Lista de Verificación de Cumplimiento del RGPD 2026: Guía Paso a Paso

El cumplimiento del RGPD conforme al Reglamento (UE) 2016/679 exige que las organizaciones tomen medidas documentadas en catorce áreas interrelacionadas, desde el mapeo de datos y la identificación de la base jurídica hasta la respuesta a brechas y la formación continua del personal. El principio de responsabilidad proactiva del Artículo 5(2) exige que los responsables demuestren el cumplimiento en cualquier momento, lo que convierte a un enfoque sistemático y basado en evidencia en la obligación de referencia.
El cumplimiento del RGPD no es un proyecto puntual. El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) exige evidencia documentada del cumplimiento, y cada cambio en sus actividades de tratamiento puede generar nuevas obligaciones. Esta lista de verificación cubre cada área fundamental de cumplimiento, con referencias a los artículos pertinentes del RGPD, la orientación oficial del CEPD y los avances recientes más significativos.
Información verificada por última vez el 19 de mayo de 2026. Este artículo presenta información jurídica general y no constituye asesoramiento legal. Consulte a un abogado especializado en protección de datos o a un profesional de la privacidad cualificado para obtener orientación específica para su organización.
Alcance jurisdiccional: esta lista de verificación aborda el cumplimiento del Reglamento General de Protección de Datos de la UE (Reglamento (UE) 2016/679) tal como se aplica en los Estados miembros de la UE y el EEE. No aborda el RGPD del Reino Unido (que divergió del RGPD de la UE tras el Brexit) ni las leyes nacionales de desarrollo. Para una comparación, consulte RGPD vs. RGPD del Reino Unido. Para una visión fundamental del reglamento, consulte ¿Qué Es el RGPD?.
La Lista de Verificación de Cumplimiento del RGPD: una Visión General
El cumplimiento del RGPD exige actuar en catorce áreas interrelacionadas. Las secciones siguientes abordan cada una de ellas por turno. Comience por el mapeo de datos, porque todos los demás pasos dependen de saber qué datos posee y por qué.
| Paso | Área de cumplimiento | Artículos clave | Prioridad |
|---|---|---|---|
| 1 | Mapeo de datos y registros de tratamiento | Art. 30 | Fundamental |
| 2 | Identificación de la base jurídica | Art. 6 | Crítico |
| 3 | Avisos de privacidad y transparencia | Art. 12, 13, 14 | Crítico |
| 4 | Gestión del consentimiento | Art. 7, 8 | Cuando el consentimiento es la base jurídica |
| 5 | Procedimientos de derechos de los interesados | Art. 15-22 | Crítico |
| 6 | Designación del DPO | Art. 37-39 | Cuando se requiera |
| 7 | Evaluaciones de Impacto relativas a la Protección de Datos | Art. 35 | Antes del tratamiento de alto riesgo |
| 8 | Contratos con encargados del tratamiento | Art. 28 | Crítico |
| 9 | Medidas de seguridad | Art. 32 | Crítico |
| 10 | Plan de respuesta a brechas | Art. 33, 34 | Crítico |
| 11 | Garantías de transferencia internacional | Capítulo V | Si los datos salen de la UE/EEE |
| 12 | Protección de datos desde el diseño y por defecto | Art. 25 | Continuo |
| 13 | Formación del personal y responsabilidad proactiva | Art. 39(1)(b) | Continuo |
| 14 | Gestión de proveedores y revisión continua | Art. 24, 28 | Continuo |
Paso 1: Mapeo de Datos y Registros de Actividades de Tratamiento (Artículo 30)
Antes de que su organización pueda cumplir con el RGPD, debe saber qué datos personales recopila, de dónde provienen esos datos, adónde van y por qué se tratan. El mapeo de datos es el fundamento de todas las demás actividades de cumplimiento. El Artículo 30 exige entonces que este conocimiento se formalice en registros escritos de las actividades de tratamiento (RAT).
Qué Documentar en su Inventario de Datos
Para cada actividad de tratamiento, registre:
- Categorías de datos personales (nombres, direcciones de correo electrónico, direcciones IP, datos de salud, registros financieros, datos biométricos)
- Categorías de interesados (clientes, empleados, visitantes del sitio web, solicitantes de empleo)
- Finalidad de cada actividad de tratamiento
- Base jurídica del tratamiento (véase el Paso 2)
- Ubicaciones y sistemas de almacenamiento
- Quién tiene acceso (roles internos y destinatarios externos)
- Períodos de conservación o los criterios para determinarlos
- Si los datos salen de la UE/EEE y, en caso afirmativo, mediante qué mecanismo de transferencia
Qué Deben Registrar los Responsables Conforme al Artículo 30(1)
El Artículo 30(1) exige que los responsables mantengan registros escritos que contengan:
- El nombre y los datos de contacto del responsable (y los datos de contacto del DPO, cuando corresponda)
- Los fines del tratamiento
- Las categorías de interesados y de datos personales
- Las categorías de destinatarios, incluidos los terceros países
- Los detalles de las transferencias internacionales y el mecanismo jurídico
- Los plazos previstos de conservación
- Una descripción general de las medidas técnicas y organizativas de seguridad
Los encargados del tratamiento tienen una obligación paralela conforme al Artículo 30(2): deben registrar las categorías de tratamiento realizadas por cuenta de cada responsable.
La Exención para Pymes y el Cambio Propuesto por el Ómnibus Digital
El Artículo 30(5) exime actualmente a las organizaciones con menos de 250 empleados de mantener un RAT completo, siempre que el tratamiento no sea susceptible de entrañar un riesgo para las personas, sea solo ocasional, y no incluya datos de categoría especial. En la práctica, la mayoría de las organizaciones tratan datos con la frecuencia suficiente como para que esta exención rara vez se aplique en su totalidad.
La propuesta de Ómnibus Digital de noviembre de 2025 elevaría este umbral a menos de 750 empleados (con criterios financieros), sujeto a la misma excepción de alto riesgo. El CEPD y el SEPD, en su Dictamen Conjunto 2/2026, acogieron con satisfacción el objetivo de simplificación, aunque recomendaron que la exención se vincule a las definiciones legales de pyme y pequeña empresa de mediana capitalización, para mayor claridad. Esta propuesta no ha entrado en vigor a la fecha de este artículo.

Paso 2: Identificar la Base Jurídica de Cada Actividad de Tratamiento (Artículo 6)
El Artículo 6 del RGPD exige que toda actividad de tratamiento se base en una de seis bases jurídicas. La base debe identificarse antes de que comience el tratamiento; no se permite cambiar de base a posteriori.
Las Seis Bases Jurídicas
| Base jurídica | Cuándo se aplica | Condiciones clave |
|---|---|---|
| Consentimiento (Art. 6(1)(a)) | La persona opta voluntariamente | Libre, específico, informado, inequívoco; revocable en cualquier momento |
| Contrato (Art. 6(1)(b)) | El tratamiento es necesario para ejecutar un contrato con la persona | Debe ser necesario, no meramente conveniente |
| Obligación legal (Art. 6(1)(c)) | El tratamiento es exigido por el derecho de la UE o de un Estado miembro | Debe identificarse el requisito legal específico |
| Intereses vitales (Art. 6(1)(d)) | El tratamiento es necesario para proteger la vida de alguien | Limitado; no puede utilizarse de forma rutinaria |
| Interés público (Art. 6(1)(e)) | El tratamiento es necesario para una tarea de interés público | Típicamente autoridades públicas |
| Interés legítimo (Art. 6(1)(f)) | El tratamiento es necesario para los intereses legítimos del responsable o de un tercero | Se requiere una prueba de ponderación documentada |
Para las categorías especiales de datos conforme al Artículo 9 (salud, datos biométricos, genéticos, origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical, condenas penales), se requieren tanto una base jurídica del Artículo 6 como una condición separada del Artículo 9.
Muchas organizaciones recurren por defecto al consentimiento cuando el interés legítimo o la necesidad contractual serían más apropiados. El consentimiento genera obligaciones de gestión continuas, que incluyen el seguimiento, los mecanismos de revocación y, potencialmente, la renovación del consentimiento. Para obtener orientación detallada, consulte Requisitos de Consentimiento del RGPD.
Paso 3: Redactar Avisos de Privacidad Claros (Artículos 12, 13, 14)
Los Artículos 13 y 14 exigen que las organizaciones proporcionen información transparente a los interesados. La acción de ejecución CEF 2026 del CEPD se centra específicamente en las obligaciones de transparencia e información de los Artículos 12, 13 y 14, lo que significa que las autoridades de control de todos los Estados miembros de la UE están auditando activamente los avisos de privacidad este año.
Contenido Obligatorio de un Aviso de Privacidad del RGPD
Un aviso de privacidad conforme debe incluir:
- La identidad y los datos de contacto del responsable, y los datos de contacto del DPO cuando corresponda
- Los fines y la base jurídica de cada actividad de tratamiento
- Las categorías de datos personales recopilados
- Los destinatarios o categorías de destinatarios
- Los detalles de cualquier transferencia internacional de datos y las garantías vigentes
- Los períodos de conservación, o los criterios utilizados para determinarlos
- Los ocho derechos de los interesados
- El derecho a presentar una reclamación ante una autoridad de control
- Si proporcionar los datos es un requisito legal o contractual
- Información sobre la toma de decisiones automatizadas, incluida la elaboración de perfiles, y la lógica involucrada
Cuando los datos se recopilan directamente de la persona (Artículo 13), el aviso debe proporcionarse en el momento de la recopilación. Cuando los datos se obtienen de un tercero (Artículo 14), el aviso debe proporcionarse dentro del plazo de un mes. El Artículo 12 exige un lenguaje claro y sencillo que sea conciso, transparente y fácilmente accesible; un enfoque por capas (un resumen breve con enlaces a secciones detalladas) funciona bien.
Paso 4: Establecer un Proceso de Gestión del Consentimiento (Artículos 7, 8)
Cuando el consentimiento es la base jurídica elegida, el Artículo 7 impone requisitos específicos. El consentimiento que no cumple estos requisitos es inválido y el tratamiento carece de base jurídica.
Requisitos para un Consentimiento Válido conforme al RGPD
"El responsable del tratamiento deberá poder demostrar que el interesado consintió el tratamiento de sus datos personales". (RGPD, Artículo 7(1))
El consentimiento válido conforme al Artículo 7 debe ser:
- Libre: no condicionar un servicio al consentimiento para un tratamiento innecesario; ausencia de un desequilibrio de poder que impida una elección genuina
- Específico: consentimiento separado para cada finalidad de tratamiento distinta; el consentimiento agrupado no es válido
- Informado: la persona debe saber quién recopila los datos, con qué finalidad, y que puede retirar su consentimiento
- Inequívoco: se requiere un acto afirmativo claro; las casillas premarcadas, el silencio y la inactividad no constituyen consentimiento
- Revocable: la revocación debe ser tan fácil como otorgar el consentimiento; no se permite continuar el tratamiento tras la revocación
Para el tratamiento de datos personales de menores, el Artículo 8 exige el consentimiento parental para menores de 16 años; los Estados miembros pueden reducir esta edad a 13 años.
Requisitos de la Infraestructura de Gestión del Consentimiento
- Registrar la hora, el mecanismo y el texto mostrado en el momento del consentimiento de cada persona
- Habilitar la revocación del consentimiento y activar la supresión correspondiente en todos los sistemas
- Señalar cuándo se obtuvo el consentimiento y si sigue vigente
- Admitir flujos de renovación del consentimiento cuando cambien las finalidades del tratamiento
- Almacenar los registros de consentimiento en un formato accesible para la autoridad de control cuando lo solicite
Paso 5: Establecer Procedimientos para los Derechos de los Interesados (Artículos 15 a 22)
El RGPD otorga a las personas ocho derechos sobre sus datos personales. Para un desglose detallado de cada derecho, consulte Derechos de los Interesados del RGPD.
Los Ocho Derechos de un Vistazo
| Derecho | Artículo | Obligación central |
|---|---|---|
| Acceso | 15 | Proporcionar una copia de los datos e información especificada dentro de un mes |
| Rectificación | 16 | Corregir datos inexactos o completar datos incompletos sin dilación indebida |
| Supresión | 17 | Eliminar los datos cuando ya no sean necesarios, se retire el consentimiento, o prospere la oposición |
| Limitación | 18 | Pausar el tratamiento mientras se impugna la exactitud o la licitud |
| Portabilidad de los datos | 20 | Proporcionar los datos en un formato estructurado y legible por máquina |
| Oposición | 21 | Detener el tratamiento basado en el interés legítimo o el marketing directo |
| Decisiones automatizadas | 22 | No ser objeto de decisiones exclusivamente automatizadas con efectos significativos sin revisión humana |
Lista de Verificación Operativa para los Procedimientos de Derechos
- Asignar un equipo o una persona para gestionar las solicitudes de acceso de los interesados
- Crear canales de recepción y acusar recibo con prontitud
- Establecer procedimientos de verificación de identidad para prevenir divulgaciones no autorizadas
- Mapear todos los sistemas que contienen datos personales para poder localizarlos y compilarlos rápidamente
- Documentar cómo se gestiona cada tipo de derecho, incluidas las respuestas parciales y las denegaciones
- Hacer seguimiento de los plazos: el período estándar es de un mes natural; se permite una prórroga a tres meses para solicitudes complejas, pero debe notificarse a la persona dentro del primer mes
- Formar al personal de atención al cliente para reconocer las solicitudes de derechos, incluso cuando la persona no utilice terminología legal

Paso 6: Designar un Delegado de Protección de Datos Cuando Corresponda (Artículo 37)
El Artículo 37 del RGPD hace obligatoria la designación de un DPO en tres circunstancias.
Cuándo Es Obligatorio un DPO
Debe designarse un DPO cuando:
- El responsable o el encargado del tratamiento es una autoridad u organismo público (se excluyen los tribunales que actúan en el ejercicio de su función judicial)
- Las actividades principales requieren una supervisión habitual y sistemática de personas a gran escala
- Las actividades principales implican el tratamiento a gran escala de categorías especiales de datos (Artículo 9) o de datos de condenas penales (Artículo 10)
"Actividades principales" hace referencia a las actividades esenciales de la organización, no al tratamiento auxiliar de RR. HH. o de TI común a todos los empleadores. La expresión "a gran escala" no tiene un umbral numérico fijo; las Directrices del CEPD sobre el DPO consideran el número de interesados, el volumen de datos, el alcance geográfico y la duración del tratamiento.
Requisitos del DPO Conforme a los Artículos 38 y 39
El DPO debe poseer conocimientos especializados en derecho de protección de datos, informar directamente al nivel más alto de la dirección, operar de manera independiente sin recibir instrucciones sobre cómo desempeñar sus funciones, y disponer de recursos adecuados y acceso a las operaciones de tratamiento. El DPO no puede ser destituido ni sancionado por el desempeño de sus funciones. Sus datos de contacto deben publicarse y comunicarse a la autoridad de control.
El informe de Ejecución Coordinada de 2023 del CEPD sobre los DPO constató que muchas organizaciones todavía no otorgan a los DPO una independencia genuina ni recursos adecuados, y les asignan tareas contradictorias que generan conflictos de intereses.
Paso 7: Realizar Evaluaciones de Impacto relativas a la Protección de Datos (Artículo 35)
Se requiere una EIPD antes de cualquier tratamiento que pueda entrañar un alto riesgo para los derechos y libertades de las personas físicas. La obligación se aplica antes de que comience el tratamiento; las EIPD retrospectivas no cumplen con el Artículo 35.
Cuándo Siempre Se Requiere una EIPD
Una EIPD es obligatoria para:
- La elaboración de perfiles sistemática y extensiva con efectos significativos sobre las personas
- El tratamiento a gran escala de datos de categoría especial o de datos de condenas penales
- La supervisión sistemática a gran escala de zonas de acceso público
Las autoridades de control nacionales publican sus propias listas de operaciones de tratamiento que requieren una EIPD. Consulte la lista publicada por su autoridad de control principal.
Sistemas de IA y EIPD
La Ley de IA de la UE (Reglamento (UE) 2024/1689), que entró en vigor el 1 de agosto de 2024, se aplica junto con el RGPD siempre que los sistemas de IA traten datos personales. La CNIL y el CEPD han confirmado que debe presumirse necesaria una EIPD conforme al Artículo 35 del RGPD para los sistemas de IA de alto riesgo (enumerados en el Anexo III de la Ley de IA). La documentación técnica de la Ley de IA y los requisitos de gobernanza de datos de los Artículos 10 y 11 pueden alimentar la EIPD, siempre que esta contenga todos los elementos exigidos por el Artículo 35(7) del RGPD.
Qué Debe Contener una EIPD Conforme al Artículo 35(7)
- Una descripción sistemática de las operaciones de tratamiento y sus fines
- Una evaluación de la necesidad y proporcionalidad del tratamiento
- Una evaluación de los riesgos para los derechos y libertades de los interesados
- Las medidas previstas para abordar esos riesgos
Cuando la EIPD revele riesgos residuales elevados que no puedan mitigarse, el responsable debe consultar a la autoridad de control antes de proceder (consulta previa del Artículo 36). Las EIPD deben revisarse siempre que se produzca un cambio significativo en el tratamiento.
Paso 8: Establecer Contratos con Encargados del Tratamiento (Artículo 28)
Cuando proveedores de servicios de terceros tratan datos personales en su nombre, el Artículo 28 exige un acuerdo de tratamiento de datos escrito antes de que comience el tratamiento.
Disposiciones Obligatorias en un Acuerdo del Artículo 28
Todo contrato con un encargado del tratamiento debe especificar que este:
- Trata los datos personales únicamente siguiendo instrucciones documentadas del responsable
- Garantiza que todo el personal autorizado esté sujeto a obligaciones de confidencialidad
- Implementa medidas técnicas y organizativas de seguridad apropiadas (Artículo 32)
- Asiste al responsable en la respuesta a las solicitudes de derechos de los interesados
- Asiste en las EIPD, la consulta previa, la notificación de brechas y las obligaciones de seguridad
- Elimina o devuelve todos los datos personales al finalizar el contrato, a elección del responsable
- Pone a disposición toda la información necesaria para demostrar el cumplimiento del Artículo 28 y permite auditorías
- Contrata a subencargados únicamente con la autorización previa por escrito del responsable
Lista de Verificación para la Evaluación de Proveedores
- Auditar todos los contratos existentes con proveedores que manejan datos personales
- Confirmar que existen acuerdos de tratamiento de datos e incluyen todas las disposiciones obligatorias del Artículo 28
- Evaluar las medidas de seguridad de los proveedores mediante cuestionarios, certificaciones (ISO 27001, SOC 2 Tipo II) o derechos de auditoría
- Verificar si el proveedor transfiere datos fuera de la UE/EEE y confirmar el mecanismo jurídico de transferencia
- Revisar las listas de subencargados y los procedimientos para los cambios de subencargados
- Establecer un ciclo regular de revisión de proveedores (como mínimo anualmente, o ante cualquier cambio material)
Paso 9: Implementar Medidas Técnicas y Organizativas de Seguridad (Artículo 32)
El Artículo 32 exige medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Las medidas deben calibrarse conforme al estado de la técnica, los costes de implementación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como la probabilidad y gravedad variables de los riesgos para las personas.
El Artículo 32 Menciona Específicamente
- La seudonimización y el cifrado de los datos personales
- La capacidad de garantizar de forma permanente la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas de tratamiento
- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma oportuna tras un incidente
- Un proceso de verificación, evaluación y valoración periódicas de la eficacia de las medidas de seguridad
Más allá de estos ejemplos legales, las organizaciones suelen implementar: controles de acceso basados en roles y el principio de mínimo privilegio; autenticación multifactor; segmentación de red; gestión de vulnerabilidades y calendarios de parcheo; protección de endpoints; controles de prevención de pérdida de datos; seguridad física; y evaluaciones de seguridad de proveedores.
Las medidas organizativas incluyen una política de seguridad de la información documentada, un esquema de clasificación de datos, roles y responsabilidades claros, la gestión de incidentes de seguridad, y procedimientos de gestión del riesgo de terceros.
Paso 10: Elaborar y Probar un Plan de Respuesta a Brechas (Artículos 33 y 34)
El RGPD impone plazos estrictos para la notificación de brechas. No informar a tiempo puede dar lugar a multas significativas, independientemente de cualquier multa por el fallo de seguridad subyacente. Para un tratamiento detallado de los requisitos de notificación, consulte Regla de las 72 Horas de Notificación de Brechas del RGPD.
La Obligación de Notificación de 72 Horas Conforme al Artículo 33
Conforme al Artículo 33(1), un responsable debe notificar a la autoridad de control competente "sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia" de una violación de datos personales. El CEPD ha interpretado "constancia" como el momento en que el responsable tiene un grado razonable de certeza de que se ha producido un incidente de seguridad que afecta a datos personales.
Las notificaciones conforme al Artículo 33(3) deben incluir: la naturaleza de la violación y el número aproximado de interesados y registros afectados; los datos de contacto del DPO; las probables consecuencias de la violación; y las medidas adoptadas o propuestas para abordarla.
La Obligación del Artículo 34 de Notificar a las Personas Afectadas
Cuando una violación pueda entrañar un alto riesgo para las personas afectadas, el responsable debe notificar a dichas personas sin dilación indebida. El Artículo 34(3) prevé excepciones limitadas cuando los datos estaban cifrados o se hicieron ininteligibles, cuando medidas posteriores han hecho improbable el alto riesgo, o cuando la notificación individual requeriría un esfuerzo desproporcionado (en cuyo caso puede sustituirse por una comunicación pública).
Los encargados del tratamiento deben notificar al responsable sin dilación indebida tras tener conocimiento de una violación (Artículo 33(2)). Los contratos con encargados deben especificar un plazo contractual, típicamente de 24 a 48 horas.
Lista de Verificación Operativa de Respuesta a Brechas
- Implementar controles técnicos de detección: detección de intrusiones, monitoreo de registros y alertas de anomalías
- Establecer un equipo de respuesta a brechas con roles definidos, una vía de escalamiento, y una definición clara de "conocimiento" organizativo
- Crear una plantilla de evaluación de brechas para evaluar el riesgo para los interesados
- Preparar plantillas de notificación para la autoridad de control y las personas afectadas
- Mantener un registro de brechas que documente todos los incidentes, incluidos los que están por debajo del umbral de notificación
- Probar el procedimiento de respuesta a brechas mediante ejercicios de simulación al menos anualmente
Paso 11: Establecer Garantías para las Transferencias Internacionales de Datos (Capítulo V)
Las transferencias de datos personales a países fuera de la UE/EEE solo se permiten cuando existe uno de los mecanismos del Capítulo V.
Mecanismos de Transferencia
| Mecanismo | Cuándo utilizarlo |
|---|---|
| Decisión de adecuación (Art. 45) | Al transferir a un país que la Comisión ha declarado adecuado (ejemplos: Japón, República de Corea, Reino Unido, EE. UU. bajo el Marco de Privacidad de Datos UE-EE. UU.) |
| Cláusulas Contractuales Tipo (Art. 46(2)(c)) | El mecanismo más común para países sin adecuación; la Comisión adoptó CCT revisadas en junio de 2021 |
| Normas Corporativas Vinculantes (Art. 47) | Mecanismo intragrupo aprobado para organizaciones multinacionales |
| Excepciones específicas (Art. 49) | Excepciones limitadas para transferencias ocasionales cuando no hay otro mecanismo disponible |
Evaluaciones de Impacto de la Transferencia
Cuando se recurre a CCT o BCR, las Recomendaciones 01/2020 del CEPD exigen una evaluación de impacto de la transferencia para determinar si las leyes del país receptor ofrecen una protección esencialmente equivalente a la del derecho de la UE. La evaluación debe considerar las leyes de vigilancia, los derechos de acceso gubernamental, los recursos legales disponibles, y el historial de las autoridades públicas del país de destino. Las decisiones de adecuación deben supervisarse: el Tribunal de Justicia ha invalidado anteriormente decisiones de adecuación, y el Marco de Privacidad de Datos UE-EE. UU. sigue sujeto a desafíos legales en curso.
Paso 12: Incorporar la Protección de Datos desde el Diseño y por Defecto (Artículo 25)
El Artículo 25 exige que los responsables implementen los principios de protección de datos desde las etapas más tempranas de cualquier nueva actividad o sistema de tratamiento (desde el diseño), y que garanticen que solo se traten los datos mínimos necesarios para cada finalidad (por defecto).
La Protección de Datos desde el Diseño en la Práctica
- Incluir una revisión de protección de datos como una etapa obligatoria en su proceso de gestión de proyectos o desarrollo de productos
- Incorporar controles de acceso, cifrado y seudonimización en la arquitectura del sistema desde el principio
- Seleccionar tecnologías que minimicen la exposición de datos
- Documentar las decisiones de diseño y las contrapartidas de privacidad consideradas
La Protección de Datos por Defecto en la Práctica
La configuración predeterminada debe ser la más protectora de la privacidad disponible. Las medidas prácticas incluyen: formularios de recopilación de datos con el número mínimo de campos; valores predeterminados de opt-in en lugar de opt-out para el tratamiento no esencial; eliminación automática tras el período de conservación; controles de acceso basados en roles; y valores predeterminados que preservan la privacidad en las configuraciones de analítica y seguimiento.
Paso 13: Formación del Personal y Responsabilidad Proactiva (Artículo 39(1)(b))
El Artículo 39(1)(b) enumera la formación de concienciación del personal como una de las tareas obligatorias del DPO. El principio de responsabilidad proactiva del Artículo 5(2) exige que las organizaciones sin un DPO obligatorio también demuestren la formación impartida. Las decisiones de ejecución citan con frecuencia la formación inadecuada del personal como un factor agravante.
Requisitos del Programa de Formación
- Impartir formación básica sobre el RGPD a todo el personal que maneja datos personales, antes de que comiencen a tratarlos y con actualización al menos anual
- Impartir formación específica por función para las áreas de alto riesgo: RR. HH., marketing, TI y desarrollo, atención al cliente
- Formar al personal sobre los avisos de privacidad específicos de su organización, las bases jurídicas, las políticas de conservación y los procedimientos de reporte de brechas
- Documentar toda la formación: quién asistió, fecha, formato y contenido
- Evaluar la competencia adquirida, no solo la asistencia
Las organizaciones que obtienen resultados consistentemente buenos en las auditorías regulatorias integran la protección de datos en su cultura mediante un compromiso visible del liderazgo, referentes de privacidad en cada departamento, vías claras de escalamiento para las inquietudes de privacidad, y comunicaciones internas periódicas que refuerzan las expectativas de privacidad.
Paso 14: Gestión de Proveedores y Revisión Continua (Artículos 24, 28)
El Artículo 24 exige que los responsables implementen medidas apropiadas y puedan demostrar el cumplimiento de forma continua. Los programas de cumplimiento requieren ciclos de revisión regulares, no solo una implementación inicial.
Marco de Revisión Continua del Cumplimiento
- Auditoría anual de cumplimiento: revise su RAT, avisos de privacidad, registros de consentimiento, acuerdos con encargados y medidas de seguridad al menos una vez al año, o cuando se produzca cualquier cambio material en el tratamiento
- Revisiones de EIPD: revise las EIPD siempre que la naturaleza, el alcance, el contexto o la finalidad del tratamiento cambien significativamente
- Revisiones de proveedores: reevalúe a los encargados del tratamiento a intervalos regulares; revise las listas de subencargados, las certificaciones y los mecanismos de transferencia; supervise los incidentes de seguridad de los proveedores
- Seguimiento legislativo: haga seguimiento de las directrices del CEPD, la orientación de las autoridades de control nacionales, las sentencias del TJUE, y novedades como el proceso legislativo del Ómnibus Digital
- Revisiones de incidentes: tras cualquier incidente de seguridad, realice una revisión posterior al incidente y actualice en consecuencia los procedimientos, controles y la formación
Documentación de Responsabilidad Proactiva
Mantenga un expediente de cumplimiento que contenga: su RAT; las EIPD y su historial de revisión; los contratos con encargados del tratamiento; los registros de consentimiento y de revocación; los registros de formación del personal; las evaluaciones de seguridad; el registro de brechas; y la documentación de designación del DPO. Estos registros constituyen la base de evidencia en caso de que una autoridad de control inicie una investigación.
Novedades Recientes: la Ley de IA de la UE y el Ómnibus Digital de Noviembre de 2025
La Ley de IA de la UE y el Cumplimiento del RGPD
La Ley de IA de la UE (Reglamento (UE) 2024/1689) entró en vigor el 1 de agosto de 2024 y se aplica por fases. Las prohibiciones sobre los sistemas de IA de riesgo inaceptable se aplicaron desde el 2 de febrero de 2025. Las obligaciones para los proveedores de modelos de IA de uso general se aplicaron desde el 2 de agosto de 2025. La mayoría de las obligaciones para los sistemas de IA de alto riesgo se aplican desde el 2 de agosto de 2026.
El Artículo 2(7) de la Ley de IA confirma expresamente que el derecho de protección de datos de la UE sigue siendo plenamente aplicable a todo tratamiento de datos personales en el ciclo de vida de los sistemas de IA. El CEPD, en su Declaración 3/2024, confirmó que las autoridades de protección de datos conservan su función de supervisión plena conforme al RGPD, incluso cuando la Ley de IA crea obligaciones paralelas.
Para las organizaciones que desarrollan o implementan sistemas de IA que tratan datos personales:
- Tratar datos personales para entrenar modelos de IA requiere una base jurídica conforme al Artículo 6 del RGPD (y el Artículo 9 para los datos de categoría especial)
- Los sistemas de IA de alto riesgo (Anexo III de la Ley de IA) que tratan datos personales deben considerarse como que requieren una EIPD conforme al Artículo 35 del RGPD; la documentación técnica de la Ley de IA puede alimentar la EIPD siempre que estén presentes todos los elementos del Artículo 35(7)
- Los requisitos de gobernanza de datos del Artículo 10 de la Ley de IA para los sistemas de IA de alto riesgo, que abordan la calidad de los datos y el examen de sesgos, son complementarios a los principios de minimización de datos y exactitud del RGPD
La CNIL ha publicado recomendaciones detalladas sobre el cumplimiento del RGPD para el desarrollo de sistemas de IA, que abarcan las bases jurídicas para los datos de entrenamiento, la minimización de datos en el desarrollo de modelos, los derechos de los interesados cuyos datos se utilizan en el entrenamiento, y la privacidad desde el diseño en la arquitectura del modelo.
La Propuesta de Ómnibus Digital de Noviembre de 2025
El 19 de noviembre de 2025, la Comisión Europea publicó el paquete del Ómnibus Digital, proponiendo modificaciones al RGPD, la Directiva ePrivacy, la Directiva NIS2, la Ley de Datos y la Ley de IA de la UE. Las modificaciones propuestas al RGPD se encuentran en el proceso legislativo de la UE y aún no están en vigor.
Entre los principales cambios propuestos al RGPD en el Ómnibus Digital se incluyen:
- Elevación del umbral del Artículo 30(5): la exención de RAT para pymes se elevaría de menos de 250 a menos de 750 empleados (con criterios financieros), condicionada a que el tratamiento no plantee un alto riesgo
- El entrenamiento de IA como interés legítimo: una aclaración de que el tratamiento de datos personales para el desarrollo e implementación de sistemas de IA puede constituir un interés legítimo conforme al Artículo 6(1)(f), sujeto a la necesidad, la proporcionalidad y las garantías apropiadas
- Definición revisada de datos personales: la información no constituiría datos personales para una entidad que no cuenta con medios razonablemente probables de ser utilizados para identificar a la persona, o cuando la identificación esté legalmente prohibida o requiera un esfuerzo desproporcionado
- Cambios en las normas de cookies y seguimiento: modificaciones a las normas de ePrivacy para reducir la fatiga de consentimiento causada por los banners de cookies
El CEPD y el SEPD emitieron el Dictamen Conjunto 2/2026, en el que acogieron con satisfacción la simplificación del registro, al tiempo que plantearon preocupaciones sobre la redefinición de datos personales y su compatibilidad con la Carta de los Derechos Fundamentales de la UE. Las organizaciones de defensa de la privacidad han criticado varias disposiciones. Las organizaciones deben seguir de cerca el proceso, pero no ajustar sus programas de cumplimiento con base en la propuesta hasta que sea promulgada.
Aviso Legal
Este artículo presenta información jurídica general sobre el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679) y la legislación conexa de la UE, tal como se encontraba vigente el 19 de mayo de 2026. No constituye asesoramiento legal ni crea una relación abogado-cliente. Los requisitos de cumplimiento dependen de sus actividades de tratamiento específicas, su sector, su tamaño y los Estados miembros en los que opera. Consulte a un abogado especializado en protección de datos o a un profesional de la privacidad certificado y habilitado en la jurisdicción pertinente antes de tomar decisiones de cumplimiento. Las propuestas del Ómnibus Digital de noviembre de 2025 mencionadas en este artículo son propuestas legislativas y no han entrado en vigor.
Sobre el Autor
[MARCADOR DE POSICIÓN: lista de autores pendiente]
Autoridades Citadas
- Reglamento General de Protección de Datos, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016. https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Comité Europeo de Protección de Datos (CEPD). https://edpb.europa.eu/edpb_en
- Comisión Europea, Protección de Datos en la UE. https://commission.europa.eu/law/law-topic/data-protection/data-protection-eu_en
- Comisión Europea, ¿Cuándo Se Requiere una EIPD? https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/when-data-protection-impact-assessment-dpia-required_en
- Comisión Europea, Requisitos del DPO. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/data-protection-officers/does-my-companyorganisation-need-have-data-protection-officer-dpo_en
- CEPD, Directrices sobre EIPD y Tratamiento de Alto Riesgo. https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/data-protection-impact-assessments-high-risk-processing_en
- CEPD, Registros de Actividades de Tratamiento del Artículo 30. https://www.edpb.europa.eu/gdpr-articles/article-30-records-processing-activities_en
- CEPD, Notificación de Brechas a la Autoridad de Control del Artículo 33. https://www.edpb.europa.eu/gdpr-articles/article-33-notification-personal-data-breach-supervisory-authority_en
- CEPD, Informe de Ejecución Coordinada: DPO (Enero de 2024). https://www.edpb.europa.eu/system/files/2024-01/edpb_report_20240116_cef_dpo_en.pdf
- Comisión Europea, ¿Qué Es una Violación de Datos Personales? https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/obligations/what-data-breach-and-what-do-we-have-do-case-data-breach_en
- ICO, ¿Cuándo Necesitamos Realizar una EIPD? https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/data-protection-impact-assessments-dpias/when-do-we-need-to-do-a-dpia/
- ICO, ¿Cómo Documentamos Nuestras Actividades de Tratamiento? https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/accountability-and-governance/documentation/how-do-we-document-our-processing-activities/
- Comisión Europea, Principios del RGPD. https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/principles-gdpr_en
- Ley de IA de la UE, Reglamento (UE) 2024/1689. https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng
- Comisión Europea, la Ley de IA Entra en Vigor (1 de Agosto de 2024). https://commission.europa.eu/news-and-media/news/ai-act-enters-force-2024-08-01_en
- Declaración 3/2024 del CEPD sobre el Papel de las Autoridades de Control en el Marco de la Ley de IA. https://www.edpb.europa.eu/news/news/2024/edpb-adopts-statement-dpas-role-ai-act-framework-eu-us-data-privacy-framework-faq_en
- Comisión Europea, Propuesta de Reglamento del Ómnibus Digital (19 de Noviembre de 2025). https://digital-strategy.ec.europa.eu/en/library/digital-omnibus-regulation-proposal
- CEPD y SEPD, Dictamen Conjunto 2/2026 sobre el Ómnibus Digital. https://www.edpb.europa.eu/news/news/2026/digital-omnibus-edpb-and-edps-support-simplification-and-competitiveness-while_en
- CEPD y SEPD, Modificaciones Específicas del RGPD: Simplificación del Registro. https://www.edpb.europa.eu/news/news/2025/targeted-modifications-gdpr-edpb-edps-welcome-simplification-record-keeping_en
- CEPD, CEF 2026: Ejecución Coordinada sobre las Obligaciones de Transparencia e Información. https://www.edpb.europa.eu/news/news/2026/cef-2026-edpb-launches-coordinated-enforcement-action-transparency-and-information_en
- CNIL, Desarrollo de Sistemas de IA: Recomendaciones para Cumplir con el RGPD. https://www.cnil.fr/en/ai-system-development-cnils-recommendations-to-comply-gdpr
- CEPD, Directrices sobre la Interacción entre la DSA y el RGPD. https://www.edpb.europa.eu/news/news/2025/interplay-between-dsa-and-gdpr-edpb-adopts-guidelines_en
Artículos Relacionados
- ¿Qué Es el RGPD?: una visión completa del reglamento
- Derechos de los Interesados del RGPD: orientación detallada sobre los ocho derechos individuales
- Requisitos de Consentimiento del RGPD: estándares de consentimiento válido y obligaciones de gestión
- Regla de las 72 Horas de Notificación de Brechas del RGPD: los requisitos completos de reporte de brechas
- RGPD para Pequeñas Empresas: orientación específica para pymes, incluidos los cambios propuestos por el Ómnibus Digital
- Leyes de Privacidad de Datos de la UE: el centro completo de protección de datos de la UE
Última actualización: 19 de mayo de 2026. Las normas y orientaciones citadas reflejan su versión vigente al 19 de mayo de 2026. Las propuestas del Ómnibus Digital mencionadas son propuestas legislativas al 19 de noviembre de 2025 y aún no han entrado en vigor.
Preguntas frecuentes
¿Cuál es el primer paso para cumplir con el RGPD?
El primer paso es realizar un ejercicio de mapeo de datos y elaborar sus registros de actividades de tratamiento conforme al Artículo 30. Debe identificar cada categoría de datos personales que recopila su organización, de dónde provienen, cómo se tratan, quién tiene acceso y dónde se almacenan. Sin un panorama completo de sus flujos de datos, no puede identificar correctamente las bases jurídicas, redactar avisos de privacidad precisos, o implementar medidas de seguridad apropiadas.
¿Todas las organizaciones necesitan un Delegado de Protección de Datos?
No. Un DPO es obligatorio únicamente para las autoridades públicas, las organizaciones cuyas actividades principales requieran una supervisión habitual y sistemática de personas a gran escala, y las organizaciones que traten datos de categoría especial (salud, biométricos, condenas penales) a gran escala (Artículo 37 del RGPD). Muchas organizaciones designan un DPO de forma voluntaria. Si designa un DPO, ya sea de manera obligatoria o voluntaria, se aplican todas las normas del RGPD sobre independencia, recursos y protección frente a la destitución.
¿Con qué frecuencia debe revisarse el cumplimiento del RGPD?
El cumplimiento del RGPD requiere un mantenimiento continuo. Los registros de tratamiento deben actualizarse siempre que cambie el tratamiento. Las EIPD deben revisarse cuando la naturaleza, el alcance o la finalidad del tratamiento cambien significativamente. Los avisos de privacidad deben actualizarse cuando se introduzca un nuevo tratamiento. La formación del personal debe renovarse al menos anualmente. La mayoría de las organizaciones realizan una auditoría de cumplimiento integral una vez al año y activan revisiones intermedias ante cambios operativos materiales.
¿Cuándo se requiere una Evaluación de Impacto relativa a la Protección de Datos?
Se requiere una EIPD antes de cualquier tratamiento que pueda entrañar un alto riesgo para los derechos y libertades de las personas (Artículo 35 del RGPD). Siempre se requiere para la elaboración de perfiles sistemática con efectos significativos, el tratamiento a gran escala de datos de categoría especial, y la supervisión sistemática a gran escala de zonas públicas. Las autoridades de control nacionales publican listas adicionales de operaciones que requieren EIPD. Para los responsables del despliegue de sistemas de IA de alto riesgo bajo la Ley de IA de la UE, la CNIL y el CEPD han confirmado que debe presumirse necesaria una EIPD.
¿Qué debe incluirse en un aviso de privacidad del RGPD?
Un aviso de privacidad debe incluir la identidad y los datos de contacto del responsable, los datos de contacto del DPO cuando corresponda, los fines y la base jurídica del tratamiento, las categorías de datos recopilados, los destinatarios, los períodos de conservación, los detalles de transferencia internacional, los ocho derechos de los interesados, el derecho a reclamar ante una autoridad de control, e información sobre la toma de decisiones automatizadas. El aviso debe utilizar un lenguaje claro y sencillo (Artículo 12 del RGPD). La acción de ejecución CEF 2026 del CEPD se centra específicamente en los avisos de privacidad conforme a los Artículos 12, 13 y 14.
¿Cuáles son las sanciones del RGPD por incumplimiento?
Las multas del RGPD alcanzan hasta 20 millones de euros o el 4 % de la facturación anual mundial (la cifra que sea mayor) por infracciones de los principios fundamentales, los derechos de los interesados y las normas de transferencia internacional. Las multas del nivel inferior, de hasta 10 millones de euros o el 2 % de la facturación, se aplican a infracciones administrativas, incluido el incumplimiento de mantener registros del Artículo 30 o de designar un DPO obligatorio. Las autoridades de control también pueden emitir advertencias, amonestaciones y prohibiciones de tratamiento. Consulte Multas y Sanciones del RGPD para datos de ejecución y ejemplos de casos.
¿Qué deben incluir los contratos con encargados del tratamiento conforme al Artículo 28?
Los acuerdos de tratamiento de datos del Artículo 28 deben especificar: el objeto, la duración, la naturaleza y la finalidad del tratamiento; los tipos de datos personales y las categorías de interesados; las obligaciones del encargado de actuar únicamente conforme a instrucciones documentadas del responsable; las obligaciones de confidencialidad del personal; las medidas de seguridad; la asistencia en materia de derechos de los interesados y notificación de brechas; la eliminación o devolución de los datos al finalizar el contrato; los derechos de auditoría; y las condiciones de subcontratación que requieren autorización previa por escrito.
¿Cómo afecta la Ley de IA de la UE al cumplimiento del RGPD?
La Ley de IA de la UE (Reglamento (UE) 2024/1689) se aplica junto con el RGPD siempre que los sistemas de IA traten datos personales. El Artículo 2(7) de la Ley de IA preserva expresamente las obligaciones del RGPD en su totalidad. Para los sistemas de IA de alto riesgo enumerados en el Anexo III, los responsables del despliegue deben presumir que se requiere una EIPD conforme al Artículo 35 del RGPD. La propuesta de Ómnibus Digital de noviembre de 2025 incluye una aclaración de que el tratamiento para el desarrollo de IA puede constituir un interés legítimo, pero esa propuesta aún no es ley.
¿Qué cambia la propuesta de Ómnibus Digital de noviembre de 2025 para el RGPD?
El Ómnibus Digital, publicado el 19 de noviembre de 2025, propone elevar la exención de registro del Artículo 30(5) para pymes de menos de 250 a menos de 750 empleados; aclarar que el entrenamiento de IA puede constituir un interés legítimo conforme al Artículo 6(1)(f); restringir la definición de datos personales para las entidades que no puedan identificar a la persona; y ajustar las normas de consentimiento de seguimiento en línea. Se trata de propuestas en negociación legislativa, que aún no están en vigor.
¿Qué es una evaluación de impacto de la transferencia y cuándo se requiere?
Una evaluación de impacto de la transferencia (TIA) es un análisis de si el marco jurídico de un tercer país ofrece una protección esencialmente equivalente al derecho de la UE, requerido cuando se recurre a Cláusulas Contractuales Tipo o Normas Corporativas Vinculantes para las transferencias internacionales de datos conforme al Capítulo V del RGPD. Las Recomendaciones 01/2020 del CEPD proporcionan la metodología. La TIA debe examinar las leyes de vigilancia, los derechos de acceso gubernamental, los recursos legales disponibles, y el historial de las autoridades públicas del país de destino.
Fuentes y referencias
- RGPD, Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo(eur-lex.europa.eu).gov
- Comité Europeo de Protección de Datos (CEPD)(edpb.europa.eu).gov
- Comisión Europea, Protección de Datos en la UE(commission.europa.eu).gov
- Comisión Europea, ¿Cuándo Se Requiere una EIPD?(commission.europa.eu).gov
- Comisión Europea, Requisitos del DPO(commission.europa.eu).gov
- CEPD, Directrices sobre EIPD y Tratamiento de Alto Riesgo(edpb.europa.eu).gov
- CEPD, Registros de Actividades de Tratamiento del Artículo 30(edpb.europa.eu).gov
- CEPD, Notificación de Brechas a la Autoridad de Control del Artículo 33(edpb.europa.eu).gov
- CEPD, Informe de Ejecución Coordinada de 2023 sobre los DPO(edpb.europa.eu).gov
- Comisión Europea, ¿Qué Es una Violación de Datos?(commission.europa.eu).gov
- ICO, ¿Cuándo Necesitamos una EIPD?(ico.org.uk).gov
- ICO, Documentación de las Actividades de Tratamiento(ico.org.uk).gov
- Comisión Europea, Principios del RGPD(commission.europa.eu).gov
- Ley de IA de la UE, Reglamento (UE) 2024/1689(eur-lex.europa.eu).gov
- Comisión Europea, la Ley de IA Entra en Vigor (Agosto de 2024)(commission.europa.eu).gov
- Declaración 3/2024 del CEPD, el Papel de las Autoridades de Control en el Marco de la Ley de IA(edpb.europa.eu).gov
- Comisión Europea, Propuesta de Reglamento del Ómnibus Digital (Noviembre de 2025)(digital-strategy.ec.europa.eu).gov
- Dictamen Conjunto 2/2026 del CEPD y el SEPD sobre el Ómnibus Digital(edpb.europa.eu).gov
- CEPD, Modificaciones Específicas del RGPD: Simplificación del Registro(edpb.europa.eu).gov
- CEPD, CEF 2026: Ejecución Coordinada sobre las Obligaciones de Transparencia e Información(edpb.europa.eu).gov
- CNIL, Desarrollo de Sistemas de IA: Recomendaciones para Cumplir con el RGPD(cnil.fr).gov
- CEPD, Directrices sobre la Interacción entre la DSA y el RGPD(edpb.europa.eu).gov