English
Español
Privacidad7 min lectura
RGPD en 2026: Las obligaciones que tu empresa no puede ignorar.
El contexto regulatorio de 2026
El RGPD ya tiene siete años de vigencia, pero las sanciones no han hecho más que crecer. En 2025, las autoridades europeas de protección de datos impusieron un récord histórico de multas. España, con la AEPD como watchdog, fue el cuarto país europeo con más resoluciones sancionadoras.
En 2026, el panorama se complica: la directiva NIS2 obliga a miles de empresas nuevas a implementar medidas de seguridad técnicas documentadas, y el AI Act introduce requisitos de transparencia para sistemas automatizados de toma de decisiones.
Obligaciones técnicas clave
Art.
25
Privacy by Design
Los sistemas deben diseñarse con privacidad desde el inicio. Minimización de datos, seudonimización y cifrado por defecto, no como añadido posterior.
Art.
32
Seguridad del tratamiento
Medidas técnicas y organizativas adecuadas: cifrado AES-256, pseudoanonimización, copias de seguridad cifradas y plan de continuidad de negocio.
Art.
33-34
Notificación de brechas
72 horas para notificar a la AEPD si hay riesgo para los derechos de los afectados. Si el riesgo es alto, comunicación directa a los afectados.
Art.
35
EIPD (DPIA)
Evaluación de Impacto obligatoria para tratamientos de alto riesgo: perfilado, biometría, datos de salud o vigilancia sistemática.
Técnica: Seudonimización con HMAC-SHA256
(Python)
La seudonimización correcta es una medida técnica reconocida explícitamente por el RGPD como reductora de riesgo.
# Pseudoanonimización RGPD Art. 25 (Python)
import hmac, hashlib, os
SALT = os.environ["GDPR_SALT"].encode()
def pseudonymize(identifier: str) -> str:
token = hmac.new(SALT, identifier.encode(), hashlib.sha256)
return token.hexdigest()[:16]
# Verificar cumplimiento
user_token = pseudonymize("usuario@empresa.com")
# Resultado: "a3f1c89b2d7e4f01" (no reversible sin SALT)
assert pseudonymize("otro@email.com") != user_token
"El cumplimiento normativo no es un proyecto puntual. Es un proceso continuo que debe estar integrado en el ciclo de vida del software."
Zenith — Primitive Labs
Checklist RGPD para equipos técnicos
- 01
Registro de actividades — Mantener un RAT actualizado con todos los tratamientos de datos, base legal y plazo de conservación.
- 02
Cifrado en reposo y tránsito — TLS 1.3 para comunicaciones. AES-256 para almacenamiento. Gestión segura de claves (KMS).
- 03
Gestión de consentimientos — CMP (Consent Management Platform) con registro de consentimiento y mecanismo de revocación efectivo.
- 04
Respuesta a derechos ARSOPLID — Procedimiento para atender derechos de acceso, rectificación, supresión, portabilidad en plazo de 30 días.
- 05
DPIA para IA — Si usas IA para toma de decisiones automatizadas, documenta el impacto y garantiza explicabilidad y revisión humana.
Etiquetas :
