Cumplimiento RGPD: requisitos de seguridad del Artículo 32

El Artículo 32 exige 'medidas técnicas y organizativas apropiadas' para proteger los datos personales. Esto incluye específicamente la seudonimización y el cifrado, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas de procesamiento, la capacidad de restaurar el acceso tras incidentes y — de forma crítica — un proceso para probar, evaluar y verificar regularmente la efectividad de sus medidas de seguridad. El Artículo 5(1)(f) añade el principio general de integridad y confidencialidad. El estándar es apropiado al riesgo, no prescriptivo, pero los reguladores han sido explícitos: el escaneo de vulnerabilidades, la autenticación multifactor y la gestión de parches son controles nombrados cuya ausencia ha provocado multas directamente.

El Artículo 83 del RGPD define dos niveles de multas. No tener medidas de seguridad adecuadas (Artículo 32) o violar el principio de integridad y confidencialidad (Artículo 5) cae bajo el Nivel 2 — hasta 20 millones de euros o el 4% de la facturación anual global, lo que sea mayor. Para una empresa con 10 millones de euros de ingresos anuales, eso significa multas de hasta 400.000 €. Para grandes multinacionales, el 4% de la facturación puede superar con creces los 20 millones de euros — Meta recibió una multa de 1.200 millones de euros en 2023 calculada sobre la facturación. Las multas acumuladas del RGPD alcanzaron los 7.100 millones de euros a principios de 2026, y los reguladores son cada vez más específicos al nombrar los controles de seguridad exactos que faltaban.

La gestión de superficie de ataque (ASM) aborda directamente los requisitos de seguridad del procesamiento en los Artículos 25 y 32 del RGPD. Al descubrir sus activos expuestos y probarlos en busca de vulnerabilidades con una cadencia semanal, ASM le proporciona el proceso de 'pruebas y evaluación regulares' que el Artículo 32(1)(d) exige explícitamente. También apoya la protección de datos desde el diseño del Artículo 25 — no puede aplicar controles de seguridad a sistemas que no sabe que existen. El escaneo semanal automatizado de SeguriScan reduce el tiempo de permanencia de los atacantes en su red, apoyando la ventana de notificación de brechas de 72 horas del Artículo 33 al detectar incidentes más rápido y producir la evidencia necesaria para los informes a la APD.

El Artículo 32 del RGPD se titula 'Seguridad del procesamiento' y es el requisito central de seguridad técnica del reglamento. Exige a las organizaciones implementar medidas apropiadas al riesgo, teniendo en cuenta el estado de la técnica, los costes y la naturaleza de los datos procesados. Las cuatro medidas específicas enumeradas son: seudonimización y cifrado, garantizar la confidencialidad y resiliencia, restaurar la disponibilidad tras incidentes y pruebas y evaluación regulares. Por eso el RGPD no es solo un ejercicio de cumplimiento de privacidad — es un mandato de seguridad legalmente vinculante. Los reguladores ahora nombran controles ausentes específicos como el escaneo de vulnerabilidades y la MFA al emitir multas, haciendo del Artículo 32 una obligación técnica concreta, no solo un principio vago.

Sí. No hay exención para pymes de los requisitos de seguridad del RGPD. El Artículo 32 aplica a cualquier organización que procese datos personales, independientemente de su tamaño. El reglamento incluye un estándar de proporcionalidad — las medidas deben ser 'apropiadas al riesgo' — lo que significa que una empresa de 10 personas no se espera que tenga el mismo aparato de seguridad que un hospital. Pero se esperan controles técnicos básicos, incluido el escaneo de vulnerabilidades, de todas las empresas. El caso Apotheka (Estonia, 2024) resultó en una multa de 3 millones de euros para un programa de fidelización a escala pyme que no implementó medidas básicas de ciberseguridad. Los reguladores han demostrado que perseguirán a organizaciones pequeñas cuando los fallos sean claros.

Cumplir los requisitos de seguridad del RGPD no es una auditoría puntual — es una práctica continua que debe poder evidenciar. El Artículo 32(1)(d) exige un proceso de pruebas y evaluación regulares, lo que significa que necesita registros fechados que muestren que evaluó su postura de seguridad, identificó vulnerabilidades y tomó medidas de remediación. SeguriScan genera informes de escaneo con marca de tiempo con hallazgos puntuados por riesgo y estado de remediación que sirven como evidencia técnica de escaneo para este requisito. Estos informes también son la base técnica para una Evaluación de Impacto en la Protección de Datos (EIPD) bajo el Artículo 35, y pueden demostrar medidas de seguridad de buena fe ante una autoridad de supervisión en caso de investigación o brecha.