Lista de comprobación del cumplimiento del GDPR: 12 controles esenciales que toda PYME europea debe aplicar

El Reglamento General de Protección de Datos sigue siendo la piedra angular de la legislación europea en materia de protección de datos. Con multas acumuladas que superan los 5 000 millones de euros desde 2018, las autoridades de supervisión de toda la UE han demostrado un compromiso inquebrantable con el cumplimiento. Para las pequeñas y medianas empresas, comprender qué controles importan más ya no es opcional. Es un imperativo empresarial.

Esta lista de comprobación destila los 12 controles fundamentales que las autoridades de protección de datos de la UE examinan sistemáticamente durante las auditorías. Cada control está directamente relacionado con artículos específicos del RGPD, lo que proporciona a su organización una ruta clara desde el texto normativo hasta el cumplimiento operativo.

1. Cartografía de datos y registros de actividades de tratamiento

El artículo 30 del RGPD exige que los responsables y encargados del tratamiento mantengan registros escritos de las actividades de tratamiento. Para las pymes, esto significa elaborar un inventario de datos exhaustivo que documente todas las categorías de datos personales que recopila su organización, la base jurídica del tratamiento, los periodos de conservación y los terceros con los que se comparten los datos.

Su mapa de datos debe abarcar todos los departamentos, incluidos RRHH, marketing, finanzas y atención al cliente. Muchas medidas coercitivas tienen su origen en registros incompletos o anticuados de las actividades de tratamiento. La APD belga, por ejemplo, ha impuesto múltiples multas específicamente por infracciones del artículo 30, tratando los registros incompletos como prueba de incumplimientos más amplios.

• Documentar todas las categorías de datos personales tratados (nombres, correos electrónicos, direcciones IP, datos sanitarios, etc.)
• Registrar la finalidad y la base jurídica de cada actividad de tratamiento
• Identificar los flujos de datos entre los departamentos internos y los procesadores externos.
• Especifique los periodos de conservación para cada categoría de datos
• Actualizar el registro al menos trimestralmente o cada vez que cambien las actividades de tratamiento

2. Establecer una base jurídica para cada actividad de tratamiento

El artículo 6 establece seis bases jurídicas para el tratamiento de datos personales: consentimiento, necesidad contractual, obligación legal, intereses vitales, misión de servicio público e intereses legítimos. Cada actividad de tratamiento en su mapa de datos debe estar vinculada exactamente a una de estas bases. Basarse en una base incorrecta, o no documentar su elección, es una de las infracciones más comunes citadas por las autoridades de control.

En el caso de categorías especiales de datos (artículo 9), como datos sanitarios, datos biométricos o datos que revelen el origen racial o étnico, debe identificar una condición adicional en virtud del artículo 9(2). Tratar datos de categorías especiales sin cumplir los requisitos del artículo 6 y del artículo 9 constituye una infracción grave.

• Asignar cada actividad de tratamiento a una de las seis bases del artículo 6
• Para los intereses legítimos, realizar y documentar una Evaluación de Intereses Legítimos (EIL).
• No recurra nunca por defecto al consentimiento cuando sea más apropiado otro fundamento
• Identifique las condiciones del artículo 9 para cualquier dato de categoría especial

3. Gestión del consentimiento

Cuando el consentimiento es la base jurídica elegida, los artículos 7 y 8 imponen requisitos estrictos. El consentimiento debe ser libre, específico, informado e inequívoco. Debe ser tan fácil retirarlo como darlo. Las casillas marcadas previamente, el consentimiento agrupado o el consentimiento oculto en términos y condiciones no cumplen la norma del RGPD.

La CNIL (agencia francesa de protección de datos) ha sido especialmente activa en la aplicación de los requisitos de consentimiento, imponiendo multas significativas a las organizaciones que se basaban en mecanismos de consentimiento de cookies no conformes. Su plataforma de gestión del consentimiento debe generar registros auditables que demuestren cuándo, cómo y para qué dio su consentimiento cada persona.

• Implantar mecanismos de consentimiento granular (consentimiento separado para fines separados)
• Mantener registros de consentimiento auditables con marcas de tiempo
• Proporcionar un mecanismo sencillo para retirar el consentimiento en cualquier momento.
• Revisar anualmente la validez del consentimiento y actualizarla cuando el contexto del tratamiento haya cambiado.
• Para los menores de 16 años (o la edad fijada por su Estado miembro), obtenga el consentimiento paterno conforme al artículo 8.

4. Evaluación del responsable de la protección de datos (RPD)

El artículo 37 exige el nombramiento de un responsable de la protección de datos cuando las actividades principales del responsable o del encargado del tratamiento impliquen un seguimiento regular y sistemático de los interesados a gran escala, o el tratamiento a gran escala de categorías especiales de datos. Incluso cuando el nombramiento no es obligatorio, designar a un RPD o a un responsable de la protección de la intimidad demuestra responsabilidad.

El RPD debe disponer de los recursos necesarios para llevar a cabo sus tareas (artículo 38) y debe rendir cuentas al más alto nivel de dirección. El RPD no puede ser despedido ni sancionado por el desempeño de sus funciones, y deben evitarse los conflictos de intereses.

• Evalúe si su organización está obligada a designar un RPD en virtud del artículo 37.
• Si no es obligatorio, considere la posibilidad de un nombramiento voluntario o designe a un responsable de privacidad.
• Garantizar que el RPD tenga acceso directo a la alta dirección
• Publicar los datos de contacto del RPD y comunicárselos a su autoridad de control

5. Evaluaciones de impacto sobre la protección de datos (EIPD)

El artículo 35 exige una EADP cuando el tratamiento pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. Esto incluye la elaboración sistemática y amplia de perfiles con efectos significativos, el tratamiento a gran escala de datos de categoría especial y la vigilancia sistemática de zonas de acceso público.

La EIPD debe describir el tratamiento, evaluar su necesidad y proporcionalidad, evaluar los riesgos y determinar las medidas para mitigarlos. Cuando la EADP indique un riesgo residual elevado, el artículo 36 exige la consulta previa a la autoridad de control antes de iniciar el tratamiento.

• Mantener una evaluación del umbral de la EIPD para todas las nuevas actividades de tratamiento
• Realizar DPIA completas para los tratamientos de alto riesgo definidos en el apartado 3 del artículo 35 y en las listas publicadas por la DPA.
• Documentar las medidas de mitigación de riesgos y las evaluaciones de riesgos residuales
• Consultar a la autoridad de supervisión en virtud del artículo 36 cuando el riesgo residual siga siendo elevado.

6. Procedimientos de notificación de violaciones de datos

Los artículos 33 y 34 establecen un estricto régimen de notificación de violaciones. Las violaciones de datos personales deben notificarse a la autoridad de control sin dilación indebida y, cuando sea posible, en un plazo de 72 horas desde que se tuvo conocimiento de la violación. Cuando sea probable que una violación suponga un alto riesgo para las personas, éstas también deberán ser notificadas directamente.

Muchas autoridades de supervisión tratan la notificación tardía como un factor agravante a la hora de determinar las multas. La DPA holandesa (Autoriteit Persoonsgegevens) y la DPC irlandesa han impuesto sanciones específicamente por el retraso en la notificación de infracciones, independientemente de cualquier sanción por el fallo de seguridad subyacente.

• Establecer un procedimiento interno de detección y escalado de infracciones
• Definir funciones y responsabilidades para la evaluación y notificación de infracciones
• Creación de modelos de notificaciones para las autoridades de supervisión (requisitos de contenido del artículo 33, apartado 3)
• Implantar un registro de violaciones que documente todas las violaciones de datos personales, incluidas las no notificadas.
• Llevar a cabo revisiones posteriores a la violación para evitar que se repita.

7. Transferencias transfronterizas de datos

El capítulo V del RGPD (artículos 44 a 49) restringe las transferencias de datos personales a países no pertenecientes al EEE a menos que existan garantías adecuadas. A raíz de la sentencia Schrems II (C-311/18), las organizaciones deben realizar evaluaciones del impacto de las transferencias (EIT) para las transferencias basadas en cláusulas contractuales tipo.

El Consejo Europeo de Protección de Datos (CEPD) ha publicado orientaciones detalladas sobre medidas complementarias para las transferencias internacionales. Cuando su organización utilice servicios en la nube o plataformas SaaS con servidores fuera del EEE, cada transferencia debe documentarse y evaluarse.

• Identifique todas las transferencias internacionales de datos en su mapa de datos
• Verificar las decisiones de adecuación con arreglo al artículo 45 para cada país de destino
• Aplicar los SCC (artículo 46, apartado 2, letra c)) con evaluaciones de impacto de las transferencias cuando no exista una decisión de adecuación
• Documentar las medidas técnicas y organizativas suplementarias según las Recomendaciones 01/2020 del EDPB.
• Seguimiento de los cambios en las decisiones de adecuación (por ejemplo, la evolución del marco de privacidad de datos UE-EE.UU.)

8. Acuerdos del procesador

El artículo 28 exige un contrato vinculante entre responsables y encargados del tratamiento que regule el tratamiento de datos personales. Este contrato debe incluir cláusulas obligatorias específicas que cubran el objeto, la duración, la naturaleza y la finalidad del tratamiento, los tipos de datos personales y las obligaciones del encargado del tratamiento.

Las autoridades de control examinan cada vez más las relaciones entre el responsable y el encargado del tratamiento. El Comisario Federal de Protección de Datos de Alemania (BfDI) ha subrayado que el uso de un encargado del tratamiento sin las garantías contractuales adecuadas constituye una infracción independiente del RGPD, independientemente de que se produzca o no una violación de los datos.

• Auditar todas las relaciones existentes con los procesadores para comprobar el cumplimiento del artículo 28
• Incluya cláusulas obligatorias: instrucciones de tratamiento, confidencialidad, medidas de seguridad, autorizaciones de subencargados del tratamiento, derechos de auditoría, obligaciones de supresión
• Mantener un registro de todos los procesadores y subprocesadores
• Realizar auditorías periódicas del procesador o solicitar certificaciones SOC 2 / ISO 27001

9. Notificaciones de confidencialidad y transparencia

Los artículos 13 y 14 exigen que los responsables del tratamiento proporcionen información exhaustiva a los interesados en el momento de la recogida de datos (o en un plazo razonable para los datos no obtenidos directamente). La información debe facilitarse de forma concisa, transparente, inteligible y fácilmente accesible, utilizando un lenguaje claro y sencillo.

Los avisos de privacidad deben incluir la identidad y los datos de contacto del responsable del tratamiento y del RPD, los fines y la base jurídica del tratamiento, los destinatarios de los datos, las garantías de transferencia internacional, los periodos de conservación, los derechos de los interesados, el derecho a presentar una reclamación y si se utiliza la toma de decisiones automatizada (artículo 22).

• Proporcionar avisos de privacidad estratificados que cubran todos los requisitos de los artículos 13 y 14.
• Haga accesibles los avisos en todos los puntos de recogida de datos (sitio web, formularios, aplicaciones, tiendas).
• Utilice un lenguaje sencillo y adecuado a su público
• Revisar y actualizar los avisos cada vez que cambien las actividades de tratamiento

10. Derechos del interesado

El capítulo III del RGPD (artículos 15 a 22) concede a los interesados una serie de derechos: acceso, rectificación, supresión (derecho al olvido), limitación, portabilidad de datos, oposición y derechos relacionados con la toma de decisiones automatizada y la elaboración de perfiles. Las organizaciones deben responder a las solicitudes válidas en el plazo de un mes, prorrogable otros dos meses en caso de solicitudes complejas.

El Garante italiano ha impuesto múltiples multas por no responder a las solicitudes de acceso de los interesados dentro del plazo legal. Su organización debe contar con procedimientos documentados para verificar la identidad, localizar los datos pertinentes y proporcionar respuestas en el formato requerido.

• Establecer procedimientos documentados para cada derecho del interesado
• Implantar procesos de verificación de identidad para evitar accesos no autorizados.
• Establecer flujos de trabajo de seguimiento y escalado para cumplir el plazo de un mes.
• Formar al personal de atención al cliente para que reconozca y tramite las solicitudes de los interesados.
• Mantener registros de todas las solicitudes recibidas y las respuestas proporcionadas

11. Medidas de seguridad técnicas y organizativas

El artículo 32 exige que los responsables y encargados del tratamiento apliquen medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Esto incluye, según proceda, la seudonimización y el cifrado, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resistencia permanentes de los sistemas de tratamiento, la capacidad de restaurar los datos en el momento oportuno y la realización de pruebas periódicas.

Las medidas de seguridad deben ser proporcionales al riesgo. Una consulta médica que procesa datos sanitarios requiere controles más estrictos que un minorista que sólo procesa nombres y direcciones de entrega. La AEPD española ha impuesto numerosas multas por medidas de seguridad inadecuadas, especialmente cuando las organizaciones no aplican controles básicos como la gestión de accesos y el cifrado.

• Cifrado de los datos personales en reposo y en tránsito
• Aplicar controles de acceso basados en funciones con el principio del mínimo privilegio
• Implantar la autenticación multifactor para el acceso administrativo y remoto
• Realización periódica de evaluaciones de vulnerabilidad y pruebas de penetración
• Mantener y probar los planes de continuidad de la actividad y de recuperación en caso de catástrofe

12. Formación y sensibilización del personal

El artículo 39, apartado 1, letra b), identifica la sensibilización y la formación del personal como una tarea fundamental del RPD. Más allá del requisito legal, el personal sin formación es la principal fuente de incidentes relacionados con la protección de datos. La suplantación de identidad, los correos electrónicos mal dirigidos y el tratamiento inadecuado de los datos representan una proporción significativa de las violaciones notificadas.

Su programa de formación debe ser específico para cada función. Los agentes de atención al cliente necesitan una formación diferente a la de los administradores de TI o el personal de marketing. La formación debe documentarse, repetirse al menos una vez al año y actualizarse para reflejar las nuevas amenazas y la evolución de la normativa.

• Impartir formación de concienciación sobre el RGPD a todos los empleados en el momento de su contratación y, posteriormente, una vez al año.
• Impartir formación específica para cada función (por ejemplo, información sobre infracciones para TI, gestión del consentimiento para marketing).
• Documentar la finalización de la formación y mantener registros de asistencia
• Realización de simulacros de phishing y ejercicios de concienciación sobre ingeniería social
• Actualizar el contenido de la formación para reflejar las nuevas tendencias y orientaciones en materia de aplicación de la legislación.

Crear una cultura de cumplimiento

Estos 12 controles constituyen la base del cumplimiento del RGPD, pero no son una lista de comprobación única. La protección de datos es un proceso continuo que requiere un seguimiento permanente, revisiones periódicas y la adaptación a la evolución de las expectativas normativas. El principio de responsabilidad establecido en el artículo 5, apartado 2, exige que se pueda demostrar el cumplimiento en cualquier momento, no sólo una vez.

Comience con un análisis de las deficiencias en relación con estos 12 controles. Priorice las medidas correctoras en función del riesgo y elabore una hoja de ruta de cumplimiento con hitos trimestrales. En el caso de las PYME que no dispongan de experiencia interna en protección de datos, contratar a una consultoría especializada puede acelerar el proceso de cumplimiento y reducir el riesgo de costosas medidas coercitivas.

El coste del incumplimiento (hasta 20 millones de euros o el 4% del volumen de negocios anual global con arreglo al artículo 83, apartado 5) supera con creces la inversión necesaria para crear un programa sólido de protección de datos. Empiece hoy mismo su viaje hacia el cumplimiento de la normativa.