Home → RGPD Art. 32

RGPD Art. 32 · Seguridad del tratamiento

Lo que la Agencia
te pide demostrar.

El artículo 32 del RGPD no es una recomendación: fija cuatro obligaciones técnicas precisas sobre la seguridad de los datos personales. Veamos qué exige y cómo Securoo te ayuda a demostrarlo, una por una.

¿En regla? Descúbrelo en 3 min Lee las medidas ↓

El contexto

Qué es el RGPD, en breve.

El Reglamento General de Protección de Datos (UE 2016/679, "RGPD") es la ley europea que protege los datos personales de los ciudadanos de la Unión. Está en vigor desde el 25 de mayo de 2018 y se aplica a quien — sea público o privado, dentro o fuera de la UE — trate datos de residentes europeos.

Para un despacho profesional (abogado, contable, notario, broker de seguros, médico, administrador) significa algo muy concreto: tú eres el "responsable del tratamiento" de los datos de tus clientes. Es tu responsabilidad custodiarlos con medidas técnicas adecuadas. La AEPD te pide cuentas a ti en caso de violación, no al proveedor del software.

Se aplica a todos

Despacho individual o multinacional, online o en papel: si tratas datos de ciudadanos UE, el RGPD se aplica. Sin exenciones por tamaño.

Tú eres el responsable

Tú decides finalidades y medios del tratamiento. Eres el primer responsable ante la Agencia: el proveedor técnico es tu "encargado externo".

No basta con declararlo

El principio de accountability (art. 5.2) exige demostrar las medidas adoptadas, no solo afirmarlas. Audit log, DPA, registros.

Las sanciones son reales

Hasta € 20M o el 4% de la facturación global. Cientos de sanciones aplicadas por las Agencias europeas cada mes.

Qué dice el artículo

Cuatro obligaciones técnicas, vinculantes.

El RGPD — artículo 32, apartado 1 — exige medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Entre ellas, en particular:

«Teniendo en cuenta el estado de la técnica, [...] el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas [...] entre otras, en su caso: [a] la seudonimización y el cifrado de datos personales; [b] la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; [c] la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico; [d] un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.» — RGPD, art. 32, ap. 1

Cifrado y seudonimización

Cifrar los datos personales para garantizar confidencialidad por defecto y aplicar la seudonimización donde sea posible.

Confidencialidad, integridad, disponibilidad, resiliencia

Garantizar de forma permanente las cuatro propiedades de los sistemas que tratan datos personales.

Restauración rápida

Restaurar disponibilidad y acceso a los datos en tiempos breves en caso de incidente físico o técnico.

Pruebas y verificaciones periódicas

Procedimientos regulares para probar, verificar y evaluar la eficacia de las medidas adoptadas.

Punto clave

El cifrado no es opcional.

El artículo 32, letra (a), cita explícitamente el cifrado de datos personales como medida de ejemplo. Es la única medida técnica nombrada por su nombre en el reglamento. En la práctica: sin cifrado, demostrar un "nivel de seguridad adecuado al riesgo" ante la Agencia es prácticamente imposible.

Cada documento del cliente — contrato, peritaje, identificación, historial médico — debe estar cifrado. No basta con "guardarlo bajo contraseña" en un drive en la nube: hace falta cifrado end-to-end con claves que el proveedor no posee.

Las medidas de Securoo

Cómo Securoo cubre las cuatro obligaciones.

Punto por punto. Sin promesas vagas: cada medida tiene una referencia técnica verificable.

Cifrado end-to-end zero-knowledge

AES-256 para los contenidos, RSA 4096-bit para las claves. Las claves no pasan nunca por nuestros servidores.

Cómo funciona: los documentos se cifran en tu dispositivo antes de subirse. La clave de descifrado no transita nunca por nuestros servidores. Nosotros tampoco podemos leer el contenido — técnicamente, no solo contractualmente. El RGPD cita explícitamente el cifrado como medida de ejemplo para satisfacer el art. 32.1.a.

Cuatro propiedades permanentes

Confidencialidad, integridad, disponibilidad, resiliencia — cada una con un mecanismo técnico dedicado.

Confidencialidad: modelo zero-knowledge end-to-end. Integridad: hash SHA-256 + sello temporal RFC 3161 verificable por CA acreditada en cada archivo. Disponibilidad: replicación geográfica multi-región UE, SLA contractual del 99,9% (99,99% Enterprise). Resiliencia: infraestructura redundante OVH (Francia), cero subprocesadores fuera de la UE.

Backups diarios + restauración en 4 horas

RPO < 1 hora · RTO < 4 horas · retención 30 días.

Backups incrementales diarios, conservados durante 30 días. Recovery Point Objective inferior a 1 hora (pérdida máxima de datos admitida) y Recovery Time Objective inferior a 4 horas (tiempo máximo de restauración). Pruebas de disaster recovery semestrales, registradas y documentadas para auditorías.

Auditorías anuales, pen tests externos, ISO 27001

Procedimientos periódicos de prueba y verificación documentados cada año.

Auditorías de seguridad anuales realizadas por terceros acreditados. Pruebas de penetración externas con informe disponible bajo NDA para clientes Enterprise. Alineación ISO 27001 en consolidación. La parte organizativa (formación de tu personal, procedimientos internos, políticas) sigue siendo tu responsabilidad — te facilitamos las plantillas.

Qué arriesgas

Las sanciones que la Agencia puede aplicar.

El incumplimiento del art. 32 no es una formalidad burocrática: las sanciones administrativas son concretas, recientes y se aplican en toda la UE. La jurisprudencia europea — incluso para despachos pequeños — está consolidada.

€ 20M

Sanción máxima por violación del art. 32 — o el 4% de la facturación global anual, si fuera superior.

72 h

Plazo máximo para notificar a la Agencia un data breach (art. 33). Pasado ese plazo, la sanción se agrava.

2.000+

Sanciones por RGPD impuestas en Europa en 2024, más de la mitad ligadas al art. 32.

Lo que ya ha pasado (ejemplos recientes)

Despacho de abogados, Italia (2024): €20.000 de sanción por documentos de clientes en un drive en la nube sin cifrar, accesible a personal no autorizado.
Despacho contable, España (2023): €50.000 por la pérdida de un dispositivo corporativo con datos fiscales en claro, sin cifrado del disco.
Notario, Alemania (2024): apercibimiento formal + sanción €12.000 por intercambio de actas vía email sin protección, tras la denuncia de un cliente.
Centro médico, Francia (2024): €800.000 por acceso no autorizado a historiales clínicos en servidores sin cifrar, con obligación de subsanación en 6 meses.

Las sanciones son públicas: la Agencia publica online la resolución, con el nombre del despacho. El impacto reputacional suele costar más que la sanción misma.

¿Estás realmente en regla con el artículo 32?

Cinco preguntas, tres minutos. Recibirás una valoración sintética de tu nivel de exposición y una checklist descargable lista para entregar al DPO o a tu asesor legal.

Haz el diagnóstico en 3 min Lee también la página Seguridad

Lo que la Agenciate pide demostrar.