El RGPD para equipos de TI y proveedores de servicios gestionados (MSP): lo que hay que saber y hacer

El cumplimiento del RGPD ya no es un riesgo teórico. Las autoridades europeas de protección de datos impusieron multas por valor de más de 1.200 millones de euros solo en 2025, y la categoría más común de infracción fue la de medidas de seguridad técnicas y organizativas insuficientes, precisamente lo que el artículo 32 del reglamento exige que implementen los equipos de TI y los MSP. El total acumulado de multas desde 2018 ha superado ya los 7.100 millones de euros, según el análisis del GDPR Enforcement Tracker publicado a principios de 2026.

Para los profesionales de TI y los proveedores de servicios gestionados (MSP) que prestan servicio a clientes de la UE o del Reino Unido, el RGPD es un requisito operativo que forma parte integrante de la gestión de TI, y no una mera cuestión jurídica o de cumplimiento normativo. La plataforma de Kaseya es utilizada por más de 50 000 MSP y equipos de TI en todo el mundo, muchos de los cuales se enfrentan precisamente a estas obligaciones para múltiples clientes al mismo tiempo; esta guía se basa en esa experiencia operativa para abordar lo que realmente importa en la práctica.

Esta guía se centra en los requisitos de seguridad técnicos y organizativos, las obligaciones de notificación de violaciones de seguridad y las funciones relacionadas con el tratamiento de datos que hacen del RGPD una auténtica preocupación para la gestión de las tecnologías de la información.

Qué es el RGPD y a quién se aplica

El Reglamento General de Protección de Datos (UE 2016/679) regula la forma en que se recogen, tratan, almacenan y transfieren los datos personales de los ciudadanos de la UE y del Espacio Económico Europeo (EEE). El RGPD del Reino Unido, que se ha mantenido y adaptado tras el Brexit, aplica un conjunto de requisitos prácticamente equivalentes para el tratamiento de datos en el Reino Unido, siendo la ICO la autoridad de control.

El concepto de «datos personales» en el marco del RGPD es más amplio de lo que la mayoría de los equipos de TI suelen suponer en un principio. Las direcciones IP, los identificadores de dispositivos, las direcciones de correo electrónico y los registros técnicos pueden constituir datos personales si pueden vincularse a una persona física. El reglamento se aplica a cualquier operación realizada con dichos datos, incluyendo la recogida, el almacenamiento, la consulta, el uso, la transmisión y la supresión.

El RGPD se aplica a las organizaciones establecidas en la UE/EEE, independientemente de la ubicación de los interesados, así como a las organizaciones fuera de la UE/EEE que ofrezcan bienes o servicios a personas físicas en la UE/EEE o que realicen un seguimiento de su comportamiento. No existe un umbral mínimo de tamaño. Una empresa unipersonal que trate datos personales de ciudadanos de la UE tiene las mismas obligaciones que una multinacional.

Para las empresas tecnológicas B2B, los proveedores de SaaS y los MSP con clientes en la UE o el Reino Unido, es casi seguro que se les aplica el RGPD.

Artículo 32: el requisito de seguridad informática como elemento central del RGPD

El artículo 32 es donde el RGPD se convierte en un requisito de gestión de las tecnologías de la información. En él se exige que los responsables y los encargados del tratamiento apliquen las medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad acorde con el riesgo. El reglamento especifica cuatro categorías de medidas:

Seudonimización y cifrado. Los datos personales deben protegerse tanto en reposo como en tránsito. La implementación práctica consiste en el cifrado en los dispositivos finales y en las copias de seguridad, combinado con controles de acceso que restrinjan quién puede ver los datos sin cifrar.

Confidencialidad, integridad, disponibilidad y resiliencia. Los sistemas de procesamiento deben ser capaces de mantener estas propiedades de forma continua. Esto se traduce directamente en la detección y respuesta en los puntos finales (EDR) en lo que respecta a la confidencialidad y la integridad, y en las copias de seguridad y la recuperación ante desastres en lo que respecta a la disponibilidad y la resiliencia. No se trata de productos de seguridad independientes añadidos a un programa de cumplimiento del RGPD. Son el programa de cumplimiento del RGPD.

Restablecimiento oportuno de la disponibilidad. Tras un incidente físico o técnico, las organizaciones deben ser capaces de restablecer el acceso a los datos personales de manera oportuna. El objetivo de tiempo de recuperación (RTO) es un requisito del RGPD, no solo una preferencia operativa. Un proveedor de servicios gestionados (MSP) que gestione datos de clientes y no pueda demostrar una recuperación rápida y probada a partir de una copia de seguridad no cumple con lo establecido en el artículo 32.

Pruebas y evaluaciones periódicas. La eficacia de las medidas de seguridad debe someterse a pruebas, análisis y evaluaciones periódicas. El cumplimiento no es algo puntual. Requiere una evaluación continua, pruebas documentadas y un proceso para identificar y subsanar las deficiencias.

La multa de 2025 impuesta a Advanced Computer Software Group, un proveedor de TI sancionado con 3,07 millones de libras esterlinas por la ICO del Reino Unido por fallos de seguridad que interrumpieron los servicios del NHS, fue la primera multa de la ICO impuesta directamente a un encargado del tratamiento en lugar de a un responsable del tratamiento. La ICO determinó que la empresa no había implementado las medidas técnicas adecuadas previstas en el artículo 32, citando deficiencias específicas en la implementación de la autenticación multifactorial (MFA), el análisis de vulnerabilidades y la gestión de parches. Esto no es un riesgo abstracto para los MSP. Establece un claro precedente de que los proveedores de servicios de TI pueden ser considerados directamente responsables de los fallos de seguridad en los sistemas que gestionan.

Una forma práctica de enfocar las obligaciones del artículo 32: si hoy no pudieras demostrar ante un auditor, con pruebas documentadas, que el cifrado está activo en todos los terminales que tratan datos personales, que se han realizado y superado las pruebas de verificación de las copias de seguridad y que se han probado los procedimientos de respuesta ante incidentes, estarías incumpliendo lo establecido en el artículo 32.

Notificación de violaciones de datos: la regla de las 72 horas

El artículo 33 exige a los responsables del tratamiento que notifiquen a su autoridad de control, en un plazo de 72 horas desde que tengan conocimiento de una violación de la seguridad de los datos personales, salvo que sea improbable que dicha violación suponga un riesgo para las personas. La autoridad de control del Reino Unido es la ICO. En los Estados miembros de la UE, se trata de la autoridad nacional de protección de datos correspondiente.

El plazo de 72 horas comienza a contar cuando la organización tiene un grado razonable de certeza de que un incidente de seguridad ha comprometido datos personales. No se trata del momento en que finaliza la investigación, sino del momento en que se tiene conocimiento de que los datos personales pueden haber resultado afectados. El RGPD permite expresamente la notificación por fases: una notificación inicial con la información disponible, seguida de actualizaciones a medida que la investigación vaya aportando más detalles.

El artículo 34 establece la obligación específica de notificar directamente a las personas afectadas cuando una violación de la seguridad pueda suponer un riesgo elevado para sus derechos y libertades. Los datos sanitarios, los datos financieros, los documentos de identidad y los datos relativos a menores son categorías en las que este umbral se alcanza con frecuencia.

Las implicaciones operativas para los equipos de TI y los proveedores de servicios gestionados (MSP) son claras: la capacidad de detección de brechas lo suficientemente rápida como para identificar y confirmar un incidente en las horas siguientes a su ocurrencia es un requisito del RGPD. La saturación de alertas, los procesos de escalado lentos y los procedimientos de respuesta a incidentes poco claros se traducen en incumplimientos del plazo de 72 horas. Un proceso de respuesta a incidentes de seguridad bien gestionado considera que el plazo comienza en el momento de la detección, no al concluir la investigación.

Los encargados del tratamiento tienen una obligación paralela. Los MSP que actúen como encargados del tratamiento deben notificar al responsable del tratamiento sin demora injustificada tan pronto como tengan conocimiento de una violación de la seguridad. A continuación, el responsable del tratamiento debe notificarlo a la autoridad de control en el plazo de 72 horas. Si un MSP descubre una violación de la seguridad que afecta a los datos de un cliente un viernes por la tarde y no se lo notifica al cliente hasta el lunes por la mañana, ese retraso puede hacer que el responsable del tratamiento incumpla el plazo legal.

Protección de datos desde el diseño y de forma predeterminada

El artículo 25 exige que los controles de privacidad se integren en los sistemas desde el principio, y no se incorporen a posteriori tras su puesta en marcha.

La protección de datos desde el diseño significa que, cuando se adquieren, configuran o desarrollan sistemas, los requisitos de privacidad forman parte de las especificaciones técnicas. Los controles de acceso, el cifrado y la minimización de datos son decisiones arquitectónicas, no elementos añadidos posteriormente. Para los equipos de TI que evalúan nuevas herramientas, la evaluación del impacto en la privacidad forma parte del proceso, no es una fase posterior.

La protección de datos por defecto significa que la configuración predeterminada debe ser la opción que más proteja la privacidad. Si un sistema puede recopilar menos datos, compartir menos datos o conceder menos acceso, la configuración predeterminada debe favorecer la privacidad. Los usuarios deberían tener que habilitar activamente una recopilación de datos más amplia, en lugar de tener que desactivarla.

Es obligatorio realizar evaluaciones de impacto relativas a la protección de datos (EIPD) antes de llevar a cabo cualquier tratamiento que pueda entrañar un riesgo elevado, incluyendo la toma de decisiones automatizada, la vigilancia sistemática a gran escala, el tratamiento a gran escala de categorías de datos sensibles y el análisis del comportamiento. Para los equipos de TI, los factores desencadenantes incluyen herramientas de vigilancia basadas en la inteligencia artificial, plataformas de análisis del comportamiento de los usuarios y sistemas de acceso biométrico. La EIPD no es opcional para estas categorías, sino que constituye un requisito legal previo.

El RGPD para los MSP: responsable del tratamiento frente a encargado del tratamiento

Comprender las funciones previstas en el RGPD es uno de los aspectos más importantes desde el punto de vista práctico para los MSP.

El responsable del tratamiento determina los fines y los medios del tratamiento de los datos personales. Por lo general, el cliente del MSP es el responsable del tratamiento de los datos de sus propios clientes, de sus empleados y de cualquier dato personal que se procese en el marco de su actividad empresarial.

Un encargado del tratamiento trata los datos personales por cuenta del responsable del tratamiento. Un proveedor de servicios de gestión (MSP) que gestiona sistemas informáticos que contienen datos personales, presta servicios de correo electrónico, aloja datos o ofrece servicios de copia de seguridad y recuperación para los entornos de los clientes actúa, en la mayoría de los casos, como encargado del tratamiento de los datos de dicho cliente.

Las obligaciones de los encargados del tratamiento en virtud del RGPD incluyen:

• El tratamiento se realiza únicamente siguiendo las instrucciones documentadas del responsable del tratamiento
• Aplicación de medidas de seguridad técnicas y organizativas adecuadas (artículo 32)
• Notificar al responsable del tratamiento sin demora injustificada tan pronto como se tenga conocimiento de una violación de la seguridad de los datos
• Eliminación o devolución de todos los datos personales al finalizar el contrato de prestación de servicios
• Facilitar y colaborar en las auditorías realizadas por el responsable del tratamiento

Un mismo proveedor de servicios gestionados (MSP) puede actuar como responsable del tratamiento de unos datos (los datos de sus propios empleados o los datos relativos a la relación con sus clientes) y como encargado del tratamiento de otros datos (los datos personales de los clientes que gestiona en el marco de la prestación de servicios). Ambos conjuntos de obligaciones se aplican simultáneamente.

Los subencargados del tratamiento constituyen un nivel adicional. Cuando un proveedor de servicios de gestión (MSP) recurre a proveedores de servicios en la nube, proveedores de copias de seguridad u otros servicios para prestar servicios de TI a sus clientes, dichos terceros pueden convertirse en subencargados del tratamiento de los datos personales del cliente. Los acuerdos con los subencargados del tratamiento deben comunicarse al responsable del tratamiento y contar con su autorización. Los subencargados del tratamiento deben cumplir normas de seguridad equivalentes a las exigidas al encargado del tratamiento principal.

Acuerdos de tratamiento de datos: lo que los MSP deben tener en vigor

Un acuerdo de tratamiento de datos (DPA) es un contrato exigido por ley entre el responsable del tratamiento y el encargado del tratamiento. Todo proveedor de servicios gestionados (MSP) que trate datos personales de clientes de la UE o del Reino Unido debe haber celebrado un DPA con cada uno de esos clientes. No se trata de algo opcional ni de una simple cortesía comercial, sino de un requisito del RGPD recogido en su artículo 28.

Un acuerdo de protección de datos debe incluir, como mínimo:

• El objeto, la duración, la naturaleza y la finalidad del tratamiento
• El tipo de datos personales y las categorías de interesados
• Las instrucciones documentadas del responsable del tratamiento dirigidas al encargado del tratamiento
• Las medidas de seguridad que aplicará el encargado del tratamiento (obligaciones del artículo 32)
• El proceso de notificación de violaciones de seguridad por parte del encargado del tratamiento al responsable del tratamiento
• Acuerdos con subencargados del tratamiento y el requisito de una protección equivalente
• Obligaciones del encargado del tratamiento al término del contrato: supresión o devolución de los datos
• Derechos de auditoría del responsable del tratamiento

Para un MSP que gestiona múltiples clientes, disponer de unos términos estándar del acuerdo de tratamiento de datos (DPA) revisados y listos para su aplicación es un requisito comercial imprescindible, no una carga administrativa. Los MSP que no cuenten con un DPA no cumplen con la normativa en su calidad de encargados del tratamiento, independientemente de lo sólida que sea su postura de seguridad desde el punto de vista técnico. El DPA es también el documento en el que los clientes evalúan las prácticas de seguridad del MSP antes de convertirse en clientes. Para los clientes del mercado medio y las grandes empresas que cuentan con sus propios programas de cumplimiento del RGPD, un DPA claro y bien redactado es, cada vez más, una condición para la firma del contrato.

Compliance Manager GRC la evaluación del cumplimiento del RGPD y la documentación de las pruebas en relación con los controles del artículo 32, lo que ofrece a los MSP una forma estructurada de demostrar y mantener las medidas de seguridad a las que se comprometen sus autoridades de protección de datos. Descubra cómo respalda los programas de cumplimiento.

La aplicación de la normativa y lo que supone para los proveedores de TI

La estructura de sanciones del RGPD es bien conocida. Hasta 20 millones de euros o el 4 % de la facturación anual mundial en el caso de las infracciones más graves. Hasta 10 millones de euros o el 2 % en el caso de incumplimientos de procedimiento, como medidas de seguridad inadecuadas y la falta de notificación de violaciones de datos.

La realidad en materia de aplicación de la normativa en 2025 y 2026 es que las deficiencias de seguridad contempladas en el artículo 32 constituyen la causa más frecuente de sanciones en términos de número total, y no solo por el revuelo mediático que generan las multas impuestas a las grandes empresas tecnológicas. La CNIL francesa multó a Free Mobile con 27 millones de euros en enero de 2026 por medidas de seguridad inadecuadas tras una filtración de datos. La ICO multó a Advanced Computer Software Group con 3,07 millones de libras esterlinas en marzo de 2025 por los mismos incumplimientos del artículo 32, entre los que se incluían deficiencias en la autenticación multifactorial (MFA), el análisis de vulnerabilidades y la gestión de parches. España e Italia han sido muy activas a la hora de multar a proveedores de asistencia sanitaria, empresas de servicios financieros y empresas de servicios regionales.

Las autoridades reguladoras también han confirmado que la aplicación de la normativa no se limita a las grandes organizaciones. El análisis de los datos del registro de sanciones revela que una parte significativa de todas las multas impuestas recae sobre proveedores de servicios regionales, pequeñas empresas de SaaS y organismos locales. Las sanciones son proporcionalmente menores, pero no dejan de ser sanciones.

Para los MSP, el panorama en materia de cumplimiento se traduce en tres riesgos concretos: la responsabilidad directa como encargado del tratamiento por fallos de seguridad, con arreglo al artículo 32; la responsabilidad frente a los clientes por retrasos en la notificación de violaciones de datos que impidan al responsable del tratamiento cumplir el plazo de 72 horas; y el riesgo comercial derivado de no contar con acuerdos de tratamiento de datos (DPA).

El cumplimiento del RGPD es también un requisito comercial, no solo normativo. Los clientes del mercado medio y las grandes empresas con operaciones en la UE o el Reino Unido suelen exigir pruebas de cumplimiento del RGPD como parte de la evaluación de proveedores y la renovación de contratos. Un proveedor de servicios gestionados (MSP) que no pueda presentar controles de seguridad documentados, procedimientos de respuesta a incidentes probados y un acuerdo de tratamiento de datos (DPA) firmado no es competitivo en ese segmento de mercado.

Si desea profundizar en cómo los requisitos de gobernanza de datos se relacionan con el RGPD, la HIPAA y los demás marcos normativos que los MSP deben tener en cuenta para sus clientes, consulte nuestra guía sobre gobernanza de datos para equipos de TI y MSP.