Imagina este escenario.
Recibes una notificación.
La autoridad te solicita en 72 horas:
- Informe actualizado de cifrado de dispositivos.
- Registro de accesos a datos personales.
- Evidencia de pruebas de restauración de copias.
- Última evaluación técnica periódica documentada.
No te preguntan si “tienes seguridad”.
Te piden pruebas.
El Artículo 32 del RGPD no exige intención.
Exige estructura demostrable.
Y la mayoría de las empresas descubren tarde que no la tienen.
Qué exige el Artículo 32 RGPD y cómo demostrarlo en la práctica
El Art. 32 del Reglamento (UE) 2016/679 establece:
“El responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…”
Incluye expresamente:
- Cifrado o seudonimización.
- Garantía de confidencialidad, integridad, disponibilidad y resiliencia.
- Capacidad de restauración tras incidente.
- Proceso de verificación y evaluación periódica.
Pero aquí está la clave estratégica:
El Art. 24 RGPD obliga al responsable a poder demostrar que cumple.
Y el Art. 28 RGPD deja claro que tener proveedor no elimina responsabilidad.
La pregunta nunca es “¿lo tienes?”
La pregunta es “¿puedes probarlo hoy?”
Simulación real: lo que tendrías que entregar
Si mañana tuvieras una inspección técnica, te pedirían algo así:
1️⃣ Evidencia de cifrado verificable
No una afirmación.
Un informe exportable que indique:
- Qué dispositivos están cifrados.
- Qué estándar utilizan.
- Fecha de activación.
- Responsable de supervisión.
Si tienes que llamar a tu proveedor para saberlo, no tienes control.
2️⃣ Registro de accesos y privilegios
Informe con:
- Usuarios con acceso a datos.
- Nivel de privilegios.
- Sistema de autenticación.
- Registro de actividad.
Sin trazabilidad documentada, no puedes demostrar confidencialidad.
3️⃣ Prueba de restauración real
El Art. 32.1.c exige:
“Capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida…”
Eso implica:
- Registro de última prueba.
- Tiempo real de recuperación.
- Evidencia de resultado exitoso.
Sin prueba documentada, no existe capacidad demostrable.
4️⃣ Evaluación periódica técnica
El artículo exige:
“Proceso de verificación, evaluación y valoración regulares…”
Eso significa:
- Informe técnico fechado.
- Acta de revisión.
- Plan de mejora.
- Responsable asignado.
Sin revisión documentada, el cumplimiento es declarativo.
Test rápido Art. 32 (respóndete: sí o no)
Responde sin consultar a nadie:
- ¿Puedes generar ahora mismo informe de cifrado actualizado?
- ¿Tienes registro exportable de accesos?
- ¿Dispones de prueba de restauración documentada en los últimos 12 meses?
- ¿Tienes revisión técnica firmada este año?
- ¿Sabes dónde están físicamente alojados los datos de tu CRM?
Si dos o más respuestas son “no”…
No estás preparado para demostrar cumplimiento.
El error estructural: confundir herramienta con evidencia
Tener:
- Antivirus.
- Firewall.
- Backups.
- CRM profesional.
No es lo mismo que tener:
- Evidencia exportable.
- Supervisión documentada.
- Trazabilidad centralizada.
- Proceso periódico verificable.
El RGPD no evalúa herramientas.
Evalúa estructura.
El marco YWEN: 3 niveles de cumplimiento real
En YWEN evaluamos el Art. 32 en tres niveles:
Nivel 1 — Existencia
¿La medida técnica existe?
Nivel 2 — Evidencia
¿Puedes demostrarla con documento verificable?
Nivel 3 — Supervisión
¿La revisas periódicamente con registro formal?
La mayoría de las empresas se quedan en Nivel 1.
El cumplimiento real empieza en el Nivel 2.
La resiliencia empieza en el Nivel 3.
El punto incómodo
Si para responder a cualquiera de estos puntos necesitas:
“Déjame consultarlo con el informático”…
No tienes estructura.
Tienes dependencia.
La pregunta no es si cumples.
La pregunta es:
Si mañana te lo exigieran, ¿responderías con informes… o con llamadas urgentes?
Si no puedes responder al test sin depender de terceros, no necesitas más software.
Necesitas estructura técnica verificable.
Un diagnóstico técnico te permite saber en qué nivel estás realmente: Existencia, Evidencia o Supervisión. Y en YWEN podemos analizarlo contigo en 30 minutos.
¿Es obligatorio cifrar según el Art. 32?
No siempre, pero el cifrado es una de las medidas expresamente recomendadas según el nivel de riesgo.
¿Cuánto tiempo puede dar la AEPD para aportar documentación?
Depende del procedimiento, pero la exigencia suele ser concreta y con plazo limitado. La empresa debe poder responder con documentación estructurada.
¿Si tengo proveedor IT sigo siendo responsable?
Sí. El Art. 24 RGPD establece que la responsabilidad última es del responsable del tratamiento.
¿El tamaño del despacho influye en el riesgo de inspección?
No. La AEPD no sanciona por tamaño, sino por incumplimiento. Muchas actuaciones comienzan por reclamaciones de clientes, empleados o brechas notificadas, independientemente del volumen de la empresa.
¿Qué diferencia hay entre tener medidas y poder demostrarlas?
La diferencia es documental y probatoria. Sin evidencia verificable, el cumplimiento es declarativo.
