La Ley Orgánica de Protección de Datos Personales (LOPDP) lleva más de cuatro años vigente y tres años con régimen sancionatorio operativo. Durante mucho tiempo las empresas ecuatorianas asumieron que era una ley en papel: nadie había sido multado, la autoridad estaba en construcción, y el cumplimiento era una promesa a futuro.
Eso cambió el 1 de diciembre de 2025. Ese día la Superintendencia de Protección de Datos Personales (SPDP) anunció las primeras dos sanciones administrativas públicas por infracciones graves. La acumulación fue de USD 454,500.17 entre LIGAPRO (USD 259,644.01) y la Federación Ecuatoriana de Fútbol (USD 194,856.16), ambas por fallas estructurales en el tratamiento de datos biométricos. Dos meses después, las cifras siguieron subiendo con resoluciones adicionales por Privacy by Design y gestión de riesgos.
Esta guía cubre lo que su empresa necesita hacer en 2026: obligaciones vigentes, multas reales, plazos críticos (algunos ya vencidos), y el expediente concreto que la SPDP puede pedirle. Si busca una evaluación rápida de su estado actual antes de leer 5,000 palabras, nuestro checklist interactivo le toma cinco minutos y le da un score por categoría.
Qué es la LOPDP y desde cuándo aplica
La Ley Orgánica de Protección de Datos Personales fue publicada en el Registro Oficial Suplemento 459 el 26 de mayo de 2021. Su fundamento constitucional está en el artículo 66 numeral 19 de la Constitución de 2008, que reconoce la protección de datos personales como un derecho fundamental autónomo, distinto del derecho a la intimidad.
La ley entró en vigencia desde su publicación, pero el régimen sancionatorio —multas, medidas correctivas, procedimientos administrativos sancionadores— tuvo un período de transición de dos años. Las sanciones son aplicables desde el 26 de mayo de 2023. Desde entonces, la SPDP ha tenido plenas facultades para multar, y desde entonces el reloj corre para toda empresa que trate datos personales en Ecuador.
El marco normativo se completa con el Reglamento General de la LOPDP (Decreto Ejecutivo 904, publicado el 13 de noviembre de 2023), que operativiza las obligaciones de la ley, y con la normativa técnica que la SPDP viene emitiendo desde 2024. Durante 2025, la autoridad expidió al menos seis resoluciones clave que desarrollan aspectos específicos: guía de gestión de riesgos (SPDP-SPD-2025-0003-R), reglamento de formación de DPDs (SPDP-SPD-2025-0004-R), plan anual de auditorías (SPDP-SPD-2025-0005-R), cláusulas obligatorias en contratos (SPDP-SPD-2025-0006-R), metodología de cálculo de multas (SPDP-SPD-2025-0022-R) y el Reglamento del Delegado de Protección de Datos (SPDP-SPD-2025-0028-R).
En 2026 se sumó un marco específico para inteligencia artificial: la Norma General para la Garantía del Derecho de Protección de Datos Personales en el Uso de Sistemas de Inteligencia Artificial (Resolución SPDP-SPD-2026-0009-R), que extiende las obligaciones LOPDP a cualquier organización que use IA para tratar datos de titulares ecuatorianos.
A quién aplica: responsables y encargados del tratamiento
La LOPDP aplica a cualquier persona natural o jurídica, pública o privada, que trate datos personales. No hay mínimos de facturación ni umbrales de empleados. Si su empresa tiene una base de clientes, un sistema de nómina, un formulario de contacto en su sitio web o un sistema de videovigilancia, está dentro del alcance de la ley.
La ley distingue dos roles:
- Responsable del tratamiento: la persona u organización que decide sobre los fines y los medios del tratamiento. Es quien decide qué datos recabar, para qué y cómo. La responsabilidad principal ante la SPDP y ante los titulares recae aquí.
- Encargado del tratamiento: la persona u organización que trata datos por cuenta del responsable. Son típicamente proveedores: el servicio de nómina externo, el CRM en la nube, la plataforma de email marketing, el servicio de verificación de antecedentes. El encargado responde por cumplir las instrucciones del responsable y mantener medidas de seguridad proporcionales.
Esta distinción importa porque la responsabilidad ante la SPDP se reparte de forma distinta según el rol. Un responsable debe tener un contrato firmado con cada encargado, y ese contrato debe incluir las cláusulas mínimas establecidas por la Resolución SPDP-SPD-2025-0006-R. Si usted es responsable y un encargado suyo filtra datos, ambos pueden ser investigados: usted por no haber elegido, instruido o supervisado bien; el encargado por haber ejecutado mal el tratamiento.
Aplicabilidad extraterritorial
La LOPDP también aplica a organizaciones fuera de Ecuador cuando tratan datos de titulares que residen en Ecuador, si ese tratamiento se relaciona con ofrecerles bienes o servicios o con monitorear su comportamiento. Si su empresa tiene clientes en Ecuador y usa un proveedor SaaS en Estados Unidos, Europa o Latam, ese proveedor también está en el alcance —y puede ser requerido por la SPDP a través de las autoridades de su jurisdicción.
Principios fundamentales que la SPDP va a auditar
La LOPDP se basa en principios que funcionan como una rúbrica. Cuando la SPDP inspecciona, no busca un checkbox de cumplimiento: busca evidencia de que cada principio está integrado en sus procesos y decisiones. Estos son los seis que más peso tienen en auditoría.
1. Responsabilidad proactiva y demostrada (accountability)
Es el principio central. No basta con cumplir: hay que poder demostrar que se cumple. Esto implica mantener documentación viva —el RAT, los contratos con encargados, las políticas internas, los registros de atención de derechos, los reportes de incidentes— y tenerla disponible para la autoridad en cualquier momento. Las sanciones a LIGAPRO y la FEF mencionan expresamente la ausencia de evidencia verificable como uno de los elementos determinantes.
2. Licitud, lealtad y transparencia
Todo tratamiento necesita una base legal válida: consentimiento del titular (Art. 7), ejecución de un contrato, cumplimiento de obligación legal, interés legítimo del responsable (Art. 9), o protección de intereses vitales. La base debe estar identificada antes de empezar el tratamiento, no inventada después. Y el titular debe poder entender, en lenguaje claro, qué pasa con sus datos.
3. Finalidad
Los datos se recaban para fines específicos, explícitos y legítimos, y no se tratan posteriormente de manera incompatible con esos fines. Si recabó el correo de un empleado para comunicaciones laborales, no puede enviarle promociones de un servicio paralelo sin una nueva base legal.
4. Pertinencia y minimización
Los datos deben ser adecuados, pertinentes y limitados a lo necesario para el fin. Pedir la cédula para inscribirse a un newsletter es desproporcionado; pedirla para un proceso de contratación es estrictamente pertinente. La SPDP investiga sistemas donde se recaban más datos de los que se usan o se recaban datos por costumbre.
5. Calidad y exactitud
Los datos deben ser exactos y, si es necesario, actualizados. Esto implica mecanismos para que el titular pueda rectificar y para que su empresa detecte inconsistencias. Un padrón de empleados con cédulas mal escritas, cargos desactualizados o estados civiles obsoletos es una vulnerabilidad de cumplimiento.
6. Conservación
Los datos se conservan solo por el tiempo necesario para cumplir la finalidad (Art. 10). Cuando la finalidad termina —por ejemplo, el empleado sale de la empresa— los datos deben eliminarse o anonimizarse, salvo que haya una obligación legal que exija retenerlos (como las retenciones fiscales o laborales). Tener registros de personal de hace 15 años "por si acaso" es un riesgo regulatorio.
7. Seguridad, confidencialidad e integridad
Las medidas de seguridad (Art. 38) deben ser proporcionales al riesgo: cifrado, control de accesos, trazabilidad, respaldo, segregación de entornos. No hay una lista cerrada, pero la ausencia de medidas básicas en un tratamiento de alto riesgo (como el de datos biométricos o de menores) es infracción automática.
Las 6 obligaciones operativas que toda empresa debe cumplir
Los principios de arriba se traducen en obligaciones operativas concretas. Estas son las seis que toda empresa —sin excepción por tamaño o industria— debe cubrir.
1. Obtener consentimiento válido (cuando es la base)
Cuando el consentimiento es la base legal del tratamiento, debe ser libre, específico, informado, inequívoco y demostrable (Art. 7). Un consentimiento genérico —"acepto los términos"— es inválido. Un consentimiento obtenido bajo coerción (condición para acceder a un servicio esencial sin alternativa) también es inválido. El titular debe poder revocarlo con la misma facilidad con la que lo otorgó (Art. 8), y su empresa debe conservar evidencia del momento, canal y texto aceptado.
2. Publicar un aviso de privacidad
El aviso de privacidad (Art. 12) debe estar accesible en cualquier punto donde su organización recabe datos. Debe identificar al responsable (razón social, RUC, dirección, correo), las finalidades del tratamiento, las categorías de datos, los destinatarios, los plazos de conservación, los derechos del titular y el canal para ejercerlos. La SPDP promueve avisos por capas: una versión breve en el punto de contacto + una versión extendida accesible con un clic.
3. Mantener un Registro de Actividades de Tratamiento (RAT)
El RAT es el inventario documentado de todas las actividades donde su empresa trata datos personales (Art. 42). Para cada actividad debe identificar: finalidad, base legal, categorías de titulares, categorías de datos, destinatarios internos y externos, plazos de conservación, medidas de seguridad y, cuando aplique, transferencias internacionales. El RAT no es un PDF firmado una vez: es un documento vivo que se actualiza cuando cambia un proveedor, cuando nace una nueva actividad, cuando se incorpora un nuevo tipo de dato.
4. Designar un Delegado de Protección de Datos si aplica
El Reglamento del DPD (Resolución SPDP-SPD-2025-0028-R, publicada el 30 de julio de 2025) establece los supuestos donde la designación es obligatoria. Para el sector privado, estos son los principales: entidades financieras y de seguros, prestadores del sistema de salud, establecimientos farmacéuticos, instituciones educativas de todos los niveles, telecomunicaciones, videovigilancia sistemática, geolocalización, seguridad privada, actividades que impliquen perfilamiento o monitoreo sistemático de titulares.
5. Atender los derechos del titular (ARCO y más)
Todo titular tiene derechos de acceso, rectificación, cancelación, oposición, portabilidad y no ser objeto de decisiones automatizadas (Art. 11 y 13 al 21). Su empresa debe tener un canal público para recibir solicitudes, un procedimiento interno para procesarlas y un registro de atención con la respuesta, el plazo y el fundamento. El plazo general para responder es de 15 días hábiles, prorrogables por 15 días más en casos justificados.
6. Implementar medidas de seguridad y gestionar incidentes
Las medidas deben ser técnicas (cifrado, control de accesos, monitoreo) y organizativas (políticas, capacitación, roles). La Resolución SPDP-SPD-2025-0003-R establece una guía de gestión de riesgos que la autoridad usa como referencia en inspecciones. Adicionalmente, el artículo 43 exige un procedimiento documentado de gestión de incidentes: detección, contención, notificación a la SPDP y a los titulares afectados cuando aplique, y acciones correctivas.
¿Quiere saber dónde está hoy?
Nuestro checklist interactivo le evalúa estas seis obligaciones con 25 preguntas y le da un score por categoría. Cinco minutos, sin registro previo.
Ir al checklist LOPDPSistema sancionatorio: multas reales, no teóricas
La LOPDP clasifica las infracciones en leves y graves (artículos 67 y 68 respectivamente). Para el sector privado, las multas se calculan como un porcentaje del volumen de negocio anual, entendido como los ingresos brutos del último ejercicio económico cerrado anterior a la imposición de la sanción. La metodología específica está en la Resolución SPDP-SPD-2025-0022-R.
| Tipo de infracción | Rango de multa | Ejemplo típico |
|---|---|---|
| Leve (Art. 67) | 0.1% – 0.7% del volumen de negocio anual | Incumplimientos de deberes formales, demoras en atender derechos ARCO, ausencia parcial de medidas preventivas. |
| Grave (Art. 68) | 0.7% – 1% del volumen de negocio anual | Tratamiento sin base legal válida, ausencia de medidas de seguridad adecuadas, falta de DPD obligatorio, incumplimiento de medidas correctivas. |
Hagamos el cálculo sobre un caso realista. Una empresa ecuatoriana de 150 empleados con ingresos brutos anuales de USD 5 millones enfrenta los siguientes rangos:
| Escenario | Multa mínima | Multa máxima |
|---|---|---|
| Infracción leve (0.1% – 0.7%) | USD 5,000 | USD 35,000 |
| Infracción grave (0.7% – 1%) | USD 35,000 | USD 50,000 |
El monto específico dentro del rango se determina con criterios de graduación: intencionalidad, reiteración, perjuicio al titular, reincidencia, colaboración con la autoridad, medidas correctivas adoptadas. La Resolución SPDP-SPD-2025-0022-R establece la metodología que asegura previsibilidad y proporcionalidad.
Los precedentes LIGAPRO y FEF
El 1 de diciembre de 2025, la SPDP anunció las primeras dos sanciones administrativas públicas por infracciones graves. Ambos casos se relacionan con el tratamiento de datos personales biométricos en aplicaciones móviles —FAN ID (LIGAPRO) y FAN FEF (la Federación Ecuatoriana de Fútbol)— sin consentimiento válido y sin medidas de seguridad proporcionales.
"Se constató, en ambos expedientes, la existencia de una infracción grave prevista en el artículo 68, numeral 1, de la LOPDP, relacionada con la falta de implementación de medidas administrativas, técnicas, físicas, organizativas y jurídicas suficientes para garantizar un tratamiento adecuado y conforme con la normativa vigente." — SPDP, boletín del 1 de diciembre de 2025.
Las resoluciones son la RES-SPDP-ICS-2025-0005 (LIGAPRO) y la RES-SPDP-ICS-2025-0006 (FEF). Los montos:
- LIGAPRO: multa de USD 259,644.01. Orden adicional de notificar a 14,398 titulares que su consentimiento no fue obtenido válidamente, y eliminar sus datos personales de todas las bases.
- FEF: multa de USD 194,856.16. Orden adicional de actualizar su RAT, implementar una Política de Protección de Datos, notificar a los titulares sobre la invalidez del consentimiento y eliminar los datos tratados mediante FAN FEF.
El total acumulado asciende a USD 454,500.17. En febrero de 2026, la SPDP impuso sanciones adicionales por fallas específicas en Privacy by Design (LIGAPRO, USD 95,502.63 adicionales más un mandato de 30 días para rediseñar FAN ID) y gestión de riesgos (FEF, aproximadamente USD 200,000 adicionales). Los precedentes siguen acumulándose.
Lo relevante no son los montos absolutos sino los patrones que la SPDP sanciona: ausencia de arquitectura preventiva, falta de medidas verificables, tratamiento de datos sensibles sin análisis de riesgo documentado, e incumplimiento de medidas correctivas previamente ordenadas. Cualquier empresa que trate datos sensibles (biométricos, salud, financieros, de menores) sin un programa integral de cumplimiento está en el patrón de riesgo.
¿Quiere saber si su empresa está expuesta?
En una demo de 15 minutos le mostramos cómo StatusEC ayuda a cubrir varias obligaciones LOPDP de forma automatizada: trazabilidad de consentimiento, gestión de incidentes, registro de actividades de verificación.
Agendar demo de 15 minPlazos críticos y qué hacer si los incumplió
La LOPDP y la normativa secundaria de la SPDP establecen varios plazos. Algunos ya vencieron y el incumplimiento constituye infracción; otros son continuos y se miden en días hábiles desde un evento. Esta es la tabla de los más importantes:
| Obligación | Plazo | Estado a abril 2026 |
|---|---|---|
| Vigencia plena del régimen sancionatorio | Desde 26 de mayo de 2023 | Vigente hace casi 3 años |
| Registro del DPD ante la SPDP (sector privado) | 1 noviembre – 31 diciembre 2025 | Vencido |
| Respuesta a solicitudes ARCO | 15 días hábiles (prorrogables) | Continuo desde cada solicitud |
| Notificación de brechas a la SPDP | Plazo específico según gravedad | Continuo desde detección del incidente |
| Registro del nombramiento del DPD (inscripción ante SPDP tras designación) | 15 días desde el nombramiento (firma electrónica) | Aplica a cada nueva designación |
Qué hacer si ya incumplió el plazo del DPD
Si su empresa está obligada a designar DPD y no registró al 31 de diciembre de 2025, la respuesta no es esconder el incumplimiento: es regularizar inmediatamente y documentar la diligencia posterior. En orden de prioridad:
- Designe al DPD formalmente hoy. Firme el documento de nombramiento con fecha, funciones, independencia garantizada y aceptación del cargo.
- Registre el nombramiento ante la SPDP. Aunque el registro sea extemporáneo, hacerlo es un acto de buena fe que la autoridad considera al graduar sanciones.
- Documente las razones del retraso. Un acta interna que explique por qué no se cumplió el plazo original y qué se está haciendo ahora es evidencia útil si hay requerimiento.
- Refuerce los demás pilares. Un DPD tardío acompañado de un RAT robusto, avisos de privacidad claros y registros de atención ARCO pesa menos que un DPD tardío en medio de un expediente vacío.
Responsabilidad demostrada: el expediente que le pueden pedir
El principio de responsabilidad proactiva y demostrada (Art. 40 y concordantes) implica que su empresa debe poder probar en cualquier momento que cumple la LOPDP. No basta con afirmarlo: hay que tener el expediente armado. Estos son los documentos básicos que la SPDP puede requerir en una inspección.
Políticas y procedimientos
- Política general de protección de datos personales (firmada por representante legal).
- Aviso de privacidad (web, formulario laboral, cualquier punto de contacto).
- Procedimiento de atención de derechos ARCO.
- Procedimiento de gestión de incidentes de seguridad.
- Política de retención y eliminación de datos.
- Política de uso aceptable para empleados con acceso a datos personales.
Registros vivos
- Registro de Actividades de Tratamiento (RAT) actualizado.
- Registro de solicitudes ARCO con respuesta, plazo y fundamento.
- Registro de incidentes de seguridad (incluso los menores).
- Registro de consentimientos, con fecha, canal y texto aceptado.
- Registro de transferencias internacionales, con base legal aplicada.
Contratos y relaciones con terceros
- Acuerdo de encargado del tratamiento firmado con cada proveedor (cloud, CRM, nómina, comunicaciones, verificación de antecedentes).
- Cláusulas de protección de datos en contratos laborales.
- Cláusulas de protección de datos en contratos con clientes (si aplica).
Evidencia de diligencia
- Actas de capacitación del equipo en LOPDP (RRHH, TI, ventas, customer service).
- Evaluaciones de impacto para tratamientos de alto riesgo.
- Reportes de auditorías internas o externas.
- Designación y nombramiento del DPD, si aplica.
- Documentación de decisiones sobre base legal, retención y medidas de seguridad para cada actividad del RAT.
"La SPDP (2024–2025) enfatiza enfoque por riesgos y evidencia. No bastan las políticas en PDF: la autoridad prioriza registros, controles, decisiones documentadas, auditorías y métricas."
La conclusión práctica es que el cumplimiento LOPDP no se improvisa en una semana. Se construye a lo largo de meses con un equipo que coordina legal, RRHH, TI y operaciones.
Cómo empezar si aún no ha hecho nada
Si su empresa todavía no tiene políticas, ni RAT, ni procedimientos, y hoy descubrió que la LOPDP existe, este es un plan realista de 90 días para pasar de cero a una base defendible.
Días 1 al 30: diagnóstico y bases
- Aplique el checklist LOPDP para tener un score inicial por categoría.
- Designe un responsable interno del proyecto (si no tiene DPD obligatorio, un líder de compliance o legal).
- Haga un mapeo inicial de actividades de tratamiento: nómina, clientes, marketing, proveedores, videovigilancia, selección. Este será la base del RAT.
- Liste todos los proveedores que tocan datos personales.
- Determine si su empresa está obligada a designar DPD y, si aplica, inicie la regularización extemporánea inmediatamente.
Días 31 al 60: documentación y procesos
- Complete el RAT con los campos exigidos por el Art. 42.
- Redacte y publique el aviso de privacidad en el sitio web y en los puntos de captación de datos.
- Redacte o actualice la política general de protección de datos personales.
- Implemente un canal para solicitudes ARCO (correo dedicado o formulario web).
- Firme acuerdos de encargado con proveedores que aún no los tengan.
Días 61 al 90: seguridad y cultura
- Documente las medidas de seguridad existentes y las brechas identificadas.
- Implemente un procedimiento de gestión de incidentes.
- Capacite al equipo (RRHH, TI, comercial, customer service) en LOPDP aplicada a sus funciones.
- Registre la evidencia de capacitación.
- Defina una cadencia de revisión: RAT cada trimestre, políticas cada año, auditoría interna cada 6-12 meses.
Al final del día 90, su empresa tiene un expediente básico de responsabilidad demostrada. No está en "cumplimiento pleno" —eso es un estado continuo— pero sí en una posición defendible ante una primera inspección.
Plan de 90 días con acompañamiento real
Si prefiere no armar todo desde cero, en una demo de StatusEC le mostramos cómo nuestra plataforma cubre el RAT operativo (actividades de verificación), la trazabilidad de consentimiento, el registro de solicitudes ARCO y la gestión de incidentes. No sustituye a un abogado, pero baja el costo y el tiempo del programa de cumplimiento.
Ver cómo ayuda StatusECPreguntas frecuentes
¿Desde cuándo aplican las multas de la LOPDP en Ecuador?
El régimen sancionatorio entró en vigencia el 26 de mayo de 2023, dos años después de la publicación de la ley. Las primeras sanciones administrativas públicas fueron las impuestas por la SPDP a LIGAPRO y la FEF en diciembre de 2025.
¿Mi empresa está obligada a designar un DPD?
Depende de su actividad. La designación es obligatoria para entidades del sector público y para el sector privado en actividades específicas definidas en la Resolución SPDP-SPD-2025-0028-R: salud, seguros, farmacéuticas, instituciones financieras, educación, telecomunicaciones, videovigilancia, geolocalización, seguridad privada y perfilamiento sistemático, entre otras. Si su empresa está en alguna de esas industrias, la obligación aplica independientemente del tamaño.
¿Cuál es la multa máxima por incumplir la LOPDP?
Para el sector privado, las infracciones graves se sancionan con multas de entre 0.7% y 1% del volumen de negocio anual. Las leves van de 0.1% a 0.7%. La Resolución SPDP-SPD-2025-0022-R establece la metodología específica de cálculo dentro del rango, basada en criterios de graduación.
¿Qué es el RAT y quién debe tenerlo?
El Registro de Actividades de Tratamiento es el inventario documentado de todas las actividades donde su organización trata datos personales. Debe identificar finalidad, base legal, categorías de datos, destinatarios, plazos de conservación y medidas de seguridad. Es obligatorio para todo responsable y encargado del tratamiento según el artículo 42 de la LOPDP. No hay excepción por tamaño.
¿En cuánto tiempo debo responder una solicitud ARCO?
El plazo general es de 15 días hábiles desde la recepción de la solicitud, prorrogables por 15 días más en casos justificados. El titular debe recibir respuesta incluso si la solicitud se rechaza, y la respuesta debe incluir el fundamento. El incumplimiento reiterado de estos plazos constituye infracción.
¿Puedo transferir datos personales fuera del Ecuador?
Sí, cumpliendo los requisitos de los artículos 55 a 58 de la LOPDP. Las transferencias a países con decisión de adecuación de la SPDP no requieren garantías adicionales. A otros países necesita aplicar garantías apropiadas (cláusulas contractuales tipo) o basarse en una excepción específica: consentimiento explícito informado, ejecución de contrato con el titular, protección de intereses vitales, entre otras.
Si ya incumplí un plazo (por ejemplo el DPD), ¿qué hago ahora?
Regularice inmediatamente. Designe al DPD, regístrelo ante la SPDP aunque sea de forma extemporánea, documente las razones del retraso y las acciones correctivas. La SPDP considera la diligencia posterior y la colaboración con la autoridad como criterios de graduación. Un expediente ordenado en los demás pilares (RAT, políticas, registros de ARCO) también pesa a su favor.
Conclusión
La LOPDP ya no es una ley hipotética. Las sanciones son reales, la autoridad está operativa, y los precedentes se están construyendo mes a mes. El costo de incumplir está claro: va de USD 5,000 a más de USD 250,000 según el tamaño de la empresa y la gravedad de la falla, sin contar daño reputacional ni obligación de notificar a titulares.
El costo de cumplir, por el contrario, es tiempo: entre 60 y 90 días para una empresa mediana que arranca de cero, liderado por alguien que coordine legal, RRHH y TI. Las herramientas que automatizan parte del trabajo —como la plataforma StatusEC para el monitoreo de empleados con trazabilidad de consentimiento— reducen el esfuerzo, pero no reemplazan el juicio humano sobre qué datos tratar, con qué base legal y con qué medidas.
Si todavía no arrancó, empiece esta semana. Si ya arrancó, aproveche el vencimiento del plazo del DPD para hacer una auditoría honesta: qué plazos se cumplieron, qué se documentó, qué falta. La SPDP está mirando y los dos años que tuvo para ponerse al día ya pasaron.