NIS2 y DORA en vigor. EU AI Act es el próximo — reserva una demo
Todos los marcos normativos
Marco normativo

Cumplimiento GDPR, automatizado y continuo

Vaya más allá del cumplimiento de casillas. Matproof automatiza sus registros de actividades de tratamiento, flujos de trabajo de DPIA y derechos de los interesados — manteniéndole continuamente conforme con GDPR.

Solicitar una demo

Que es el RGPD?

El Reglamento General de Proteccion de Datos (RGPD), formalmente Reglamento UE 2016/679, es la legislacion de referencia de la Union Europea en materia de proteccion de datos que reformo fundamentalmente la forma en que las organizaciones de todo el mundo manejan los datos personales. Vigente desde el 25 de mayo de 2018, el RGPD establecio un marco unificado de proteccion de datos en todos los Estados miembros de la UE y el EEE, reemplazando el mosaico de leyes nacionales basadas en la Directiva de Proteccion de Datos de 1995. Es ampliamente considerado como la regulacion de proteccion de datos mas completa e influyente a nivel mundial.

El RGPD se fundamenta en siete principios basicos que rigen todo tratamiento de datos personales: licitud, lealtad y transparencia; limitacion de la finalidad; minimizacion de datos; exactitud; limitacion del plazo de conservacion; integridad y confidencialidad; y responsabilidad proactiva. Estos principios no son meramente aspiracionales - constituyen la base legal contra la cual se evaluan todas las actividades de tratamiento. Las organizaciones deben poder demostrar el cumplimiento de cada principio, un concepto conocido como el principio de responsabilidad proactiva segun el Articulo 5(2).

Una de las caracteristicas mas significativas del RGPD es su alcance extraterritorial. Segun el Articulo 3, el reglamento se aplica no solo a las organizaciones establecidas en la UE, sino tambien a cualquier organizacion en el mundo que ofrezca bienes o servicios a residentes de la UE o monitoree su comportamiento. Esto significa que una empresa tecnologica con sede en Estados Unidos, una startup fintech en Singapur o un proveedor SaaS en Israel deben cumplir con el RGPD si tratan datos personales de personas en la UE, independientemente de donde se procesen realmente los datos.

En Alemania, el RGPD se complementa con la Bundesdatenschutzgesetz (BDSG), que anade disposiciones nacionales en areas donde el RGPD permite flexibilidad a los Estados miembros. La BDSG establece requisitos mas estrictos en varias areas, mas notablemente, exige el nombramiento de un Delegado de Proteccion de Datos (Datenschutzbeauftragter) para cualquier organizacion con 20 o mas empleados que participen regularmente en el tratamiento automatizado de datos personales. Alemania tambien cuenta con 16 autoridades de proteccion de datos estatales (Landesdatenschutzbehoerden) junto con el comisionado federal (BfDI), creando un panorama de aplicacion complejo pero robusto.

Quien necesita cumplir con el RGPD?

El RGPD se aplica a practicamente todas las organizaciones que tratan datos personales de personas en la UE/EEE, ya sea como responsable del tratamiento (que determina los fines y medios del tratamiento) o como encargado del tratamiento (que trata datos por cuenta de un responsable). El reglamento no tiene umbral de ingresos ni tamano minimo de empresa - incluso los autonomos y las microempresas deben cumplir.

Responsables

  • Cualquier empresa con sede en la UE que trate datos personales
  • Empresas fuera de la UE que ofrezcan bienes/servicios a residentes de la UE
  • Empresas fuera de la UE que monitoreen el comportamiento de residentes de la UE
  • Autoridades publicas y organismos gubernamentales
  • Proveedores sanitarios y empresas farmaceuticas
  • Empresas de servicios financieros y seguros

Encargados

  • Proveedores de servicios en la nube y alojamiento
  • Plataformas SaaS que tratan datos de clientes
  • Proveedores de servicios de nominas y RRHH
  • Plataformas de marketing y analitica
  • Proveedores de externalizacion TI y servicios gestionados
  • Proveedores de atencion al cliente y centros de llamadas

Se aplica una atencion especial a las organizaciones que tratan categorias especiales de datos personales (Articulo 9), incluyendo datos de salud, datos biometricos, datos geneticos, origen racial o etnico, opiniones politicas, creencias religiosas, afiliacion sindical y datos relativos a la vida sexual o la orientacion sexual. El tratamiento de dichos datos requiere cumplir con una de las condiciones especificas del Articulo 9(2), y las organizaciones que traten estas categorias a gran escala deben nombrar un DPD y normalmente realizar EIPD.

Not sure if you're compliant?

Take the free GDPR readiness assessment — 10 questions, 3 minutes.

Check your readiness

Requisitos clave del RGPD en detalle

1. Base juridica para el tratamiento (Articulo 6)

Toda actividad de tratamiento debe tener una base juridica valida. El RGPD proporciona seis bases juridicas: consentimiento, necesidad contractual, obligacion legal, intereses vitales, mision de interes publico e intereses legitimos. Las organizaciones deben identificar y documentar la base juridica para cada actividad de tratamiento antes de que comience el tratamiento. El consentimiento debe ser libre, especifico, informado e inequivoco, y debe ser tan facil de retirar como de otorgar. Los intereses legitimos requieren una prueba de ponderacion documentada (Evaluacion de Intereses Legitimos).

2. Derechos de los interesados (Articulos 12-22)

El RGPD otorga a las personas ocho derechos: el derecho a ser informado (transparencia), derecho de acceso (solicitudes de acceso), derecho de rectificacion, derecho de supresion (derecho al olvido), derecho a la limitacion del tratamiento, derecho a la portabilidad de los datos, derecho de oposicion, y derechos relacionados con decisiones automatizadas y elaboracion de perfiles. Las organizaciones deben responder a las solicitudes de los interesados dentro de un mes (ampliable en dos meses para solicitudes complejas) y proporcionar la respuesta de forma gratuita en la mayoria de los casos.

3. Registros de actividades de tratamiento (Articulo 30)

Los responsables y encargados del tratamiento con mas de 250 empleados - o aquellos que traten datos que planteen riesgos, involucren categorias especiales o se refieran a condenas penales - deben mantener registros detallados de las actividades de tratamiento (ROPA/Verarbeitungsverzeichnis). Estos registros deben incluir los fines del tratamiento, las categorias de interesados y datos personales, los destinatarios, las transferencias internacionales, los periodos de retencion y una descripcion de las medidas de seguridad. Los registros deben estar disponibles para la autoridad de supervision previa solicitud.

4. Evaluaciones de impacto de proteccion de datos (Articulo 35)

Una EIPD es obligatoria cuando el tratamiento es susceptible de resultar en un alto riesgo para los derechos y libertades de los interesados. Esto incluye la elaboracion de perfiles sistematica y extensiva con efectos significativos, el tratamiento a gran escala de categorias especiales de datos y la vigilancia sistematica de zonas de acceso publico. La EIPD debe describir las operaciones de tratamiento, evaluar la necesidad y proporcionalidad, evaluar los riesgos e identificar medidas para abordarlos. Si los riesgos siguen siendo altos tras la mitigacion, se requiere consulta previa a la autoridad de supervision segun el Articulo 36.

5. Delegado de Proteccion de Datos (Articulos 37-39)

Se debe nombrar un DPD en autoridades publicas, organizaciones cuyas actividades principales requieran una observacion habitual y sistematica de interesados a gran escala, u organizaciones que traten categorias especiales de datos a gran escala. En Alemania, la BDSG amplia este requisito a cualquier empresa con 20 o mas empleados involucrados regularmente en el tratamiento automatizado de datos. El DPD debe tener conocimientos expertos en la legislacion de proteccion de datos, operar de forma independiente, informar directamente al mas alto nivel de direccion y no puede ser destituido ni penalizado por el desempeno de sus funciones.

6. Notificacion de violaciones (Articulos 33-34)

Las violaciones de datos personales deben notificarse a la autoridad de supervision competente dentro de las 72 horas desde que el responsable tiene conocimiento de la violacion, a menos que sea improbable que la violacion suponga un riesgo para las personas. La notificacion debe incluir la naturaleza de la violacion, el numero aproximado de interesados y registros afectados, las consecuencias probables y las medidas adoptadas o propuestas. Si la violacion es susceptible de suponer un alto riesgo para las personas, estas tambien deben ser informadas directamente sin demora indebida. Los encargados del tratamiento deben notificar a los responsables sin demora indebida tras tener conocimiento de una violacion.

7. Transferencias internacionales de datos (Articulos 44-49)

Las transferencias de datos personales fuera de la UE/EEE solo se permiten si el pais destinatario ofrece un nivel de proteccion adecuado (decision de adecuacion), o si existen garantias apropiadas. Las Clausulas Contractuales Tipo (CCT) son el mecanismo de transferencia mas utilizado, aunque las Normas Corporativas Vinculantes (BCR) estan disponibles para transferencias intragrupo. Tras la sentencia Schrems II, las organizaciones que utilicen CCT tambien deben realizar una Evaluacion de Impacto de Transferencia (TIA) para evaluar las leyes de proteccion de datos del pais destinatario e implementar medidas complementarias si es necesario.

8. Acuerdos de tratamiento de datos (Articulo 28)

Cuando un responsable contrata a un encargado del tratamiento, debe existir un Acuerdo de Tratamiento de Datos (DPA/Auftragsverarbeitungsvertrag) por escrito. El DPA debe especificar el objeto y la duracion del tratamiento, la naturaleza y finalidad del tratamiento, los tipos de datos personales, las categorias de interesados y las obligaciones y derechos del responsable. Los encargados deben proporcionar garantias suficientes para implementar medidas tecnicas y organizativas apropiadas y no deben contratar subencargados sin la autorizacion del responsable.

Sanciones por incumplimiento del RGPD

El RGPD introdujo las multas de proteccion de datos mas altas jamas vistas, y la actividad de aplicacion ha aumentado significativamente ano tras ano desde 2018. A fecha de 2025, las autoridades de supervision de toda Europa han impuesto multas acumuladas que superan los EUR 4.000 millones.

Hasta EUR 20M / 4%

Multas de nivel superior por violaciones de los principios de tratamiento, derechos de los interesados y normas de transferencias internacionales (la cantidad que sea mayor)

Hasta EUR 10M / 2%

Multas de nivel inferior por violaciones administrativas y organizativas, incluyendo registros de tratamiento, nombramiento de DPD y medidas de seguridad

Sanciones penales

La BDSG alemana anade responsabilidad penal de hasta 3 anos de prision por tratamiento no autorizado intencionado de datos u obtencion de datos mediante engano

Responsabilidad civil

Los interesados tienen derecho a indemnizacion por danos materiales e inmateriales (Articulo 82), lo que permite litigios de tipo colectivo en toda la UE

Entre las multas notables del RGPD se incluyen Meta (EUR 1.200 millones por transferencias internacionales), Amazon (EUR 746 millones por publicidad dirigida) y WhatsApp (EUR 225 millones por fallos de transparencia). En Alemania, H&M recibio una multa de EUR 35,3 millones por vigilancia de empleados, y 1&1 Telecom fue multada con EUR 9,55 millones por procedimientos de autenticacion inadecuados. Estos casos demuestran que la aplicacion afecta a empresas de todos los tamanos y en todos los sectores.

Como lograr el cumplimiento del RGPD

El cumplimiento del RGPD no es un proyecto puntual sino un programa continuo. Este es un enfoque estructurado para construir y mantener un marco de cumplimiento integral del RGPD:

  1. 1

    Mapeo de datos y registros de tratamiento

    Mapee todos los flujos de datos personales en su organizacion: que datos recopila, de donde provienen, como se tratan, quien tiene acceso, donde se almacenan y con quien se comparten. Cree y mantenga sus Registros de Actividades de Tratamiento (ROPA). Esto forma la base para todas las demas actividades de cumplimiento del RGPD y debe mantenerse actualizado a medida que cambian las actividades de tratamiento.

  2. 2

    Evaluacion de base juridica y avisos de privacidad

    Para cada actividad de tratamiento, determine y documente la base juridica apropiada. Actualice los avisos de privacidad para cumplir con los requisitos de transparencia del RGPD (Articulos 13-14), comunicando claramente que datos recopila, por que, sobre que base juridica, cuanto tiempo los conserva y que derechos tienen las personas. Revise y actualice los mecanismos de consentimiento cuando el consentimiento sea la base juridica.

  3. 3

    Nombramiento del DPD y gobernanza

    Determine si su organizacion esta obligada a nombrar un Delegado de Proteccion de Datos. En Alemania, esto es obligatorio para empresas con 20 o mas empleados en el tratamiento automatizado de datos. Establezca una estructura de gobernanza de proteccion de datos con roles, responsabilidades y lineas de reporte claras. Implemente formacion periodica en privacidad para todos los empleados que manejen datos personales.

  4. 4

    Procesos de derechos de los interesados

    Implemente procesos y sistemas para gestionar las solicitudes de los interesados dentro del plazo requerido de un mes. Esto incluye solicitudes de acceso, solicitudes de supresion, solicitudes de portabilidad y oposiciones. Asegurese de poder identificar y recuperar todos los datos personales relativos a una persona en todos los sistemas, y que los procesos de supresion se propaguen a todos los almacenes de datos y encargados relevantes.

  5. 5

    Deteccion y notificacion de violaciones

    Implemente medidas tecnicas para detectar violaciones de datos con prontitud y establezca un plan de respuesta a incidentes que cumpla con el requisito de notificacion de 72 horas. Defina procedimientos de escalado, plantillas de notificacion y criterios de decision para evaluar el riesgo para los interesados. Realice ejercicios periodicos de respuesta a violaciones para asegurar que su equipo pueda cumplir con los plazos ajustados bajo presion real.

  6. 6

    Gestion de proveedores y transferencias internacionales

    Revise todas las relaciones con encargados del tratamiento y asegurese de que existan Acuerdos de Tratamiento de Datos apropiados. Para las transferencias internacionales de datos, implemente las garantias apropiadas (CCT, BCR o decisiones de adecuacion) y realice Evaluaciones de Impacto de Transferencia cuando sea necesario. Utilice Matproof para centralizar el seguimiento del cumplimiento de proveedores, automatizar la gestion de DPA y mantener una supervision continua de su cadena de tratamiento.

Preguntas frecuentes sobre el RGPD

Que es el RGPD?

El Reglamento General de Proteccion de Datos (RGPD), oficialmente Reglamento UE 2016/679, es la legislacion integral de proteccion de datos de la Union Europea. Vigente desde el 25 de mayo de 2018, regula como las organizaciones recopilan, tratan, almacenan y transfieren datos personales de personas en la UE/EEE. El RGPD reemplazo la Directiva de Proteccion de Datos de 1995 y se aplica directamente en todos los Estados miembros de la UE sin requerir transposicion nacional, aunque los Estados miembros pueden anadir disposiciones complementarias.

Se aplica el RGPD a empresas fuera de la UE?

Si. El RGPD tiene alcance extraterritorial segun el Articulo 3. Se aplica a cualquier organizacion - independientemente de donde este establecida - que trate datos personales de personas en la UE/EEE si les ofrece bienes o servicios, o monitorea su comportamiento dentro de la UE/EEE. Esto significa que una empresa SaaS con sede en EE. UU. con clientes en la UE debe cumplir con el RGPD, incluyendo el nombramiento de un representante en la UE segun el Articulo 27.

Cuales son las sanciones por violaciones del RGPD?

El RGPD establece un sistema de sanciones de dos niveles. El nivel superior contempla multas de hasta EUR 20 millones o el 4% de la facturacion anual global (la cantidad que sea mayor) por violaciones de los principios de tratamiento de datos, derechos de los interesados y normas de transferencias internacionales. El nivel inferior impone multas de hasta EUR 10 millones o el 2% de la facturacion por violaciones administrativas y organizativas. En Alemania, la BDSG anade sanciones penales de hasta 3 anos de prision para determinadas violaciones.

Necesito un Delegado de Proteccion de Datos (DPD)?

Segun el RGPD, un DPD es obligatorio para autoridades publicas, organizaciones cuyas actividades principales impliquen la observacion habitual y sistematica de personas a gran escala, u organizaciones que traten categorias especiales de datos a gran escala. En Alemania, la BDSG reduce significativamente este umbral: cualquier empresa con 20 o mas empleados involucrados regularmente en el tratamiento automatizado de datos personales debe nombrar un DPD (Datenschutzbeauftragter). El DPD puede ser interno o externo.

Que es una EIPD y cuando es obligatoria?

Una Evaluacion de Impacto de Proteccion de Datos (EIPD) es una evaluacion de riesgos requerida por el Articulo 35 siempre que el tratamiento sea 'susceptible de resultar en un alto riesgo' para los interesados. Esto incluye la elaboracion de perfiles sistematicos, el tratamiento a gran escala de categorias especiales de datos y la vigilancia sistematica de zonas publicas. Las autoridades de supervision tambien publican listas de actividades de tratamiento que requieren EIPD. La EIPD debe describir el tratamiento, evaluar la necesidad y proporcionalidad, evaluar los riesgos e identificar medidas de mitigacion.

Que es el requisito de notificacion de violaciones en 72 horas?

Segun el Articulo 33, los responsables deben notificar a la autoridad de supervision competente una violacion de datos personales dentro de las 72 horas desde que tienen conocimiento de ella, a menos que sea improbable que la violacion suponga un riesgo para los derechos y libertades de las personas. La notificacion debe describir la violacion, los interesados afectados, las consecuencias probables y las medidas adoptadas. Si la violacion es susceptible de suponer un alto riesgo para las personas, estas tambien deben ser notificadas directamente segun el Articulo 34.

GDPR Readiness Assessment

Evaluate your data protection compliance

Take the free assessment

Funcionalidades clave

Registros de actividades de tratamiento

Mantenga los registros del Artículo 30 automáticamente. Realice seguimiento de las actividades de tratamiento, bases legales, períodos de retención y flujos de datos.

Evaluaciones de impacto de protección de datos

Flujos de trabajo automatizados de DPIA para tratamientos de alto riesgo. Evaluaciones paso a paso con puntuación de riesgos y seguimiento de mitigación.

Gestión de derechos de los interesados

Gestione solicitudes de acceso, supresión y portabilidad dentro de los plazos regulatorios. Trazabilidad completa de auditoría para cada solicitud.

Flujos de trabajo de notificación de violaciones

Flujos de trabajo de notificación de violaciones en 72 horas. Genere automáticamente informes para las autoridades de supervisión y los interesados afectados.

Gestión del consentimiento

Realice seguimiento del consentimiento en todas las actividades de tratamiento. Gestione las aceptaciones, retiradas y ciclos de renovación del consentimiento.

Tratamiento de datos por terceros

Gestione acuerdos con encargados del tratamiento, seguimiento de subencargados y salvaguardas para transferencias internacionales (CCT, decisiones de adecuación).

¿Por qué Matproof?

Registros del Artículo 30 generados automáticamente
Flujo de trabajo de notificación de violaciones en 72 horas integrado
Derechos de los interesados gestionados dentro de los plazos
100% alojado en la UE — predicamos con el ejemplo

Cumplimiento cumplimiento en toda Alemania

Encuentre guías de cumplimiento específicas por ciudad para su institución financiera.

Frankfurt
Deutsche Bank, Commerzbank
Munich
Allianz, Munich Re
Berlin
N26, Trade Republic
Hamburg
Berenberg, M.M.Warburg & CO
Düsseldorf
HSBC Germany, NRW.BANK
Stuttgart
Börse Stuttgart / BSDEX, LBBW
Cologne
AXA Germany, DEVK
Paris
BNP Paribas, Crédit Agricole
Amsterdam
ING Group, ABN AMRO
Madrid
Banco Santander, BBVA
Milan
UniCredit, Intesa Sanpaolo
Zurich
UBS, Swiss Re
Vienna
Erste Group, Raiffeisen Bank International
Luxembourg
European Investment Bank, Clearstream
Brussels
SWIFT, Euroclear
Dublin
Stripe, Fidelity Investments
Stockholm
Klarna, SEB
Helsinki
Nordea, OP Financial Group
Warsaw
PKO Bank Polski, mBank
Prague
CSOB, Komercni Banka
Ver todas las ciudades y marcos normativos

GDPR Readiness Assessment

Evaluate your data protection compliance

Take the free assessment

Historias de clientes

Equipos que dejaron de temer la temporada de auditorías.

85%menos tiempo de preparación

Matproof nos ahorró meses de preparación de auditoría. Conectamos nuestras herramientas el lunes y el viernes ya teníamos evidencias mapeadas a DORA. Nuestro auditor quedó impresionado por la profundidad de la pista de auditoría.

Ho

Head of Compliance

Series B Fintech, Germany

* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.

¿Listo para comenzar?

¿Listo para comenzar?

Descubra cómo Matproof automatiza el cumplimiento para su organización.

Solicitar una demo