Cumplimiento Normativo Las Palmas de Gran Canaria

La nueva Directiva NIS2 (Directiva (UE) 2022/2555), aplicable desde octubre de 2024, establece un conjunto de exigencias reforzadas en materia de ciberseguridad corporativa, entre las que destaca la formación obligatoria del personal como medida clave de prevención. Esta no es una recomendación general ni una acción puntual, sino una obligación legal que afecta directamente a las organizaciones consideradas entidades esenciales o importantes dentro del marco NIS2. La formación en ciberseguridad no solo debe existir: debe diseñarse, ejecutarse, registrarse y evaluarse de forma documentada, con una estructura adaptada al perfil de cada puesto y con una periodicidad coherente con los riesgos reales de la organización. En este artículo te contamos cómo cumplir con esta exigencia normativa, a quién va dirigida, qué contenidos mínimos debe incluir y cómo implantarla de forma eficaz y verificable, de acuerdo con las obligaciones establecidas en el servicio de NSI2. ¿Por qué es obligatoria la formación según la NIS2? La Directiva NIS2 reconoce que el factor humano es uno de los principales vectores de riesgo en ciberseguridad. Por ello, obliga a las entidades bajo su ámbito a garantizar que: Todo el personal tenga un nivel adecuado de concienciación y formación. Los miembros de la alta dirección comprendan sus responsabilidades y los riesgos asociados. Se disponga de un plan formativo documentado y actualizado, con cobertura suficiente y trazabilidad verificable. El artículo 21 de la directiva establece expresamente que las entidades deben adoptar medidas para formar y capacitar a su personal en materia de ciberseguridad, así como asegurar la actualización regular de dichos conocimientos. ¿A qué organizaciones afecta esta obligación? La NIS2 aplica a entidades públicas y privadas de sectores estratégicos, clasificadas como: Entidades esenciales: energía, transporte, salud, agua potable, infraestructuras digitales, banca, administración pública, etc. Entidades importantes: servicios TIC, proveedores digitales, manufactura crítica, alimentación, servicios postales, entre otros. Si tu organización pertenece a alguno de estos sectores y cumple con los criterios de tamaño o relevancia, estará obligada a implantar un programa formal y continuado de formación en ciberseguridad. ¿A quién debe dirigirse la formación en ciberseguridad? La formación obligatoria debe adaptarse al nivel de responsabilidad, acceso y exposición de cada grupo dentro de la organización. En términos prácticos, debe abarcar al menos los siguientes colectivos: 1. Alta dirección Incluye miembros del consejo, dirección general, comités ejecutivos y responsables de unidades de negocio. Deben conocer: Riesgos estratégicos y consecuencias legales del incumplimiento Responsabilidades de supervisión según NIS2 Implicaciones financieras y operativas de un ciberincidente Este grupo debe recibir formación específica y participativa, no solo divulgativa. 2. Personal técnico y administradores de sistemas Se trata del grupo con más implicación en la implementación de medidas de seguridad. Su formación debe cubrir: Gestión segura de accesos y contraseñas Configuración de redes y sistemas Protocolos de cifrado, backups y segmentación Monitorización, detección de amenazas e informes de eventos Debe incluir ejercicios prácticos y escenarios de simulación. 3. Personal general de oficina Aunque no tenga responsabilidades técnicas, este grupo representa un riesgo significativo por: Uso diario de correo electrónico, redes y dispositivos Acceso a datos sensibles o confidenciales Interacción con proveedores y clientes Su formación debe centrarse en hábitos seguros, prevención de errores humanos y detección de amenazas comunes como el phishing. 4. Personal externo o subcontratado con acceso a sistemas La NIS2 exige que también reciban formación los trabajadores externos que acceden a entornos internos o manipulan información crítica. Deben recibir formación equivalente al personal interno. ¿Cómo debe ser la formación para cumplir con la NIS2? 1. Formal, estructurada y continua No basta con una acción puntual o informal. La formación debe estar: Planificada anualmente Adaptada a los riesgos específicos de la organización Documentada y trazable Cada sesión, curso o taller debe tener objetivos claros, contenidos definidos, fechas, responsables y resultados evaluables. 2. Adaptada al perfil del usuario El contenido debe variar según el puesto, acceso a información, rol y nivel de responsabilidad. No se puede aplicar una misma sesión para toda la plantilla sin distinciones. Por ejemplo: Dirección: formación estratégica y normativa. Técnicos: formación operativa, técnica y de gestión de incidentes. Usuarios finales: formación práctica y preventiva. 3. Evaluada y actualizada Deben realizarse evaluaciones de aprovechamiento o cuestionarios para comprobar la eficacia. Además: La formación debe actualizarse ante cambios tecnológicos o normativos. Se debe mantener un registro individualizado por empleado. 4. Con trazabilidad documental Es obligatorio conservar: Calendario de formación Contenidos impartidos Asistencia de cada empleado Evaluaciones realizadas Esta documentación será requerida por las autoridades nacionales de supervisión en caso de inspección o incidente. ¿Con qué frecuencia debe impartirse la formación? Aunque la NIS2 no establece una periodicidad exacta, se espera que: Todos los empleados reciban formación al menos una vez al año Los nuevos empleados la reciban antes o al inicio de su actividad Se realicen refuerzos formativos tras incidentes o auditorías También es recomendable que exista una formación continua mediante microcápsulas, campañas internas o simulaciones periódicas, especialmente en áreas críticas. Contenidos mínimos recomendados según el perfil A continuación, se resumen algunos de los contenidos imprescindibles por tipo de usuario: Para todo el personal Qué es la ciberseguridad y por qué importa Buenas prácticas de uso de dispositivos Riesgos del correo electrónico y navegación Gestión de contraseñas Cómo actuar ante incidentes sospechosos Para directivos Marco legal de la NIS2 Obligaciones y sanciones Ciberseguridad como responsabilidad estratégica Comunicación de incidentes Coordinación con el DPO y el CISO Para técnicos Configuración segura de redes y sistemas Protección de endpoints y servidores Gestión de vulnerabilidades Monitorización e informes SIEM Respuesta ante ciberincidentes ¿Qué pasa si no se imparte esta formación? El incumplimiento de esta obligación puede suponer: Sanciones administrativas de hasta 10 millones de euros o el 2 % del volumen de negocio anual global. Consideración agravante en caso de incidentes. Pérdida de confianza por parte de clientes y organismos reguladores. Daño reputacional interno y externo. Recomendaciones obligatorias o restricciones por parte de la autoridad competente. Además, ante una inspección o auditoría, la ausencia de documentación acreditativa de la formación será un indicio directo de incumplimiento estructural. Cómo implantar un plan formativo

La evaluación de la cadena de suministro es uno de los ejes centrales de la nueva Directiva NIS2, que establece obligaciones reforzadas de ciberseguridad para entidades consideradas esenciales o importantes en sectores estratégicos. Con un enfoque claro hacia la resiliencia operativa, la NIS2 impone a las organizaciones la responsabilidad de identificar, evaluar y controlar los riesgos que puedan surgir no solo de su actividad directa, sino también de todos los agentes de su cadena de suministro y servicios digitales. Esta exigencia marca un cambio de paradigma: ya no es suficiente proteger el perímetro interno. Ahora, el cumplimiento normativo requiere que las empresas adopten una visión integral que abarque a proveedores, socios tecnológicos, subcontratistas y terceros con acceso a sus sistemas o información crítica. Comprender y aplicar correctamente los controles, evaluaciones de riesgos y documentación exigida es esencial para evitar sanciones, interrupciones operativas y daños reputacionales. A lo largo de este artículo verás cómo adaptar tu organización a estas obligaciones, con una estrategia basada en cumplimiento técnico, jurídico y organizativo, estructurada conforme al servicio de NSI2. ¿Por qué la NIS2 refuerza el control sobre la cadena de suministro? La experiencia acumulada por los Estados miembros y las autoridades de ciberseguridad ha demostrado que los ataques más destructivos a infraestructuras críticas no se originan en las propias organizaciones, sino en sus entornos externos: Proveedores de software comprometidos (ataques tipo SolarWinds) Subcontratistas con sistemas obsoletos Servicios de mantenimiento con privilegios de acceso no controlados Integraciones tecnológicas mal protegidas La NIS2, aplicable desde octubre de 2024, obliga a las entidades cubiertas por su ámbito a implantar mecanismos eficaces para evaluar la ciberseguridad de su cadena de suministro de forma continua. ¿A qué empresas afecta esta obligación? La Directiva distingue entre entidades esenciales (energía, transporte, sanidad, financiero, etc.) e importantes (gestión TIC, servicios digitales, producción industrial, entre otras). Si tu organización forma parte de alguno de estos sectores y supera ciertos umbrales de tamaño o actividad, deberá: Realizar análisis de riesgo periódicos de la cadena de suministro. Exigir medidas concretas de seguridad a sus proveedores. Documentar y auditar estas actividades de forma verificable. Controles clave que exige la NIS2 sobre la cadena de suministro A continuación te contamos qué controles y procedimientos deben incorporarse al plan de cumplimiento: 1. Identificación y categorización de proveedores Es fundamental elaborar un mapa detallado de proveedores con criterios de riesgo. Para ello, se debe: Clasificar proveedores por nivel de acceso a sistemas o datos. Diferenciar entre proveedores críticos y auxiliares. Documentar los servicios prestados y los canales de integración tecnológica. Este análisis debe revisarse periódicamente, especialmente cuando cambian servicios, contratos o condiciones técnicas. 2. Evaluación de riesgos por proveedor Cada proveedor relevante debe ser evaluado individualmente según: Naturaleza del servicio prestado (infraestructura, software, mantenimiento) Grado de dependencia operativa Nivel de acceso físico o lógico Historial de cumplimiento y ciberincidentes previos La evaluación de riesgos no debe limitarse a la firma del contrato: debe actualizarse cuando haya cambios significativos o detección de vulnerabilidades. 3. Requisitos de ciberseguridad contractuales La NIS2 exige que se impongan contractualmente obligaciones de seguridad a terceros, incluyendo: Medidas técnicas mínimas exigidas (firewalls, cifrado, autenticación fuerte) Procedimientos de notificación de incidentes Auditorías y derecho de supervisión Protocolos de respuesta ante brechas de seguridad La documentación contractual debe estar disponible para inspección por parte de las autoridades competentes. 4. Supervisión continua y auditoría No basta con establecer controles iniciales. Las organizaciones deben: Supervisar de forma periódica el cumplimiento efectivo de los proveedores. Realizar auditorías (internas o externas) a los procesos críticos externalizados. Definir indicadores clave de cumplimiento y umbrales de alerta. Además, deben estar preparados para justificar ante la autoridad de supervisión que han adoptado un enfoque activo y no pasivo respecto a su cadena de suministro. Documentación obligatoria para cumplir con la NIS2 La trazabilidad documental es uno de los pilares del cumplimiento. La entidad debe mantener y actualizar al menos los siguientes registros: a) Registro de proveedores clasificados por criticidad Debe incluir: Nombre, servicio prestado, acceso concedido Nivel de riesgo asignado Evaluaciones realizadas b) Informes de evaluación de riesgos Cada proveedor debe tener un informe documentado que recoja: Amenazas identificadas Medidas implementadas Riesgos residuales aceptados c) Contratos y anexos de seguridad Es obligatorio conservar: Contratos actualizados con cláusulas de seguridad específicas Anexos técnicos con compromisos verificables Evidencias de aceptación por parte del proveedor d) Informes de supervisión o auditoría Deben recogerse: Revisiones periódicas (internas o por terceros) No conformidades detectadas Planes de acción correctiva y seguimiento Todo este material debe estar disponible ante posibles inspecciones de la autoridad nacional de ciberseguridad competente. Consecuencias del incumplimiento Las entidades que no cumplan con los controles sobre la cadena de suministro podrán enfrentar: Sanciones económicas proporcionales al volumen de negocio (hasta 10 millones de euros o el 2% del volumen global anual) Órdenes de suspensión de contratos o cese de actividades Pérdida de certificaciones o acreditaciones sectoriales Daños reputacionales y pérdida de confianza del mercado Además, en caso de incidentes graves, la falta de control sobre proveedores puede considerarse agravante. Cómo aplicar una estrategia eficaz de cumplimiento Una correcta evaluación de la cadena de suministro según la NIS2 requiere una estrategia integral que combine: Supervisión legal: revisión de contratos, bases jurídicas y responsabilidad compartida. Enfoque técnico: control de accesos, protección de datos, segregación de entornos. Gobernanza organizativa: políticas internas, formación del personal y cultura de seguridad. La clave está en entender que la ciberseguridad no se delega, incluso cuando se externalizan funciones. El responsable último siempre es la entidad que presta el servicio o gestiona el sistema. Audidat, tu socio para cumplir la NIS2 en toda la cadena de valor En Audidat, te ayudamos a cumplir los requisitos de la Directiva NIS2 con una solución integral, profesional y adaptada a tus procesos. Evaluamos tu cadena de suministro, redactamos la documentación necesaria y definimos los controles técnicos y organizativos exigidos. Si tu organización forma parte del marco NIS2 o colabora con entidades reguladas, contáctanos para implementar una estrategia de cumplimiento segura, eficaz y sin compromiso. Descubre cómo afrontamos contigo

En el entorno escolar, la protección de datos personales adquiere una dimensión crítica cuando se trata de menores de edad. Desde la matriculación hasta la participación en actividades extracurriculares, los centros educativos recopilan y gestionan diariamente información personal de alumnos, padres, tutores legales y personal docente. Esta realidad convierte a los colegios e institutos en responsables de un volumen considerable de datos sensibles cuya gestión debe ajustarse de forma estricta al Reglamento General de Protección de Datos (RGPD). El cumplimiento en este ámbito no es solo una exigencia normativa, sino una responsabilidad ética hacia las familias y los propios alumnos. Los errores o negligencias en el tratamiento de datos de menores pueden derivar en sanciones económicas, pero también en daños irreversibles para la confianza institucional. Por ello, es imprescindible establecer un sistema de Protección de datos adaptado al contexto educativo, sólido en su diseño y eficaz en su aplicación diaria. ¿Por qué es especialmente delicado el tratamiento de datos de menores? El RGPD reconoce a los menores como un colectivo particularmente vulnerable, por lo que su protección debe reforzarse mediante medidas específicas. La normativa establece que: Los menores no siempre comprenden las implicaciones del tratamiento de sus datos. El consentimiento para tratamientos no necesarios (como publicaciones o redes sociales) debe ser prestado por el titular de la patria potestad o tutor legal, en el caso de menores de 14 años en España. Los centros deben aplicar el principio de minimización, tratando solo los datos imprescindibles para su actividad docente o administrativa. La complejidad aumenta cuando intervienen aplicaciones tecnológicas, plataformas educativas externas o colaboraciones con entidades culturales, deportivas o sanitarias. ¿Qué tratamientos de datos se realizan en los centros educativos? A lo largo del curso escolar, los centros manejan distintos tipos de datos personales: Datos identificativos (nombre, DNI, domicilio, foto) Datos académicos (calificaciones, observaciones, informes) Datos de salud (alergias, necesidades especiales, informes médicos) Datos biométricos (huella para control de acceso o comedor) Imágenes y voz (fotografías, vídeos, grabaciones de actos escolares) Datos de padres y tutores (contacto, situación familiar, profesión) La correcta gestión de esta información es clave para cumplir el RGPD y evitar conflictos con las familias o con la Agencia Española de Protección de Datos (AEPD). Cómo cumplir el RGPD en centros educativos: guía práctica 1. Identificar los tratamientos y elaborar el registro de actividades El primer paso es identificar todos los procesos en los que se tratan datos personales y documentarlos en el registro de actividades de tratamiento. Algunos ejemplos: Matriculación y gestión académica Administración de comedores escolares Actividades extraescolares y salidas escolares Uso de plataformas educativas Publicación de imágenes en redes sociales o boletines El DPO debe supervisar este inventario y verificar que cada tratamiento tiene una finalidad clara, una base jurídica válida y medidas de seguridad adecuadas. 2. Informar adecuadamente a las familias Uno de los principios fundamentales del RGPD es la transparencia. Las familias deben recibir, en el momento de la matriculación o cuando se recojan nuevos datos, información clara sobre: Qué datos se recogen Para qué se usarán Quién es el responsable del tratamiento Cuáles son sus derechos Cómo pueden ejercerlos Esta información debe estar redactada en un lenguaje claro y accesible. No basta con una mención genérica al “cumplimiento de la ley”. 3. Consentimientos informados y diferenciados Cuando el tratamiento no se base en una obligación legal ni contractual, será necesario obtener el consentimiento expreso de los padres o tutores legales. Esto incluye, por ejemplo: Publicación de fotos o vídeos de actividades escolares Uso del nombre o imagen del menor en redes sociales o medios externos Participación en encuestas, concursos o eventos externos El consentimiento debe: Ser libre, específico, informado e inequívoco Recogerse por medios verificables (firma escrita o validación digital) Poder ser retirado en cualquier momento Es muy importante que cada consentimiento sea independiente y no se condicione la prestación del servicio educativo a su aceptación. 4. Control de acceso y medidas de seguridad Los centros deben implementar medidas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales. Algunas buenas prácticas incluyen: Controlar el acceso a la información solo al personal autorizado Cifrar o seudonimizar los datos más sensibles Establecer políticas de contraseñas robustas y renovables Realizar copias de seguridad periódicas Evitar el uso de dispositivos personales no autorizados Estas medidas deben estar recogidas en el plan de Protección de datos, con procedimientos claros para prevenir, detectar y responder ante posibles incidentes. 5. Evaluación de impacto en determinados tratamientos Si el centro utiliza tecnologías nuevas o tratamientos de alto riesgo —como el reconocimiento facial, el uso de datos biométricos o sistemas de vigilancia—, deberá realizar una Evaluación de Impacto en Protección de Datos (EIPD) antes de su implantación. El Delegado de Protección de Datos debe: Evaluar los riesgos potenciales Proponer medidas para mitigarlos Documentar el análisis Este paso es obligatorio y omitirlo puede conllevar sanciones. 6. Relación con proveedores y plataformas externas Muchos centros utilizan plataformas de gestión académica, aplicaciones educativas o servicios de mensajería. En estos casos, el centro educativo es responsable del tratamiento y debe: Firmar contratos conforme al art. 28 del RGPD con cada proveedor Verificar que aplican medidas de seguridad adecuadas Comprobar si existen transferencias internacionales de datos El uso de herramientas sin supervisión ni garantías adecuadas representa uno de los riesgos más habituales. 7. Formación del personal educativo y administrativo Todos los miembros del personal deben estar formados en los principios del RGPD y saber cómo actuar ante: Solicitudes de derechos por parte de familias Brechas de seguridad (por ejemplo, envío erróneo de boletines) Consultas sobre uso de imágenes, datos de salud o convivencia La cultura de protección de datos debe integrarse en la gestión del centro, no quedar relegada al ámbito técnico o legal. ¿Qué errores se cometen con mayor frecuencia? Algunas prácticas comunes que vulneran el RGPD en entornos escolares incluyen: Publicar imágenes de menores sin consentimiento en redes sociales Enviar comunicaciones con datos visibles de varios alumnos (por ejemplo, usando “CC” en lugar de “CCO” en correos electrónicos) Compartir datos de

En el día a día de cualquier empresa, los procesos contables, fiscales y societarios requieren el tratamiento constante de datos personales. Estos procedimientos no solo manejan información sensible sobre empleados, clientes, proveedores y socios, sino que también están sujetos a múltiples obligaciones legales y regulatorias. En este contexto, la figura del Delegado de Protección de Datos (DPO) adquiere un papel fundamental para asegurar que dicho tratamiento se lleve a cabo de forma lícita, transparente y segura. El riesgo de exposición, las responsabilidades por parte del responsable del tratamiento y la presión normativa exigen una supervisión activa y estratégica por parte del DPO. Su intervención no debe limitarse a un asesoramiento puntual, sino extenderse a la revisión estructural de los flujos de datos en estos procesos clave para el funcionamiento organizativo. Contar con un sistema de Protección de datos bien definido y permanentemente actualizado es imprescindible para garantizar que la empresa actúa conforme al Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD), especialmente cuando se trata de ámbitos tan transversales como los contables, fiscales y societarios. ¿Por qué estos procesos requieren una especial atención? Los procesos contables, fiscales y societarios implican: Acceso a información identificativa y económica. Tratamiento de datos personales en nóminas, facturación, declaraciones tributarias y documentación mercantil. Conservación de datos durante largos periodos de tiempo, por exigencia legal. Cesión frecuente a terceros, como asesores, gestorías, bancos o Administraciones Públicas. Además, suelen gestionarse mediante herramientas tecnológicas que, si no están correctamente configuradas, pueden generar riesgos importantes para la seguridad y la confidencialidad de los datos. Supervisión del DPO en procesos contables En este ámbito, el DPO debe prestar especial atención a: 1. Gestión de nóminas y pagos Incluye datos personales, bancarios, fiscales y de Seguridad Social. El DPO debe verificar: Que se recogen solo los datos estrictamente necesarios. Que se informa correctamente al trabajador sobre el tratamiento. Que los encargados del tratamiento (asesorías externas, gestorías) cumplen con el RGPD y tienen contratos adecuados. 2. Registro contable de operaciones Cuando en la contabilidad figuran datos de personas físicas (por ejemplo, proveedores autónomos o clientes), el DPO debe garantizar que: Existan cláusulas informativas en los contratos y facturas. Se limite el acceso a personal autorizado. Se conserven los documentos solo por el tiempo legalmente establecido. 3. Seguridad documental El tratamiento contable implica una importante gestión de documentación física y digital. El DPO supervisa que: Existan protocolos de archivo, acceso y destrucción segura. Se eviten errores comunes como enviar nóminas a correos incorrectos. Se cifren los documentos que contengan información sensible. Supervisión del DPO en procesos fiscales Las obligaciones tributarias suponen la comunicación constante de datos personales a la Agencia Tributaria y otros organismos públicos. Las principales áreas de intervención del DPO son: 1. Declaraciones tributarias y modelos fiscales El DPO debe garantizar que: Se comunique a los interesados que sus datos serán enviados a la AEAT. Los formularios se gestionen en entornos seguros. Se conserven las declaraciones el tiempo que marca la normativa fiscal, pero no más allá. 2. Cesiones de datos y confidencialidad En procesos como la aplicación de retenciones o la declaración de operaciones con terceros, los datos personales pueden ser compartidos con varios actores. El DPO debe: Verificar que dichas cesiones se ajustan a una base legal válida. Comprobar que se identifican correctamente como cesiones en los registros de tratamiento. Revisar las cláusulas de confidencialidad y contratos con terceros. 3. Evaluación del riesgo en aplicaciones fiscales Si la empresa utiliza software de gestión tributaria en la nube o comparte datos a través de plataformas externas, el DPO debe evaluar: Las medidas técnicas implementadas. La existencia de transferencias internacionales. El cumplimiento del proveedor con el RGPD. Estos controles forman parte esencial del sistema de Protección de datos y deben estar documentados para su auditoría. Supervisión del DPO en procesos societarios La gestión societaria también implica tratamiento de datos personales, especialmente de socios, accionistas, miembros del órgano de administración y representantes legales. Las funciones del DPO en este ámbito incluyen: 1. Redacción y firma de actas y contratos El DPO debe revisar que los documentos societarios contengan solo los datos estrictamente necesarios y que: Se evite incluir información personal no relevante. Los documentos estén protegidos contra accesos no autorizados. Existan registros adecuados de conservación y eliminación. 2. Convocatorias y juntas de socios Al organizar juntas o asambleas, se suele tratar información personal en las convocatorias, listas de asistencia o delegaciones de voto. El DPO debe: Verificar que la convocatoria incluye la información legal mínima. Comprobar que se respetan los derechos de privacidad de los socios. Supervisar que no se publiquen datos personales innecesarios en el tablón o página web. 3. Gestión de libros societarios Ya sea en formato físico o electrónico, los libros societarios contienen datos personales protegidos. El DPO debe revisar que: El acceso esté restringido y controlado. Se eviten filtraciones mediante sistemas de cifrado o auditoría. Se cumpla con el plazo legal de conservación y se destruya correctamente lo que ya no sea necesario. Funciones transversales del DPO en estos procesos Más allá del contenido específico de cada proceso, el DPO debe desarrollar una supervisión estructural que abarque: Revisión periódica de los registros de actividades de tratamiento. Evaluación de la necesidad de realizar una EIPD, en caso de automatización de estos procesos o incorporación de nuevas tecnologías. Validación de bases jurídicas: el DPO debe confirmar que el tratamiento se fundamenta en la ejecución de una obligación legal o contractual. Supervisión del cumplimiento de los derechos de los interesados, especialmente cuando solicitan acceso o supresión de documentos contables o fiscales. Participación en auditorías internas o externas para valorar el grado de cumplimiento. Además, debe actuar como interlocutor ante la AEPD si se produce una brecha de seguridad o se inicia un procedimiento de investigación. Principales riesgos del incumplimiento en estas áreas No integrar al DPO en los procesos contables, fiscales y societarios puede derivar en: Sanciones por parte de la AEPD por falta de medidas adecuadas. Reclamaciones de los interesados, especialmente trabajadores y socios.

La actividad de una correduría de seguros se basa en el análisis y la gestión de grandes volúmenes de datos personales de clientes, aseguradoras y terceros. Estos datos incluyen, entre otros, información identificativa, económica, familiar y, en muchos casos, datos especialmente protegidos como los relativos a la salud. En este contexto, la figura del Delegado de Protección de Datos (DPO) se convierte en un elemento esencial para garantizar la legalidad, seguridad y transparencia en el tratamiento de la información. Lejos de ser un mero requisito formal, el DPO desempeña un papel estratégico que requiere competencias legales, organizativas y comunicativas, especialmente en entornos como las corredurías, donde el tratamiento intensivo y continuo de datos es parte estructural del modelo de negocio. Desde el inicio de la actividad hasta la resolución de siniestros, el DPO debe participar activamente en la evaluación, supervisión y mejora del cumplimiento normativo en materia de privacidad. Esta labor forma parte de un sistema de Protección de datos sólido y actualizado, imprescindible en un entorno tan regulado como el asegurador. ¿Por qué es obligatorio designar un DPO en una correduría? El Reglamento General de Protección de Datos (RGPD) establece la obligación de designar un DPO cuando el tratamiento de datos se realiza a gran escala, de forma sistemática o sobre categorías especiales de datos. En el caso de las corredurías: Se tratan datos personales de miles de clientes. Se realizan evaluaciones sistemáticas de riesgos asegurables. Se accede con frecuencia a datos sensibles (salud, discapacidad, accidentes, etc.). Estas características hacen que la designación de un DPO no sea solo recomendable, sino obligatoria en la mayoría de los casos. Funciones clave del DPO en corredurías de seguros El artículo 39 del RGPD establece las funciones mínimas que debe cumplir un DPO, pero en la práctica, su rol en una correduría debe adaptarse a las particularidades del negocio asegurador. A continuación, te explicamos en detalle las principales responsabilidades que debe asumir: 1. Informar y asesorar al responsable o encargado El DPO debe: Orientar al personal sobre sus obligaciones en protección de datos. Aconsejar sobre la elección de bases jurídicas para cada tratamiento. Supervisar la inclusión de cláusulas de privacidad adecuadas en contratos, formularios y comunicaciones. Esta función exige una comunicación constante con los departamentos de atención al cliente, marketing, siniestros y administración. 2. Supervisar el cumplimiento normativo Incluye la revisión periódica de: Registros de actividades de tratamiento: deben estar actualizados y adaptados a cada flujo de datos (cotizaciones, contratación, gestión de siniestros, reclamaciones). Políticas de privacidad: redactadas en lenguaje claro, comprensible y adaptado al canal (presencial, online, telefónico). Consentimientos recogidos: especialmente para finalidades comerciales o tratamientos no necesarios para la relación contractual. 3. Asesorar sobre Evaluaciones de Impacto (EIPD) Cuando se implanten nuevos procesos digitales (como plataformas de cotización automática) o herramientas de análisis de riesgo personal, el DPO debe: Determinar si es necesaria una EIPD. Participar activamente en su elaboración. Recomendar medidas para mitigar riesgos identificados. Esto es fundamental en corredurías que aplican inteligencia artificial o big data para personalizar ofertas. 4. Cooperar con la AEPD En caso de inspección, consulta o notificación de brechas de seguridad, el DPO actúa como punto de contacto entre la correduría y la Agencia Española de Protección de Datos. Esta función requiere: Dominio técnico de la documentación exigida. Capacidad de respuesta ágil ante requerimientos. Conocimiento profundo de los tratamientos realizados por la organización. 5. Controlar la gestión de derechos de los interesados El DPO debe establecer procedimientos eficaces para: Recibir y responder solicitudes de acceso, rectificación, supresión, oposición o limitación. Asegurar los plazos legales de respuesta (máx. 1 mes). Registrar todas las solicitudes y su resolución. Este punto es especialmente delicado en casos de discrepancias sobre indemnizaciones o información compartida con aseguradoras. Ámbitos específicos en los que el DPO debe intervenir Contratación de pólizas El DPO debe verificar que solo se soliciten datos necesarios y proporcionales a la finalidad del seguro, evitando formularios excesivos o intrusivos. Emisión de comunicaciones comerciales Si se envían ofertas de seguros o renovaciones por email, SMS o teléfono, el DPO debe: Validar el consentimiento o base jurídica aplicable. Revisar los textos informativos de las campañas. Comprobar la existencia de sistemas de oposición y baja. Relación con aseguradoras y otros terceros En muchos casos, la correduría actúa como intermediaria entre el cliente y distintas aseguradoras. El DPO debe revisar que: Existan acuerdos de corresponsabilidad o contratos de encargo según el rol de cada parte. Se limite la cesión de datos a lo estrictamente necesario. Se mantenga una trazabilidad clara del flujo de información. Estas relaciones deben documentarse en el sistema de Protección de datos, incluyendo transferencias internacionales si las hubiera. Formación del personal Todo el equipo, desde agentes comerciales hasta administrativos, debe estar formado en protección de datos. El DPO es responsable de: Definir el plan formativo anual. Evaluar el nivel de cumplimiento. Resolver dudas y casos prácticos del día a día. Requisitos del DPO en el sector asegurador Para desempeñar su función con solvencia, el DPO en una correduría debe contar con: Conocimientos jurídicos actualizados en RGPD, LOPDGDD y normativa aseguradora. Conocimiento funcional del negocio asegurador, incluyendo tipología de productos, flujos de trabajo y riesgos específicos. Habilidades de comunicación para trasladar obligaciones legales a un lenguaje operativo. Además, debe actuar con independencia, sin recibir instrucciones ni sufrir conflictos de interés. Riesgos del incumplimiento o de una función deficiente del DPO Cuando la figura del DPO es puramente simbólica o sus funciones no se ejercen de forma real, la correduría se expone a: Sanciones por parte de la AEPD (hasta 20 millones de euros o el 4 % de la facturación anual). Reclamaciones de clientes por mala gestión de sus datos. Pérdida de reputación y confianza en el servicio ofrecido. Bloqueo de actividades promocionales o digitales por falta de evaluación previa. Por tanto, la supervisión efectiva del DPO debe ser parte inherente del sistema de cumplimiento. Buenas prácticas para integrar al DPO en la correduría Incluir al DPO desde el diseño de cualquier nuevo proceso. Dar acceso al DPO a

Los procesos de contratación financiera implican el tratamiento masivo de datos personales sensibles. Tanto si hablamos de la concesión de créditos, la apertura de cuentas, la contratación de seguros o cualquier otro producto financiero, las entidades recopilan y gestionan datos que van desde la identidad y el domicilio hasta información económica y, en ocasiones, de salud. Esta realidad hace imprescindible establecer medidas rigurosas para garantizar la privacidad y el cumplimiento legal. La protección de datos en este contexto no es solo una obligación normativa, sino una cuestión estratégica que impacta en la confianza del cliente, la reputación de la entidad y la seguridad operativa. Errores en este ámbito pueden derivar en sanciones cuantiosas y pérdidas de credibilidad difíciles de recuperar. Uno de los pilares de cumplimiento en este tipo de operaciones es el marco de Protección de datos, que proporciona la estructura y las herramientas necesarias para tratar la información personal conforme al Reglamento General de Protección de Datos (RGPD) y otras normativas aplicables del sector financiero. Riesgos en la contratación financiera: ¿por qué es crucial la protección de datos? Los procesos de contratación en entidades bancarias, aseguradoras, fintechs o plataformas de crédito implican, por su propia naturaleza, altos niveles de exposición al tratamiento de datos personales. Algunos riesgos frecuentes incluyen: Robo de identidad Filtraciones por brechas de seguridad Uso no autorizado o indebido de información económica Cesiones ilegales de datos a terceros Evaluaciones automatizadas sin transparencia ni garantías Estas situaciones no solo afectan a los derechos de los interesados, sino que pueden derivar en responsabilidades administrativas y judiciales. Además, en un entorno cada vez más digitalizado, el volumen de datos tratados aumenta exponencialmente, lo que eleva la complejidad de su gestión y protección. Fundamentos legales del tratamiento de datos en el sector financiero Según el RGPD, toda actividad de tratamiento debe basarse en una base jurídica válida, respetar los principios de minimización, exactitud, limitación del plazo de conservación, integridad y confidencialidad. En los procesos de contratación financiera, las bases más habituales son: Ejecución de un contrato: cuando el tratamiento es necesario para formalizar una relación contractual. Obligación legal: por normativa contable, fiscal, prevención del blanqueo de capitales, etc. Interés legítimo: por ejemplo, en el caso de controles de solvencia previos a la concesión de crédito. El consentimiento solo será requerido en circunstancias específicas, como en el uso de datos para finalidades comerciales no relacionadas directamente con la contratación. Claves para proteger los datos personales durante la contratación financiera Te contamos cómo garantizar una gestión segura y conforme a la normativa en todas las fases del proceso: 1. Información clara y accesible Uno de los principios básicos del RGPD es la transparencia. Antes de recabar cualquier dato, las entidades deben proporcionar al cliente información clara sobre: Finalidades del tratamiento Responsable y DPO Base jurídica Destinatarios y transferencias internacionales Derechos del interesado Plazos de conservación Esta información debe estar disponible de forma comprensible y sin lenguaje técnico excesivo. 2. Registro de actividades y análisis de riesgos Toda organización financiera debe contar con un registro de actividades de tratamiento que documente los procesos de contratación, junto con un análisis de riesgos que identifique posibles amenazas para los derechos de los interesados. Cuando el tratamiento entrañe un alto riesgo, se requiere una Evaluación de Impacto en Protección de Datos (EIPD). 3. Seguridad desde el diseño y por defecto Aplicar el principio de “privacy by design and by default” implica: Recoger solo los datos estrictamente necesarios Incorporar medidas técnicas desde el inicio del proceso (por ejemplo, cifrado o seudonimización) Limitar el acceso solo a personal autorizado Definir políticas claras de conservación y eliminación 4. Verificación de proveedores y encargados del tratamiento Las entidades financieras suelen apoyarse en terceros para gestionar determinados procesos, como la verificación de identidad, la evaluación de riesgos o la digitalización documental. Es esencial: Firmar contratos conforme al art. 28 del RGPD Evaluar las medidas técnicas y organizativas del proveedor Supervisar regularmente el cumplimiento Estas tareas forman parte esencial del sistema de Protección de datos y deben estar centralizadas por el responsable de tratamiento con el asesoramiento del DPO. 5. Prevención de brechas de seguridad La protección efectiva exige la implementación de un plan de gestión de incidentes que permita: Detectar brechas con rapidez Evaluar su impacto real Notificar a la AEPD y a los afectados si es necesario Documentar el proceso para auditoría En este sentido, la formación periódica del personal es clave para minimizar errores humanos, una de las principales causas de incidentes de seguridad en este ámbito. 6. Protección frente a decisiones automatizadas Muchas plataformas financieras utilizan algoritmos para evaluar la solvencia de los clientes. El RGPD exige: Informar al cliente si se toma una decisión automatizada sin intervención humana significativa Permitirle impugnar la decisión Ofrecer una explicación comprensible del criterio aplicado Ignorar esta obligación puede considerarse una infracción grave del principio de transparencia. Errores comunes en la protección de datos en contratación financiera Entre las prácticas que más frecuentemente vulneran el RGPD destacan: Uso genérico de cláusulas informativas sin adaptar a cada producto Solicitud excesiva de datos no necesarios para la finalidad Ausencia de medidas de cifrado o control de accesos Cesión de datos a terceros sin base legal ni contrato adecuado Eliminación incorrecta de documentos y contratos vencidos Corregir estas deficiencias requiere una revisión integral del sistema de cumplimiento, que debe gestionarse de forma continuada y estratégica. Casos reales: consecuencias del incumplimiento Multas por cláusulas opacas: varias entidades han sido sancionadas por la AEPD por no informar correctamente sobre la base jurídica y finalidades del tratamiento en sus procesos de contratación online. Brechas por errores humanos: la exposición de contratos por envío erróneo de emails ha generado sanciones por no aplicar medidas preventivas adecuadas. Transferencias sin garantías: algunas entidades han sido objeto de investigación por transferir datos a países sin nivel adecuado de protección, sin aplicar cláusulas contractuales tipo. Estos ejemplos demuestran que no se trata de una cuestión menor o hipotética, sino de una realidad regulada y fiscalizada activamente por las autoridades. Soluciones aplicables