Los 10 errores RGPD en asesorías que tumbarían tu despacho en una auditoría real

Pormarketing@ywen.es
9 de febrero de 2026

Tras más de 100 auditorías en asesorías y despachos profesionales, hemos visto un patrón que se repite una y otra vez:

Documentación “pagada”. Sensación de tranquilidad. Y, aun así, incumplimiento real cuando se pide demostrarlo.

Este artículo no habla de teoría. Habla de los 10 errores más comunes que, en una auditoría RGPD real, tumban a un despacho aunque lleve años “cumpliendo”.

No suelen caer por no tener RGPD. Caen por creer que lo tienen.

ERROR 1: Tener RGPD “hecho”, pero no integrado en los sistemas

Documentos firmados ✔️
Medidas técnicas activas ❌

Cuando la protección de datos no está conectada con:
• accesos reales,
• equipos,
• copias,
• seguridad,
• operativa diaria,
La documentación no representa la realidad.

👉 Artículo 5.2 RGPD – Responsabilidad proactiva No basta con cumplir. Hay que poder demostrarlo.
ERROR 2: No poder mostrar evidencias técnicas en el momento

En auditoría no sirve:

• “lo revisamos luego”
• “eso lo tiene el proveedor”
• “habría que pedirlo”

Sirve mostrar:

• logs,
• controles activos,
• registros,
• pruebas de funcionamiento.
Si hoy no puedes enseñarlo, hoy no existe.
ERROR 3: Accesos sin control ni doble factor

Usuarios compartidos.
Contraseñas antiguas.
Sin MFA en software crítico.
Esto no es un descuido menor.
Es una brecha directa del artículo 32 RGPD.
ERROR 4: Copias de seguridad sin verificar (el clásico)

“Sí, copias tenemos.”
Pero:
• ¿están cifradas?
• ¿se revisan?
• ¿se prueban restauraciones?
• ¿hay registros?
Una copia que nunca se ha probado no es una copia, es una esperanza.
ERROR 5: Antivirus sin gestión ni trazabilidad

Tener un antivirus instalado no es seguridad RGPD si:
• no hay consola central,
• no hay alertas,
• no hay registros,
• no hay respuesta documentada.
Sin trazabilidad, no hay demostración.
ERROR 6: El proveedor de RGPD no habla con el técnico

Este error es devastador.
Y muy común.
Si quien redacta la documentación no conoce:
• cómo se accede a los datos,
• dónde están,
• qué sistemas intervienen,
• qué pasa ante un incidente,
la documentación es incompleta por definición.
👉 Art. 24 + 32 RGPD: legal y técnico no se separan.
ERROR 7: Pensar que “nunca ha pasado nada” es un argumento

La AEPD no pregunta:
“¿ha tenido usted problemas?”
Pregunta:
“¿qué medidas tenía activas?”
La ausencia de incidentes no demuestra cumplimiento.
ERROR 8: No tener capacidad de respuesta ante incidente

Cuando preguntamos:
“Si mañana hay una brecha, ¿qué haces?”
Y la respuesta es:
“Llamaríamos a…”
Hay un problema.
El RGPD exige capacidad, no intención.
ERROR 9: No supervisar a proveedores (encargados)

Firmar contratos no es suficiente.
👉 Artículo 28 RGPD
El responsable debe controlar y supervisar.
Si no sabes:
• qué medidas aplica tu proveedor,
• cómo las verifica,
• cómo responde,
el riesgo sigue siendo tuyo.
ERROR 10: Confundir tranquilidad con cumplimiento

Este es el error silencioso.
Todo parece en orden.
Nadie se queja.
Los papeles están firmados.
Hasta que alguien pide pruebas.
Y no están.

LO QUE HEMOS APRENDIDO TRAS MÁS DE 100 AUDITORÍAS

Las asesorías no incumplen por dejadez.
Incumplen porque nadie les explicó esto:

“El RGPD no es un documento.
Es un sistema vivo que debe reflejar lo que ocurre en tus sistemas HOY.”

¿Puede una asesoría incumplir RGPD aunque tenga la documentación firmada?

Sí. Tener la documentación RGPD no garantiza cumplimiento si no se pueden demostrar medidas técnicas reales como control de accesos, copias verificadas, trazabilidad o capacidad de respuesta ante incidentes. En una auditoría, la falta de evidencias supone riesgo claro de incumplimiento.

¿Qué exige realmente el artículo 32 del RGPD a una asesoría?

El artículo 32 RGPD exige aplicar y poder demostrar medidas técnicas y organizativas adecuadas al riesgo. No exige contratar herramientas concretas, sino disponer de seguridad efectiva, verificable y alineada con la operativa real del despacho.

¿Es obligatorio que el proveedor de protección de datos hable con el equipo técnico?

Sí. Sin coordinación entre lo legal y lo técnico, la documentación RGPD no refleja la realidad de los sistemas. Esto vulnera el principio de responsabilidad proactiva y deja a la asesoría sin capacidad real de demostrar cumplimiento.

¿Cómo se demuestra el cumplimiento RGPD en una auditoría?

RGPD

Con evidencias técnicas activas, no con intenciones ni promesas:
registros, controles de acceso, copias verificadas, detección de incidentes y capacidad de respuesta documentada.

Sobre YWEN

YWEN es una consultora especializada en ciberseguridad y cumplimiento normativo, con experiencia en más de 100 auditorías RGPD en asesorías y empresas. Nuestro trabajo se centra en traducir la normativa a control técnico real.