NIS2 y DORA en vigor. EU AI Act es el próximo — reserva una demo

LOPDGDD / RGPD Pentest España: Medidas Técnicas de Seguridad Art. 32 y Prevención de Sanciones AEPD

La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), es la norma española que complementa y adapta el Reglamento General de Protección de Datos (RGPD, Reglamento (UE) 2016/679) al ordenamiento jurídico español. El Art. 32 del RGPD obliga a los responsables y encargados del tratamiento a aplicar «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo», incluyendo la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento. La Agencia Española de Protección de Datos (AEPD) es la autoridad de control española que supervisa el cumplimiento del RGPD/LOPDGDD y puede imponer sanciones de hasta 20 millones de euros o el 4 % del volumen de negocios mundial anual. Las pruebas de penetración son el mecanismo más eficaz para verificar que las medidas técnicas de seguridad del Art. 32 RGPD son efectivamente adecuadas al riesgo. Esta guía explica qué exige el RGPD en materia de seguridad técnica, cómo las pruebas de penetración reducen el riesgo de sanciones y qué documentación necesita ante la AEPD.

Iniciar el pentest RGPD/LOPDGDD
MW
Escrito por Malte Wagenbach
Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).
Última revisión: 17 de mayo de 2026

Por qué el RGPD y la LOPDGDD hacen necesarias las pruebas de penetración

El Art. 32 del RGPD adopta un enfoque de seguridad basado en riesgos — las medidas técnicas «apropiadas» dependen del tipo de datos tratados, del volumen, del impacto potencial de una violación de datos en los derechos y libertades de las personas físicas. El Art. 32 §1 del RGPD incluye explícitamente entre las medidas técnicas apropiadas: «la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento» y «un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento». Esta última cláusula — «verificación regular de la eficacia» — es la que fundamenta directamente la necesidad de pruebas de penetración: no basta con implementar controles de seguridad, sino que hay que verificar periódicamente que son eficaces. En España, la AEPD ha publicado su Guía de Protección de Datos por Defecto y sus Orientaciones para la Gestión del Riesgo, que reconocen las pruebas de penetración como medida apropiada para verificar la eficacia de los controles técnicos. La AEPD también ha emitido resoluciones sancionadoras significativas en casos en que la falta de medidas técnicas básicas permitió violaciones de datos evitables: la ausencia de pruebas de penetración regulares ha sido considerada evidencia de medidas técnicas insuficientes en el contexto de violaciones de datos personales.

  • RGPD Art. 32 §1 lit. d): «un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas» — fundamenta directamente la obligación de pruebas de penetración regulares como mecanismo de verificación de la eficacia de los controles técnicos.
  • RGPD Art. 32 §1 lit. b): «la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento» — las pruebas de penetración verifican que los controles que garantizan estos principios son técnicamente efectivos.
  • LOPDGDD Art. 6: la LOPDGDD exige que las medidas de seguridad sean proporcionales al riesgo — el análisis de riesgo y las medidas técnicas apropiadas son verificables mediante pruebas de penetración que demuestran la robustez técnica de los controles implementados.
  • Sanciones AEPD (RGPD Art. 83): hasta 20 millones de euros o el 4 % del volumen de negocios mundial anual por infracciones del Art. 32 — la AEPD puede considerar la ausencia de pruebas de seguridad técnica como evidencia de medidas técnicas insuficientes al determinar las sanciones.
  • Notificación de violaciones de datos (RGPD Art. 33): las violaciones de seguridad que afecten a datos personales deben notificarse a la AEPD en 72 horas — las pruebas de penetración regulares reducen la probabilidad de violaciones al identificar vulnerabilidades antes de que sean explotadas por actores maliciosos.
  • Evaluación de Impacto en la Protección de Datos (EIPD, RGPD Art. 35): para los tratamientos de alto riesgo, la EIPD debe incluir medidas previstas para hacer frente al riesgo — las pruebas de penetración son una medida técnica verificable que fortalece el análisis de riesgos técnicos de la EIPD.
  • Responsabilidad proactiva (RGPD Art. 24 y 25): el principio de responsabilidad proactiva (accountability) obliga a los responsables del tratamiento a demostrar el cumplimiento del RGPD — los informes de pruebas de penetración son evidencia documental de la proactividad en la gestión de la seguridad técnica.

Qué debe cubrir una prueba de penetración conforme al RGPD Art. 32

  • Sistemas de tratamiento de datos personales de alto riesgo (RGPD Art. 35): plataformas de tratamiento de datos de categorías especiales (datos de salud, biométricos, genéticos, ideológicos, religiosos, sindicales), sistemas de perfilado, bases de datos de clientes con más de 500.000 registros.
  • Control de accesos a datos personales (RGPD Art. 32 §1 lit. b): verificación de que solo el personal autorizado puede acceder a los datos personales — autenticación de usuarios, gestión de roles y permisos, CVE-2021-42278 (escalada de privilegios en Active Directory), control de acceso mínimo privilegio.
  • Cifrado de datos personales (RGPD Art. 32 §1 lit. a): verificación del cifrado de datos personales en reposo y en tránsito — TLS 1.3 (RFC 8446), cifrado de bases de datos, gestión de claves criptográficas, CVE-2022-0778 (bucle infinito OpenSSL), CVE-2023-0215 (heap-buffer-overflow OpenSSL).
  • Seguridad de aplicaciones web que tratan datos personales: OWASP Top 10 (2021) aplicado a aplicaciones que procesan datos personales — A01 Broken Access Control (especialmente crítico para IDOR que permite acceso a datos de otros usuarios), A03 Injection (SQL injection en bases de datos de datos personales), A07 Identification and Authentication Failures.
  • Seguridad de formularios y puntos de recopilación de datos: formularios de registro, capturas de consentimiento, portales de ejercicio de derechos ARCO-POL — verificación de que los datos introducidos son protegidos durante la transmisión y el almacenamiento.
  • APIs de terceros y transferencias de datos (RGPD Art. 46): APIs de integración con procesadores de datos (CRM, marketing automation, analytics) — verificación de que las transferencias de datos personales a terceros están adecuadamente protegidas y en conformidad con las cláusulas contractuales tipo.
  • Sistemas de logging y trazabilidad (principio de accountability): verificación de que se registran y protegen los accesos a datos personales — integridad de los logs de acceso a bases de datos, CVE-2021-44228 (Log4Shell en sistemas de logging), retención conforme a las políticas de la organización.
  • Seguridad del correo electrónico con datos personales: configuración de protocolos de autenticación del correo (SPF, DKIM, DMARC), cifrado de comunicaciones con datos personales, protección contra phishing que pueda comprometer cuentas con acceso a datos personales.
  • Continuidad del tratamiento y resiliencia (RGPD Art. 32 §1 lit. c): verificación de los mecanismos de backup y recuperación para los sistemas de tratamiento de datos personales — prueba de ransomware sobre sistemas de backup, verificación de la recuperabilidad de los datos personales ante incidentes.
  • Gestión de datos personales de menores (LOPDGDD Art. 7): sistemas que tratan datos personales de menores de 14 años — verificación de los controles técnicos de verificación de edad, mecanismos de consentimiento parental, controles de acceso específicos para datos de menores.

Ejemplo de hallazgo

Crítico

Vulnerabilidad IDOR permite acceso a datos personales de otros usuarios (violación Art. 32 RGPD)

Durante la prueba de penetración de la plataforma de gestión de clientes de una empresa de telecomunicaciones, se identificó una vulnerabilidad de referencia directa a objetos inseguros (IDOR, OWASP A01:2021 Broken Access Control) en el portal de autogestión de clientes. La manipulación del parámetro «cuenta_id» en las solicitudes GET al endpoint /api/clientes/{cuenta_id}/datos-personales permite acceder a los datos personales completos de cualquier cliente: nombre completo, DNI/NIF, dirección, número de teléfono, historial de consumo y datos de pago (últimos 4 dígitos de la tarjeta). La API no valida que el usuario autenticado sea el titular de la cuenta solicitada — solo verifica que el usuario está autenticado. La plataforma tiene aproximadamente 380.000 clientes activos. La explotación de esta vulnerabilidad constituye una violación de datos personales de alto riesgo que requiere notificación a la AEPD conforme al Art. 33 RGPD en 72 horas, así como potencialmente comunicación a los titulares de los datos afectados conforme al Art. 34 RGPD. CVE-2023-29489 documenta una vulnerabilidad IDOR de impacto equivalente.

Corrección: Implementar controles de autorización a nivel de objeto en todos los endpoints de la API: verificar en cada solicitud que el usuario autenticado es el titular de los datos solicitados o tiene permisos explícitos para acceder a ellos. Implementar un modelo de control de acceso basado en roles (RBAC) con verificación en el servidor para cada operación de acceso a datos personales. Realizar una auditoría completa de todos los endpoints de la API para identificar instancias adicionales de IDOR. Activar el proceso de notificación de violación de datos a la AEPD conforme al Art. 33 RGPD si existe evidencia de explotación previa. Implementar monitorización de anomalías en los accesos a datos personales para detectar intentos de explotación futuros.

Referencia: CVE-2023-29489 (IDOR en aplicaciones de gestión de clientes) · OWASP A01:2021 Broken Access Control · CWE-639 Authorization Bypass Through User-Controlled Key · RGPD Art. 32 §1 (medidas técnicas de seguridad) · RGPD Art. 33 (notificación de violación de datos a la autoridad) · LOPDGDD Art. 6 (medidas de seguridad) · AEPD Guía de Protección de Datos en Aplicaciones Móviles §4.3

Pentest LOPDGDD/RGPD: comparación de opciones

Escaneo gratuitoMatproof SentinelConsultoría tradicional
Motor de escaneo automatizado✓ (vista previa 3 min)✓ Escaneo completo✗ Solo manual
Cobertura OWASP Top 10Parcial✓ Completa✓ Completa
Evidencia proof-of-exploit✓ Por hallazgo✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)✓ Automatizado✓ Manual
Informe PDF listo para auditoría✓ Inmediato✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes✓ Por despliegue✗ Encargo anual
Tiempo hasta el primer resultado~3 min~30 min escaneo completo2–4 semanas
Precio€0Desde €149€8.000–€25.000
Revisión de código fuente (SAST)✓ Plan Growth✓ En alcance
Pruebas de API (REST/GraphQL)✓ Automatizado✓ Manual

Ofertas de pentest para el cumplimiento del RGPD/LOPDGDD

Escaneo único
€149 pago único
  • 1 escaneo pentest completo
  • Hallazgos priorizados por IA con CVSS 3.1
  • Proof-of-exploit por hallazgo
  • Informe PDF listo para auditoría
  • Mapeo normativo (DORA, NIS2, ISO 27001)
Comprar escaneo único
Recomendado
Starter
€299 / mes
  • Escaneos ilimitados (hasta 3 dominios)
  • Monitorización continua
  • Integración CI/CD (GitHub, GitLab)
  • Todos los mapeos normativos
  • Soporte prioritario
Iniciar Starter
Growth
€799 / mes
  • Escaneos + dominios ilimitados
  • Pruebas autenticadas / White-Box
  • Pruebas de API e infraestructura cloud
  • Account manager de seguridad dedicado
  • SLA de respuesta en 24h
Contactar para Growth

Preguntas frecuentes sobre las pruebas de penetración en el marco del RGPD/LOPDGDD

¿El RGPD obliga explícitamente a realizar pruebas de penetración?

El Art. 32 §1 lit. d) del RGPD requiere «un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas», lo que fundamenta directamente las pruebas de penetración como mecanismo de verificación. Aunque el RGPD no prescribe específicamente «pentest» como obligación, la AEPD y el CEPD (Comité Europeo de Protección de Datos) han reconocido en sus orientaciones que las pruebas de penetración son un método idóneo para verificar la eficacia de los controles técnicos. En la práctica supervisora, la AEPD considera la ausencia de pruebas de seguridad técnica como evidencia de medidas técnicas insuficientes al investigar violaciones de datos.

¿Qué sanciones puede imponer la AEPD por medidas técnicas de seguridad insuficientes?

El RGPD Art. 83 §4 establece sanciones de hasta 10 millones de euros o el 2 % del volumen de negocios mundial por infracciones del Art. 32 (medidas de seguridad insuficientes). El Art. 83 §5 establece sanciones de hasta 20 millones de euros o el 4 % del volumen de negocios mundial por infracciones de los principios fundamentales del RGPD (Arts. 5-7) que incluyen la integridad y confidencialidad de los datos personales. La AEPD ha impuesto sanciones millonarias en España: Google LLC (10 millones de euros, 2021), Vodafone España (8,15 millones de euros, 2021), BBVA (5 millones de euros, 2021). En casos de violaciones de datos con medidas técnicas claramente insuficientes, las sanciones son significativas.

¿Qué debe incluir la notificación de una violación de datos a la AEPD?

El Art. 33 RGPD y la LOPDGDD establecen que la notificación a la AEPD debe realizarse en 72 horas desde que el responsable tenga conocimiento de la violación e incluir: la naturaleza de la violación (confidencialidad, integridad, disponibilidad), las categorías y el número aproximado de interesados afectados, las categorías y el número aproximado de registros afectados, los datos de contacto del DPO o punto de contacto, las posibles consecuencias de la violación, y las medidas adoptadas o propuestas para remediar la violación y mitigar sus efectos. Las pruebas de penetración previas facilitan significativamente la notificación al proporcionar un inventario de vulnerabilidades y el contexto de la violación.

¿Cómo afecta la LOPDGDD a las pruebas de penetración en España respecto al RGPD puro?

La LOPDGDD (Ley Orgánica 3/2018) complementa el RGPD con disposiciones específicas para el ordenamiento jurídico español. Las principales adiciones relevantes para las medidas de seguridad técnica son: la obligación de DPO para determinadas categorías de responsables del tratamiento que el RGPD deja a discreción nacional (Art. 34 LOPDGDD); los derechos digitales de los trabajadores (Art. 87-91 LOPDGDD) que incluyen la privacidad en el uso de dispositivos corporativos y la videovigilancia — ámbitos con implicaciones en el alcance de las pruebas de penetración; y las disposiciones sobre sistemas de denuncia interna («canal de denuncias») del Art. 24 LOPDGDD, que deben cumplir requisitos técnicos de seguridad específicos.

¿Qué papel juega el DPO (Delegado de Protección de Datos) en las pruebas de penetración?

El DPO (Delegado de Protección de Datos), obligatorio para determinadas organizaciones conforme al Art. 37 RGPD y el Art. 34 LOPDGDD, desempeña un papel relevante en relación con las pruebas de penetración: asesora sobre la adecuación de las medidas técnicas del Art. 32; participa en la definición del alcance de las pruebas de penetración para asegurar que se cubren los sistemas que tratan datos personales de mayor riesgo; revisa los informes de pentest desde la perspectiva de protección de datos y coordina la remediación de hallazgos con impacto en datos personales; y actúa como punto de contacto con la AEPD en caso de violaciones de datos derivadas de vulnerabilidades identificadas.

¿Cómo deben gestionarse los datos personales que el equipo de pentest pueda encontrar durante la prueba?

Durante una prueba de penetración, el equipo de prueba puede acceder a datos personales reales como evidencia de explotación de vulnerabilidades. El responsable del tratamiento debe celebrar un contrato de encargado del tratamiento (Art. 28 RGPD) con el proveedor de pentest, que regule el tratamiento de datos personales durante la prueba. El equipo de pentest debe aplicar medidas de minimización de datos: solo capturar los datos estrictamente necesarios como evidencia, pseudonimizar los datos personales en los informes cuando sea posible, y destruir los datos personales capturados una vez concluida la prueba. Si se identifica que datos personales han sido previamente comprometidos por un actor malicioso (más allá del equipo de prueba), debe activarse el protocolo de notificación a la AEPD.

¿Las EIPD (Evaluaciones de Impacto en la Protección de Datos) incluyen pruebas de penetración?

El Art. 35 RGPD exige EIPD para tratamientos de alto riesgo. Las EIPD no incluyen directamente pruebas de penetración, pero sí referencian las pruebas de penetración como una de las medidas técnicas previstas para gestionar los riesgos identificados. Cuando la EIPD identifica riesgos técnicos de acceso no autorizado, violación de confidencialidad o pérdida de integridad, las pruebas de penetración son la medida técnica más adecuada para verificar que los controles implementados mitigan efectivamente esos riesgos. Los resultados de las pruebas de penetración deberían retroalimentar el análisis de riesgos de la EIPD para su actualización periódica.

¿Puede una empresa española utilizar Matproof Sentinel para demostrar el cumplimiento del Art. 32 RGPD ante la AEPD?

Sí — los informes de Matproof Sentinel son adecuados como evidencia del proceso de «verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas» requerido por el Art. 32 §1 lit. d) RGPD. Los informes incluyen: metodología documentada, sistemas verificados, hallazgos con clasificación de severidad y riesgo para los datos personales, estado de remediación, y referencias a los controles del RGPD relevantes. Ante una inspección de la AEPD, los informes de Matproof Sentinel demuestran que la organización implementa un proceso regular de verificación técnica de sus medidas de seguridad — un factor mitigante relevante en el cálculo de sanciones conforme al Art. 83 §2 lit. d) RGPD (medidas adoptadas para paliar los daños).

Temas relacionados

Profundiza — artículos relacionados del blog

Proteja los datos personales de sus clientes y evite sanciones de la AEPD

Obtenga en 3 minutos una evaluación técnica de los sistemas que tratan datos personales en su organización. Matproof Sentinel genera informes de prueba de penetración con referencias explícitas al Art. 32 RGPD y a la LOPDGDD, listos para demostrar el cumplimiento ante la AEPD y para reforzar la documentación de sus EIPD.

Iniciar el pentest RGPD/LOPDGDD