RGPD · ENS · NIS2 · ISO 27001 · DPO externo

RGPD para empresas

Cumplir no es solo
rellenar formularios.
Es demostrar que funciona.

Adecuación integral al RGPD, ENS y NIS2 para empresas — con un enfoque técnico y operativo, no solo documental. Registro de actividades, análisis de riesgos, DPO externo, políticas de seguridad implementadas y soporte ante la AEPD en caso de brecha.

Solicitar diagnóstico de cumplimiento → Ver marcos normativos
DPO externo certificado Técnico + jurídico + operativo Soporte ante AEPD incluido

Por qué el cumplimiento falla

El 73% de las empresas tienen documentación RGPD desactualizada o incompleta — y no lo saben hasta que llega una inspección.

El cumplimiento normativo no es un proyecto puntual que se hace una vez — es un proceso continuo que requiere mantenimiento técnico, jurídico y organizativo a lo largo del tiempo.

Documentación que existe pero no se aplica

Muchas empresas tienen políticas RGPD firmadas en un cajón que nadie conoce ni aplica. La AEPD no sanciona solo por no tener documentos — sanciona por no poder demostrar que los controles están activos y funcionando.

Brechas de seguridad sin procedimiento de notificación

El RGPD exige notificar brechas de datos a la AEPD en 72 horas. Sin un procedimiento activo y un DPO disponible, las empresas superan ese plazo — convirtiendo un incidente gestionable en una infracción grave sancionable.

ENS exigido por clientes del sector público

Muchas empresas privadas que trabajan con administraciones públicas o acceden a sistemas del Estado tienen la obligación de cumplir con el Esquema Nacional de Seguridad. Sin adecuación, quedan excluidas de contratos y licitaciones.

Sanciones que no distinguen de tamaño de empresa

El RGPD prevé multas de hasta 20 millones de euros o el 4% de la facturación global. Las PYMES no están exentas — la AEPD ha sancionado empresas de menos de 50 empleados con multas de entre 3.000 y 150.000 euros por infracciones evitables.

Marcos normativos

RGPD, ENS y NIS2 — tres marcos distintos con requisitos técnicos que se solapan y se complementan.

Trabajamos los tres marcos de forma integrada — evitando duplicar esfuerzos y aprovechando que muchos controles técnicos sirven para los tres a la vez.

Protección de datos

RGPD

Reglamento General de Protección de Datos · UE 2016/679

Marco europeo de protección de datos personales — aplica a cualquier empresa que trate datos de personas físicas en la UE, independientemente de su tamaño o sector. Obligatorio para todas las empresas.

Registro de actividades de tratamiento (RAT)Base jurídica del tratamiento — consentimiento, contrato, interés legítimoCláusulas informativas, política de privacidad y cookiesContratos con encargados de tratamiento (proveedores)EIPD — evaluación de impacto para tratamientos de alto riesgoProcedimiento de gestión y notificación de brechas (72h AEPD)
Todas las empresasDPO externo
Sanción máxima20M€ o 4% facturación global anual — la cifra mayor
Seguridad pública

ENS

Esquema Nacional de Seguridad · RD 311/2022

Marco de seguridad obligatorio para las administraciones públicas y sus proveedores tecnológicos. Esencial para empresas IT que contratan con el sector público o acceden a sistemas de la Administración.

Análisis y gestión de riesgos — metodología MAGERITPolítica de seguridad y normativa de uso de sistemasControles técnicos por categoría — básica, media, altaPlan de continuidad y recuperación ante desastresAuditoría ENS bienal — informe de cumplimiento certificableDeclaración de Aplicabilidad (DoA)
Proveedores sector públicoMSP · IT
ConsecuenciaExclusión de contratos y licitaciones con la Administración
Infraestructuras críticas

NIS2

Directiva de Seguridad de Redes y Sistemas · UE 2022/2555

Directiva europea de ciberseguridad en proceso de transposición en España — amplía el ámbito de aplicación respecto a NIS1 e impone requisitos técnicos y de gestión de riesgos a sectores esenciales e importantes.

Análisis de riesgos de ciberseguridad documentadoGestión de incidentes — detección, respuesta y notificaciónSeguridad de la cadena de suministro — proveedores críticosContinuidad de negocio — BCP y DRP activosCriptografía y control de acceso — MFA obligatorioFormación y concienciación del personal
Sectores esencialesEn transposición
Sanción máxima10M€ o 2% facturación global anual para entidades esenciales

Qué hacemos

Adecuación técnica, jurídica y organizativa — no solo documentación.

El cumplimiento real requiere que los controles funcionen, no solo que estén escritos. Nuestro servicio combina el trabajo documental con la implementación técnica de los controles exigidos.

RGPD

Adecuación RGPD completa

Implantación completa del marco RGPD — desde el diagnóstico inicial hasta el mantenimiento continuo, con toda la documentación, contratos y procedimientos operativos activos.

Diagnóstico inicial — inventario de tratamientos y gapsRegistro de actividades de tratamiento (RAT) completoCláusulas, políticas de privacidad y avisos legalesContratos con encargados de tratamiento — todos los proveedoresEIPD para tratamientos de alto riesgoProcedimiento de gestión y notificación de brechas en 72h
DPO externo

Delegado de Protección de Datos

Servicio de DPO externo certificado — obligatorio para determinadas categorías de empresas y recomendado para todas. Punto de contacto con la AEPD, asesoramiento continuo y gestión de derechos de los interesados.

DPO certificado registrado ante la AEPDAtención a ejercicio de derechos ARSO — acceso, rectificación, supresiónInterlocutor con la AEPD en caso de inspección o brechaAsesoramiento continuo ante nuevos tratamientos o proyectosInforme anual de cumplimiento para dirección
ENS

Adecuación al ENS

Proceso completo de adecuación al Esquema Nacional de Seguridad — análisis de riesgos, implementación de controles técnicos por categoría y preparación del informe de auditoría requerido para contratar con la Administración.

Análisis de riesgos con metodología MAGERITDeclaración de Aplicabilidad (DoA) y Plan de AdecuaciónImplementación de controles técnicos requeridos por categoríaPolítica de seguridad, normativas y procedimientos operativosPreparación y soporte para auditoría ENS bienal
Incidentes

Gestión de brechas de seguridad

Procedimiento activo de detección, evaluación y notificación de brechas de datos — para cumplir el plazo de 72 horas del RGPD y gestionar correctamente la comunicación a afectados y autoridades.

Procedimiento escrito de gestión de brechas — roles y pasosPlantillas de notificación a la AEPD y a afectadosEvaluación de la necesidad de notificación — criterios RGPDSoporte del DPO durante el incidente — disponible 24hRegistro de brechas — histórico obligatorio RGPD art. 33
Cadena de suministro

Gestión de proveedores

Revisión y adecuación de la relación con proveedores que acceden o tratan datos — tanto para cumplir el RGPD (contratos de encargado de tratamiento) como los requisitos de NIS2 sobre la cadena de suministro.

Inventario de proveedores con acceso a datos o sistemasContratos de encargado de tratamiento (DPA) actualizadosEvaluación de riesgo de proveedores críticos — NIS2Cláusulas de seguridad en contratos con terceros
Mantenimiento

Cumplimiento continuo

El cumplimiento normativo no termina con la adecuación inicial — requiere mantenimiento activo ante cambios en la empresa, nuevos tratamientos, cambios normativos y revisiones periódicas de los controles implementados.

Revisión trimestral del estado de cumplimientoActualización de documentación ante cambios en la empresaSeguimiento de cambios normativos y su impactoInforme anual para dirección y auditorías externas

Cómo trabajamos

De cero a cumplimiento demostrable en 8 semanas, con mantenimiento continuo incluido.

El proceso empieza siempre con un diagnóstico honesto del estado actual — sin asumir que todo está mal ni que todo está bien — y construye sobre lo que ya funciona.

01

Diagnóstico inicial

Análisis del estado actual de cumplimiento — inventario de tratamientos, revisión de documentación existente, identificación de gaps prioritarios y evaluación del riesgo real ante una inspección.

Entregable: informe de gaps
02

Plan de adecuación

Hoja de ruta priorizada por riesgo — qué implantar primero, qué puede esperar, coste estimado de cada acción y responsable asignado. Consensuado con dirección antes de comenzar la implantación.

Entregable: roadmap
03

Implantación técnica y documental

Ejecución del plan — documentación, contratos, políticas, controles técnicos y procedimientos operativos. Coordinación con el equipo IT para implementar los controles que requieren cambios en sistemas.

Entregable: cumplimiento activo
04

Mantenimiento y DPO continuo

Revisiones periódicas, atención a derechos ARSO, actualización ante cambios en la empresa o la normativa, soporte ante la AEPD e informe anual de cumplimiento para dirección y auditorías.

Entregable: cumplimiento continuo

Impacto real

Lo que cambia cuando el cumplimiento está activo y mantenido.

Datos de clientes con servicio de cumplimiento RGPD/ENS activo durante más de 12 meses.

0

Sanciones de la AEPD en clientes con DPO externo activo

Ningún cliente con DPO externo y cumplimiento mantenido ha recibido una sanción de la AEPD. La diferencia entre una inspección que termina en apercibimiento y una que termina en multa es la capacidad de demostrar que los controles funcionan.

Antes: documentación desactualizada, sin procedimientos activos
100%

De brechas notificadas dentro del plazo de 72 horas

Con el procedimiento de gestión de brechas activo y el DPO disponible, todas las brechas detectadas en clientes se han notificado a la AEPD dentro del plazo legal — evitando la infracción adicional por notificación tardía.

Antes: sin procedimiento — el plazo de 72h se superaba sistemáticamente
+3

Nuevos contratos con la Administración desbloqueados tras adecuación ENS

La adecuación al ENS ha abierto a varios clientes MSP e IT la posibilidad de participar en licitaciones y contratos con administraciones públicas que antes les estaban vetados por falta de conformidad con el esquema.

Antes: excluidos de licitaciones por no acreditar cumplimiento ENS

Desde el blog

Artículos relacionados.

Contenido técnico publicado por nuestro equipo sobre este servicio.

Ver todos los artículos →

Preguntas frecuentes

Preguntas frecuentes sobre cumplimiento RGPD para empresas.

El RGPD obliga a designar un DPO en tres casos: administraciones públicas, empresas cuya actividad principal exija la observación habitual y sistemática de personas a gran escala, y empresas que traten a gran escala categorías especiales de datos (salud, ideología, etc.). Sin embargo, la AEPD recomienda que cualquier empresa con tratamientos relevantes designe un DPO — y en la práctica, tener un DPO externo activo es la mejor protección ante una inspección, independientemente de si es obligatorio o no.
No. El ENS (RD 311/2022) se aplica a las administraciones públicas, pero también a todas las empresas privadas que presten servicios o soluciones tecnológicas a la Administración o que accedan a sistemas de información públicos. Para un MSP o una empresa IT que trabaje con ayuntamientos, consejerías, organismos estatales o universidades públicas, la adecuación al ENS es requisito habitual en los pliegos de contratación — sin ella, quedan excluidos del proceso.
La notificación tardía es una infracción independiente del propio incidente — la empresa puede ser sancionada dos veces: una por la brecha en sí y otra por no haberla notificado en plazo. El RGPD clasifica el incumplimiento del plazo de notificación como infracción grave, con multas de hasta 10 millones de euros o el 2% de la facturación. El problema habitual es que sin un procedimiento activo y un DPO disponible, las 72 horas pasan antes de que nadie haya tomado una decisión.
Hacer el RGPD "una vez" produce documentación que caduca. Si la empresa incorpora un nuevo proveedor, lanza una web nueva, empieza a usar una herramienta de marketing o sufre cambios en los tratamientos, la documentación queda desactualizada — y eso es exactamente lo que inspecciona la AEPD. El servicio continuo mantiene el registro actualizado, gestiona los nuevos tratamientos cuando ocurren, atiende los derechos de los interesados y garantiza que el DPO esté disponible cuando se necesita. La diferencia es entre tener un documento y tener cumplimiento real.
NIS2 es una directiva europea aprobada en diciembre de 2022 que debía transponerse al ordenamiento español antes del 17 de octubre de 2024. España está en proceso de transposición mediante el proyecto de ley de coordinación y gobernanza de ciberseguridad. Aunque la ley española todavía no está en vigor, la directiva tiene efecto directo en determinados supuestos — y las empresas que operan en sectores esenciales (energía, transporte, salud, TIC, infraestructuras digitales) deben prepararse ya. La complejidad de adecuación aumenta si se espera a que la ley esté en vigor.

¿Sabrías qué hacer si la AEPD te inspecciona mañana?

Hacemos un diagnóstico gratuito del estado de cumplimiento RGPD y ENS — identificamos los gaps de mayor riesgo y te presentamos un plan de adecuación con coste y plazo cerrados.

Diagnóstico gratuito · Sin compromiso · Respuesta <24h