su portal: el riesgo dejó de ser teórico. Si tu sitio actual es uno de WordPress lento que además no cumple, el desorden combinado es más caro que rehacerlo: el playbook técnico de optimización vs. migración lo cubrimos en el post del blog sobre cómo hacer rápido tu WordPress en 2026.
Errores frecuentes que vemos en sitios ecuatorianos
- Política de privacidad genérica copiada de un sitio español o argentino, sin adaptación a la LOPDP ni datos reales del responsable ecuatoriano.
- Banner de cookies que registra el consentimiento pero igual carga Google Analytics y Meta Pixel desde el primer pageview.
- Newsletter sin doble opt-in y sin checkbox separado para marketing.
- Formularios de contacto que no informan finalidad ni retención de los datos enviados.
- Uso de WhatsApp para atender clientes sin política de tratamiento ni base legal declarada.
- Hosting en proveedor de EE. UU. sin cláusulas contractuales tipo ni declaración de transferencia internacional.
Cuándo necesitas un DPO (Delegado de Protección de Datos)
El reglamento exige Delegado de Protección de Datos para entidades públicas, organizaciones cuya actividad principal sea el tratamiento a gran escala de datos sensibles, y empresas que monitoreen a gran escala. Si tu negocio no califica, igual conviene designar a una persona responsable interna: las autoridades preguntan por el punto de contacto.
Hoja de ruta para cumplir en 30 días
- 1Día 1–3: inventaría qué datos personales recolectas, dónde los guardas, quién accede y a quién se los pasas. Es el registro de actividades de tratamiento.
- 2Día 4–7: redacta o revisa tu política de privacidad con un abogado o plantilla validada para Ecuador. Sin copy-paste de RGPD europeo sin adaptar.
- 3Día 8–12: instala un gestor de consentimiento (Cookiebot, Iubenda, CookieYes) con bloqueo previo de scripts. Configura las categorías y prueba que las analíticas NO disparan antes del consent.
- 4Día 13–18: revisa cada formulario del sitio. Agrega checkbox de consentimiento sin premarcar, finalidad clara y enlace a la política.
- 5Día 19–22: firma DPA con tus proveedores principales (Google, Meta, hosting, CRM, pasarelas). Documenta los que ya están firmados dentro de la cuenta.
- 6Día 23–27: crea el canal y procedimiento para derechos ARCO. Un correo dedicado y un flujo interno de 15 días bastan para empezar.
- 7Día 28–30: redacta el protocolo de respuesta a brechas. Quién recibe la alerta, cómo se evalúa el riesgo, plantilla de notificación a la SPDP.
Preguntas frecuentes
¿La LOPDP aplica a mi negocio si soy una PYME pequeña en Ecuador?
+
Sí. La Ley Orgánica de Protección de Datos Personales no diferencia por tamaño: aplica a toda persona o empresa que trate datos personales de personas en Ecuador. Lo que sí cambia es el cálculo de la multa, que se hace sobre tu facturación anual real. Una infracción grave puede llegar hasta el 1% de tu facturación del año anterior, así que el riesgo no es teórico ni reservado a corporativos.
¿Cuál es la multa máxima por incumplir la LOPDP en Ecuador?
+
El régimen sancionador establece multas leves hasta el 0.7% de la facturación anual del año anterior y multas graves hasta el 1%. Para empresas con baja facturación se aplican mínimos en RBU (Remuneraciones Básicas Unificadas). La Superintendencia de Protección de Datos Personales (SPDP) es la autoridad que sanciona y publica las resoluciones en su portal oficial.
¿Mi banner de cookies actual cumple con la LOPDP?
+
Solo si permite aceptar, rechazar y configurar por categoría (esenciales, analítica, marketing, terceros) y si bloquea efectivamente los scripts no esenciales hasta que el usuario consienta. Un banner con solo un botón 'aceptar' o uno que dispara Google Analytics y Meta Pixel antes del clic no cumple. La forma rápida de verificar: abre tu sitio en incógnito, revisa la pestaña 'Network' y confirma que ningún script de terceros corre antes del consentimiento.
¿Qué son los derechos ARCO y cómo los implemento en mi sitio?
+
ARCO son los derechos de Acceso, Rectificación, Cancelación y Oposición. La LOPDP suma además el derecho de portabilidad y de oposición a decisiones automatizadas. Tu sitio debe ofrecer un canal claro (correo dedicado o formulario) donde cualquier persona pueda ejercerlos, y tienes 15 días calendario para responder. La política de privacidad debe explicar el procedimiento paso a paso.
¿Tengo que designar un Delegado de Protección de Datos (DPO)?
+
El DPO es obligatorio para entidades públicas, organizaciones cuya actividad principal sea el tratamiento a gran escala de datos sensibles (salud, biométricos, financieros), y empresas que monitoreen a gran escala el comportamiento de personas. La mayoría de PYMES no entran en esos supuestos, pero conviene designar una persona responsable interna o un asesor externo: la SPDP siempre pregunta por un punto de contacto cuando inicia un expediente.
