TL;DR: Auditoría legal preventiva del Libro de Reclamaciones con 30 puntos verificables en seis bloques: aviso del libro (5), accesibilidad y visibilidad (5), proceso de respuesta (5), conservación y archivo (5), capacitación (5) y tecnología y seguridad (5). Cada punto trae criterio aprobado/no aprobado, multa potencial referencial y acción correctiva. La autoevaluación toma 2 a 4 horas y arma un plan de remediación a 30 días. Hacerla antes de que Indecopi te audite ahorra entre 30 y 200 UIT (S/165,000 a S/1,100,000 en 2026) según el perfil de la empresa.
Auditoría legal preventiva: 30 puntos para autoevaluarte antes de Indecopi
Cuando Indecopi llega a tu empresa con una notificación, ya es tarde para improvisar. La auditoría legal preventiva es el ejercicio que toda MYPE responsable hace al menos una vez al año (idealmente dos) para encontrar las grietas antes que el regulador. Este artículo arma un checklist de 30 puntos organizados en seis bloques temáticos. Por cada punto: criterio de aprobación, multa potencial referencial si fallas y acción correctiva concreta. Al final, plan de remediación a 30 días que cualquier MYPE puede ejecutar.
Por qué auditarte antes que lo haga Indecopi
El régimen sancionador del Código del Consumidor castiga con multas de 1 a 450 UIT (de S/5,500 a S/2,475,000 en 2026). El DS 032-2021-PCM reconoce como atenuantes la subsanación voluntaria, la conducta diligente y la implementación previa de medidas correctivas. Eso significa que el momento óptimo para arreglar un incumplimiento es antes de la notificación, porque después el atenuante baja en peso y la sanción crece.
El otro motivo es que las inspecciones de Indecopi se han vuelto más frecuentes. En 2024 las cifras públicas hablaron de 75 colegios sancionados con S/1.29 millones, y en 2025 las inmobiliarias acumularon más de S/21 millones en multas según fuentes consolidadas por Infobae el 18 de enero de 2026. La probabilidad de auditoría dejó de ser teórica.
Cómo usar este checklist
Lo recomendado es ejecutar la auditoría en una sesión de medio día con tres roles presentes: legal o compliance, operaciones y tecnología. Para cada uno de los 30 puntos: marca aprobado, no aprobado o no aplica. Documenta evidencia (capturas, archivos, contratos). Al final tendrás un mapa claro de qué arreglar y en qué orden.
Bloque 1: Aviso del libro (5 puntos)
Punto 1.1 — Aviso visible al ingreso del establecimiento. El cartel del Anexo III del DS 011-2011-PCM debe estar a la altura de los ojos, a la vista y sin obstrucciones. Multa potencial: 1-3 UIT. Acción: imprime el formato oficial, ubica en accesos principales y en zona de cajas. Ver requisitos del aviso del Anexo III.
Punto 1.2 — Aviso digital en la home y en el footer del sitio web. Visible en al menos dos clics conforme a la Resolución 0272-2024/SPC-INDECOPI. Multa potencial: 5-15 UIT. Acción: ubica el enlace en el footer global y como botón principal en el header.
Punto 1.3 — Aviso en el carrito y en el checkout del ecommerce. La Ley 32495 refuerza la obligación. Multa potencial: 5-20 UIT. Acción: agrega un enlace persistente al Libro en el footer del carrito y antes de confirmar la compra.
Punto 1.4 — Aviso en la app móvil. La Casación 20463-2022 (Easy Taxi, 2 de septiembre de 2024) confirmó la obligación en apps. Multa potencial: 10-30 UIT. Acción: configura un menú accesible desde la pantalla principal con etiqueta «Libro de Reclamaciones».
Punto 1.5 — Aviso en el correo de confirmación al cliente. Acción complementaria de buena fe. Multa potencial: 1-3 UIT. Acción: incluye un enlace al Libro en cada correo transaccional (compra, envío, soporte).
Bloque 2: Accesibilidad y visibilidad (5 puntos)
Punto 2.1 — Acceso a dos clics desde cualquier página del sitio. Multa potencial: 5-15 UIT. Acción: footer global con texto «Libro de Reclamaciones» y enlace permanente.
Punto 2.2 — Compatibilidad con WCAG 2.1 nivel AA. Lectores de pantalla, contraste, navegación con teclado. Multa potencial: 1-5 UIT (riesgo bajo en consumidor, alto en denuncia por discriminación si hay discapacidad afectada). Acción: revisa con axe DevTools o WAVE, corrige los hallazgos críticos.
Punto 2.3 — Versión móvil aprobada. Botones táctiles de al menos 44×44 píxeles, formularios sin colapso. Multa potencial: 1-5 UIT. Acción: prueba en al menos tres dispositivos físicos (Android gama media, iPhone reciente, tablet).
Punto 2.4 — Idioma claro y formularios sin tecnicismo legal. El consumidor peruano debe entender qué pasa con su reclamo. Multa potencial: implícita en idoneidad del Art. 97 de la Ley 29571. Acción: revisa con un usuario no abogado y simplifica.
Punto 2.5 — Acceso desde redes sociales y WhatsApp Business. Bio con enlace al Libro, respuestas automáticas con redirección. Multa potencial: 1-3 UIT por omisión informativa. Acción: actualiza bios de Instagram, TikTok, Facebook y configura mensajes de bienvenida en WhatsApp con el enlace.
Bloque 3: Proceso de respuesta (5 puntos)
Punto 3.1 — Plazo de 15 días hábiles improrrogables (Ley 31435 + DS 101-2022-PCM). Multa potencial: 50-150 UIT (infracción tipo B). Acción: configura alertas a 7, 10 y 13 días en tu SaaS. Profundiza en cómo responder en 15 días hábiles.
Punto 3.2 — Suspensión de hasta 5 días por propuesta de solución (DS 101-2022-PCM Art. 6-A.2.b). Multa potencial: 30-80 UIT si se aplica mal. Acción: documenta cada uso de la suspensión con motivación escrita.
Punto 3.3 — Plantillas de respuesta validadas legalmente. Multa potencial: indirecta, vía respuesta deficiente que dispara nueva infracción. Acción: usa la colección de plantillas validadas y revisa con tu equipo legal cada seis meses.
Punto 3.4 — Conservación del acuse de recibo timestamped. Multa potencial: 5-20 UIT por falta de prueba. Acción: configura RFC 3161 en tu SaaS y descarga muestras periódicas.
Punto 3.5 — Notificación al consumidor por canal verificable. Multa potencial: 5-15 UIT por omisión. Acción: doble notificación obligatoria (email + WhatsApp o SMS).
Bloque 4: Conservación y archivo (5 puntos)
Punto 4.1 — Conservación mínima de 2 años (Art. 12 DS 011-2011-PCM modificado por DS 006-2014). Multa potencial: 10-30 UIT. Acción: configura retención automática en tu SaaS por 730 días mínimo.
Punto 4.2 — Backup verificado y restauración probada. Multa potencial: implícita en imposibilidad de respuesta a inspección. Acción: ejecuta una prueba de restauración trimestral con tu proveedor.
Punto 4.3 — Política de eliminación al cierre del plazo (Ley 29733 + DS 016-2024-JUS). Multa potencial: 5-50 UIT por infracción a datos personales. Acción: protocolo escrito de eliminación verificable y registro de cada eliminación con motivo.
Punto 4.4 — Reporte SIREC trimestral si tus ingresos >3,000 UIT (Art. 16 DS 011-2011-PCM). Multa potencial: 10-30 UIT. Acción: automatiza la generación del reporte y revisa antes de enviar. Más detalle en la conservación de hojas y SIREC.
Punto 4.5 — Numeración correlativa sin saltos (Art. 5 DS 011-2011-PCM). Multa potencial: 5-15 UIT por inconsistencia documental. Acción: dump trimestral, verificación de secuencia, justificación documental de cada anulación.
Bloque 5: Capacitación del equipo (5 puntos)
Punto 5.1 — Capacitación anual mínima de 4 horas por persona en marco legal. Multa potencial: implícita, atenuante perdido. Acción: agenda con calendario y registra asistencia. Fundamento del programa de cumplimiento, ver programa de cumplimiento del Código del Consumidor.
Punto 5.2 — Manual de atención al consumidor firmado y conocido por el equipo. Multa potencial: implícita en atenuantes. Acción: distribuye con acuse de recibo y prueba con quiz aleatorio mensual.
Punto 5.3 — Capacitación específica del SaaS de Libro de Reclamaciones. Multa potencial: errores operativos que disparan plazo vencido. Acción: dos sesiones al año con el proveedor del SaaS.
Punto 5.4 — Capacitación en privacidad y datos personales. Multa potencial: 5-100 UIT (Ley 29733). Acción: módulo específico anual con casos prácticos.
Punto 5.5 — Capacitación en gestión de quejas en redes sociales. Multa potencial: implícita en imagen y dark patterns. Acción: trimestral con casos reales del año en curso.
Bloque 6: Tecnología y seguridad (5 puntos)
Punto 6.1 — Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256). Multa potencial: 5-100 UIT por brecha. Acción: certificados SSL al día y revisión de configuración de la base de datos.
Punto 6.2 — Acceso por usuario único con MFA. Multa potencial: 5-50 UIT en brecha. Acción: configura MFA obligatoria, deshabilita cuentas compartidas, revoca accesos al desvincular personal.
Punto 6.3 — Logs de auditoría conservados al menos 1 año. Multa potencial: 5-15 UIT por imposibilidad de probar incidente. Acción: confirma la política con tu SaaS y descarga muestras semestrales.
Punto 6.4 — Política de privacidad publicada y actualizada (DS 016-2024-JUS). Multa potencial: 5-100 UIT. Acción: revisa al menos cada 12 meses con tu equipo legal y publica versión versionada.
Punto 6.5 — Acuerdo de tratamiento de datos personales firmado con el SaaS. Multa potencial: 5-100 UIT. Acción: confirma que el contrato cubre roles, responsabilidades y plazos de eliminación. Ver seguridad y cifrado en el Libro.
Plan de remediación a 30 días
Una vez que terminas la auditoría, organiza el plan en cuatro semanas:
| Semana | Foco | Entregables |
|---|---|---|
| Semana 1 | Hallazgos críticos del Bloque 3 (proceso de respuesta) y Bloque 4 (conservación) | Configuración de alertas, validación de plantillas, prueba de restauración de backup. |
| Semana 2 | Bloque 1 (aviso) y Bloque 2 (accesibilidad) | Carteles físicos actualizados, footer del sitio, accesos en app móvil y checkout. |
| Semana 3 | Bloque 5 (capacitación) | Sesión de capacitación con asistencia, distribución del manual, quiz inicial. |
| Semana 4 | Bloque 6 (tecnología) y cierre | MFA, política de privacidad versionada, contrato de datos, informe ejecutivo al directorio. |
El informe ejecutivo de cierre debe incluir: matriz de hallazgos, semáforo por bloque, lista de acciones cerradas, lista de acciones pendientes con responsable y fecha, y compromiso de auditoría siguiente. Es el documento que vas a presentar como atenuante si Indecopi llega después.
Multa potencial total y costo de remediación
El cálculo orientativo para una MYPE peruana mediana (ingresos entre 1,500 y 6,000 UIT al año, equivalente a S/8,250,000 – S/33,000,000):
- Si fallan más de 15 puntos: riesgo de multa acumulada entre 50 y 200 UIT (S/275,000 a S/1,100,000) en escenarios de inspección con varios PAS.
- Si fallan entre 5 y 15 puntos: riesgo entre 10 y 50 UIT (S/55,000 a S/275,000).
- Si fallan menos de 5 puntos no críticos: riesgo bajo, sanción típica entre 1 y 10 UIT (S/5,500 a S/55,000).
El costo de remediación interna ronda entre S/8,000 y S/25,000 al año si se ejecuta con equipo propio + un partner legal puntual. Es decir: la auditoría preventiva tiene retorno económico positivo en cualquier escenario donde el riesgo total supere 5 UIT.
Checklist descargable
Los 30 puntos están disponibles como plantilla en formato Excel y PDF (con casillas para marcar, espacio para evidencia y campo de responsable). El archivo se actualiza al cierre de cada año fiscal con cambios normativos. La descarga del checklist está enlazada al cuerpo del programa de cumplimiento del Código del Consumidor.
Para profundizar en sanciones específicas, consulta infracciones más comunes en el Libro de Reclamaciones y errores de respuesta que disparan multa. Para entender el contexto de protección de datos, complementa con protección de datos médicos y educativos en el Libro.
Preguntas frecuentes
¿Qué incluye exactamente una auditoría legal preventiva?
Una revisión documental y operativa de seis bloques: aviso del libro, accesibilidad, proceso de respuesta, conservación, capacitación y seguridad. Cada bloque tiene cinco puntos verificables (30 en total), con criterio de aprobación, multa potencial referencial y acción correctiva. La auditoría termina con un informe ejecutivo y un plan de remediación a 30 días. La diferencia con una auditoría externa formal es que esta puede ejecutarse internamente en una jornada de medio día con tres roles: legal, operaciones y tecnología.
¿Cuáles son los 30 puntos? ¿Hay alguno más crítico?
Los 30 puntos están en seis bloques de cinco. Los más críticos en términos de multa son los del Bloque 3 (proceso de respuesta), porque el plazo vencido dispara infracción tipo B (51-150 UIT), y los del Bloque 4 (conservación), porque la imposibilidad de probar afecta otras defensas. Los del Bloque 1 (aviso) son los más fáciles de subsanar pero los más comúnmente fiscalizados. Los del Bloque 6 (seguridad) son los más caros si fallan, porque cruzan con sanciones de la Ley 29733.
¿Cómo me autoevalúo paso a paso?
Convoca una jornada de medio día con representantes de legal o compliance, operaciones y tecnología. Recorre los seis bloques en orden marcando aprobado, no aprobado o no aplica para cada punto. Documenta evidencia con capturas, archivos o contratos. Al final, calcula la matriz de riesgo, prioriza por impacto y diseña el plan de remediación a 30 días. Repite el ejercicio al menos una vez al año (idealmente dos: en enero y julio).
¿Qué multa específica corresponde a cada punto fallido?
Las multas referenciales del checklist son orientativas y derivan de la práctica administrativa de la SPC en 2024-2026. Van desde 1 UIT (S/5,500) por omisiones leves del aviso hasta 150 UIT (S/825,000) por incumplimiento del plazo de respuesta. La multa final depende de la conducta concreta, agravantes (reincidencia, dolo, alcance), atenuantes (subsanación, programa de cumplimiento) y criterio de la Comisión. La cifra exacta solo se conoce al final del PAS.
¿El plan de remediación realmente se ejecuta en 30 días?
Sí, si el alcance está acotado a hallazgos clase A y B y se asignan responsables claros con fecha. Los hallazgos clase C (transformaciones tecnológicas grandes, certificación ISO) pueden requerir 60 a 180 días y se llevan a un plan paralelo. Lo importante del plan a 30 días es cerrar los puntos que se traducen en sanción inmediata: aviso, plazo, conservación y notificación. Lo demás se va arreglando con el ciclo de auditoría regular.
¿La auditoría aplica también a MYPE pequeñas?
Sí, con escala. Una bodega de barrio no tiene SIREC y no necesita SOC 2, pero sí tiene que tener aviso visible, plazo de 15 días, conservación de 2 años y respuesta correctamente notificada. Los 30 puntos se calibran según tamaño y sector: una MYPE pequeña ejecuta versión liviana en 2 horas; una empresa mediana invierte medio día con consultores; un corporativo grande puede hacerlo en 3-5 días con consultoría externa. El principio es proporcionalidad: el costo de remediación nunca debe superar el riesgo asegurado.
¿Necesito abogado para hacer la auditoría?
No es estrictamente necesario, pero conviene. Un abogado del consumidor puede aportar criterio sobre puntos grises (qué aviso es suficiente, qué plantilla resiste, qué cláusula es abusiva). Si tu equipo de cumplimiento tiene experiencia previa, puede ejecutar la auditoría sola y consultar al abogado solo en casos puntuales. La regla práctica: para los primeros dos ciclos, contrata un partner legal por 8 a 15 horas; a partir del tercero, tu equipo puede operar de forma autónoma y validar con el abogado el informe final.
¿Aprobar los 30 puntos garantiza que Indecopi no me sancione?
No garantiza, pero baja el riesgo dramáticamente y te posiciona para invocar atenuantes si igual hay PAS. Indecopi puede sancionar por hechos no cubiertos en el checklist (publicidad engañosa, vicio oculto, cláusula abusiva específica). El checklist se enfoca en el Libro de Reclamaciones y los procesos asociados, no en toda la operación comercial. Para cobertura integral, complementa con auditoría de publicidad, contratos y políticas de privacidad. La auditoría legal preventiva es una capa, no toda la defensa.
Conclusión
Tres takeaways: (1) los 30 puntos son la línea base mínima; reprobar más de cinco te expone a sanciones evitables; (2) el plan a 30 días concentra el esfuerzo en hallazgos que se traducen en multa inmediata; (3) ejecutar la auditoría dos veces al año (enero y julio) genera evidencia documental que vale como atenuante en caso de PAS posterior.
¿Quieres que tu Libro de Reclamaciones cumpla los 30 puntos sin esfuerzo adicional? Conoce claimbook.pe, el SaaS con cumplimiento normativo nativo, alertas automáticas, plantillas legalmente validadas y backup geo-redundante. Empieza gratis y deja la auditoría preventiva en piloto automático.
