Ir al contenido
Gobernanza y Conformidad

¿Qué es el GDPR (ley de protección de datos de Europa)?

El GDPR (General Data Protection Regulation) es la ley de protección de datos de la Unión Europea, en vigor desde 2018 y equivalente a la LGPD brasileña. Regula cómo cualquier empresa recopila, usa y guarda datos personales de personas en Europa, exige una base legal para cada tratamiento, otorga derechos al titular (acceso, corrección, eliminación) y aplica incluso a empresas fuera de Europa que atienden a ese público. Las multas llegan a 20 millones de euros o al 4% de la facturación global anual, lo que sea mayor.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funciona el GDPR en la práctica

El GDPR no exige instalar sistemas; define principios que valen para cualquier uso de dato personal, desde el registro de un cliente hasta la cookie del sitio. Cuatro deberes se repiten en cualquier operación.

1

Tener una base legal para cada tratamiento

Consentimiento, ejecución de contrato, obligación legal, interés legítimo: sin uno de estos fundamentos, tratar el dato es ilegal. Recopilarlo “porque podría ser útil” no es una base legal.

2

Respetar los derechos del titular

Acceso, corrección, eliminación, portabilidad y oposición son solicitudes que la ley otorga al dueño del dato, y la empresa tiene un plazo para atenderlas.

3

Notificar la filtración en 72 horas

Un incidente con riesgo para las personas debe comunicarse a la autoridad en un plazo de hasta 72 horas, y a los afectados cuando el riesgo es alto. Es uno de los plazos más duros del GDPR.

4

Probar que cumple (accountability)

No basta con cumplir, hay que demostrarlo: registro de las actividades de tratamiento, evaluación de impacto cuando el riesgo es alto y, en muchos casos, un encargado de datos (DPO).

Fuente: Reglamento (UE) 2016/679 (GDPR) y European Data Protection Board (EDPB).

Los principios que sostienen el GDPR

  • Licitud, lealtad y transparencia Tratar el dato con una base legal clara y decirle a la persona, sin letra chica, qué se hace con su información.
  • Limitación de la finalidad Recopilar el dato para un objetivo definido y no reutilizarlo luego para algo incompatible.
  • Minimización Recopilar solo el dato necesario para ese fin, no todo lo que “tal vez sirva algún día”.
  • Exactitud Mantener el dato correcto y actualizado, y corregir lo que esté mal.
  • Limitación del almacenamiento Guardar el dato solo mientras sea necesario, y descartarlo después.
  • Integridad y confidencialidad Proteger el dato contra el acceso indebido, la pérdida y la destrucción, con seguridad acorde al riesgo.
  • Responsabilidad (accountability) Ser capaz de demostrar, con registro, que todos los principios anteriores se cumplen.

Por qué el GDPR cambió el juego de la privacidad

€ 20 M o 4%
de la facturación global anual, lo que sea mayor, es el tope de multa del GDPR (Reglamento 2016/679)
€ 7.100 M
en multas del GDPR acumuladas desde 2018 (DLA Piper, 2026)
72 horas
es el plazo para notificar a la autoridad tras tomar conocimiento de una filtración con riesgo (GDPR)

El GDPR se volvió la referencia mundial de protección de datos, y la cuenta de incumplir creció. Desde 2018, las multas acumuladas ya superan los 7,1 mil millones de euros, con cerca de 1,2 mil millones solo en 2025 (DLA Piper, 2026). El tope es duro: 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor. Pero la multa es solo parte de la cuenta. El costo promedio global de una violación de datos fue de US$ 4,44 millones (IBM, 2025), sumando notificación, investigación, daño reputacional y demandas. Y el GDPR no respeta frontera: una empresa de América Latina o de EE. UU. que ofrezca un producto a alguien en Europa entra en el alcance de la ley.

Cómo se prepara una empresa para el GDPR

La adecuación al GDPR no es un proyecto que termina, es una disciplina que se sostiene. El camino más directo:

  1. Mapee los datos y la base legal de cada usoListe qué dato personal trata la empresa, de dónde viene y por qué. Cada uso necesita un fundamento legal documentado.
  2. Prepárese para responder a los derechos del titularTenga un proceso para atender solicitudes de acceso, corrección y eliminación dentro del plazo, sin una búsqueda del tesoro en cada pedido.
  3. Tenga el plan de respuesta a incidentes listo para 72 horasEl plazo corto del GDPR solo es viable con un plan probado de antemano. Improvisar en medio de la filtración revienta las 72 horas.
  4. Documente para probarlo (accountability)Registro de las actividades de tratamiento, evaluaciones de impacto y, cuando se exija, un encargado de datos. Es lo que convierte “cumplimos” en prueba.

En la práctica

La pregunta que revela el riesgo real: si una persona en Europa pidiera hoy una copia de todos los datos que la empresa tiene sobre ella, ¿alguien lograría reunirlos dentro del plazo, o ni sabría por dónde empezar?

Cómo trata Zamak el cumplimiento del GDPR

Zamak Technologies apoya la adecuación al GDPR y a la LGPD como parte de la Gobernanza y Conformidad del Método Zamak: mapeo de controles, gestión de evidencia y trazabilidad de auditoría sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la empresa.

Preguntas frecuentes sobre el GDPR

Mi empresa no está en Europa, ¿el GDPR me afecta?
Puede afectarle. El GDPR aplica a cualquier empresa que trate datos de personas en Europa, ofreciéndoles productos o servicios o monitoreando su comportamiento, sin importar dónde tenga su sede la empresa.
¿Cuál es la diferencia entre el GDPR y la LGPD?
El GDPR es la ley europea y la LGPD es la brasileña, inspirada en él. Los principios son muy parecidos (base legal, derechos del titular, notificación de incidentes), pero la autoridad fiscalizadora, los plazos y los montos de multa cambian de una a la otra.
¿Qué es una base legal?
Es el fundamento que autoriza tratar un dato personal. El consentimiento es solo uno; la ejecución de contrato, la obligación legal y el interés legítimo, entre otros, también sirven, según el caso.
¿Toda filtración debe notificarse en 72 horas?
La notificación a la autoridad es obligatoria cuando el incidente trae riesgo para las personas, y el plazo es de hasta 72 horas desde que la empresa toma conocimiento. Los incidentes sin riesgo real quedan fuera, pero trazar esa línea exige criterio.
¿Necesito un DPO (encargado de datos)?
Depende. El GDPR exige un DPO en ciertos casos, como el tratamiento a gran escala de dato sensible o el monitoreo sistemático. Fuera de ellos, tener un encargado sigue siendo buena práctica.
¿El consentimiento siempre es obligatorio?
No. Es solo una de las bases legales. Muchos tratamientos se apoyan en contrato o interés legítimo. Usar consentimiento donde no se sostiene puede incluso debilitar el cumplimiento.

Términos relacionados

Amenazas y Ataques
Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake