Privacidad y seguridad

Protección de datos desde el sistema de gestión

El RGPD no es una carpeta de plantillas firmadas una vez y olvidadas: es una obligación viva que exige evidencias, revisión y mejora continua. Summum Calidad aborda la protección de datos como una extensión natural del sistema de gestión de la seguridad de la información: implantamos la ISO/IEC 27701:2025 sobre la base de tu ISO 27001, la integramos con tu ISO 9001 si ya la tienes certificada, y sostenemos el cumplimiento con auditoría interna periódica y formación continua del personal — el mismo rigor con el que acompañamos la certificación de calidad, aplicado a los datos personales que tratas.

NormativaRGPD (UE) 2016/679 · LOPDGDD (LO 3/2018)
EnfoqueISO/IEC 27701:2025 sobre el SGSI (ISO 27001), integrable con ISO 9001
ModalidadSistema de gestión con auditoría interna y formación continuas

Tratar la protección de datos como un expediente legal aislado —cláusulas redactadas una vez, un registro de actividades que nadie actualiza, un aviso de privacidad copiado de otra web— es la forma más habitual de incumplir el RGPD sin darse cuenta. El artículo 24 del Reglamento (UE) 2016/679 establece el principio de responsabilidad proactiva: no basta con cumplir, hay que poder demostrar que se cumple, en cualquier momento y ante cualquier requerimiento de la Agencia Española de Protección de Datos (AEPD). Esa demostración exige exactamente lo que un sistema de gestión aporta y un archivador no: procedimientos vivos, registros actualizados, roles definidos, auditoría periódica y evidencia de mejora continua. Las sanciones lo reflejan con claridad: el artículo 83.5 RGPD contempla multas de hasta 20.000.000 € o el 4 % de la facturación global anual —la cifra que resulte mayor— para las infracciones más graves, como el incumplimiento de los principios del tratamiento o de los derechos de los interesados; el artículo 83.4 fija hasta 10.000.000 € o el 2 % para el resto de obligaciones, entre ellas las medidas de seguridad del artículo 32.

Summum Calidad implanta la protección de datos con la misma disciplina con la que implanta cualquier sistema de gestión ISO: mediante la ISO/IEC 27701:2025, la extensión del Sistema de Gestión de Seguridad de la Información (SGSI) de la ISO 27001 orientada específicamente a la gestión de la información de carácter personal, conocida como PIMS (Privacy Information Management System). La ISO 27701 añade controles diferenciados para responsables y para encargados del tratamiento, convierte la privacidad desde el diseño y por defecto del artículo 25 RGPD en controles auditables y verificables, y permite demostrar ante clientes, socios comerciales y la propia AEPD que la organización gestiona la privacidad con un sistema documentado, no con buena voluntad. Cuando la empresa ya tiene la ISO 27001 certificada, el proyecto se apoya directamente en el análisis de riesgos, la Declaración de Aplicabilidad y la estructura de auditoría que ya existen: no se parte de cero, se extiende lo que ya funciona.

La integración no se detiene en la seguridad de la información. Si tu empresa ya tiene la ISO 9001 certificada, la protección de datos se incorpora como un proceso más del sistema de gestión de calidad: comparte el control de documentos, la gestión de no conformidades, la auditoría interna y la revisión por la dirección que ya tienes en marcha, en lugar de vivir aparte en un archivador legal que nadie revisa hasta que hay un problema. Y si tu empresa presta servicios a la Administración Pública, la coordinación con el Esquema Nacional de Seguridad es directa: el ENS y el RGPD comparten buena parte de las medidas de seguridad —gestión de accesos, cifrado, copias de seguridad, gestión de incidentes—, de modo que abordarlos de forma integrada evita duplicar el trabajo documental.

El sistema solo es real si se mantiene vivo, y eso exige dos piezas que muchas implantaciones de protección de datos olvidan: auditoría interna y formación. Nuestro programa de auditoría interna verifica periódicamente que el Registro de Actividades de Tratamiento sigue actualizado, que las cláusulas informativas son correctas, que el procedimiento de gestión de brechas de seguridad está ensayado —no solo escrito— y que las solicitudes de derechos ARSULIPO (acceso, rectificación, supresión, limitación, portabilidad y oposición) se resuelven dentro de plazo. La formación periódica del personal, por su parte, es uno de los controles que exige el propio Anexo A de la ISO 27701 y reduce la causa más habitual de brecha de seguridad: el error humano, no el ataque externo sofisticado.

La capa puramente legal del cumplimiento —la redacción de cláusulas y contratos, el análisis de riesgo jurídico, la respuesta ante una reclamación o una inspección de la AEPD, o la designación de un delegado de protección de datos— la presta nuestra división hermana, Summum Consultoría, con sus servicios de protección de datos (RGPD) y DPO externo. Si lo que necesitas es precisamente ese servicio de DPO externo puro, sin la capa de sistema de gestión, ese es el punto de partida más directo. Summum Calidad entra cuando quieres que la protección de datos deje de vivir en un cajón y pase a integrarse, con evidencias y auditoría, en el sistema de gestión de tu empresa.

El proceso de Protección de datos desde el sistema de gestión.

El proceso · cuatro tiempos
01

Diagnóstico y mapa de tratamientos

Levantamos el Registro de Actividades de Tratamiento (art. 30 RGPD): qué datos tratas, con qué base legitimadora, durante cuánto tiempo, con qué encargados y sub-encargados, y con qué flujos de información entre sistemas y terceros. Es el punto de partida de todo lo demás.

02

Análisis de riesgo y controles del PIMS

Aplicamos la metodología de análisis de riesgos del sistema de gestión a los tratamientos identificados, seleccionamos los controles de la ISO/IEC 27701:2025 aplicables y elaboramos la Declaración de Aplicabilidad de privacidad. Cuando un tratamiento lo exige por su alto riesgo (art. 35 RGPD), incorporamos la Evaluación de Impacto relativa a la Protección de Datos (EIPD).

03

Implantación y evidencias

Redactamos o revisamos cláusulas informativas, contratos de encargo de tratamiento (art. 28 RGPD) con proveedores y SaaS, el procedimiento de gestión de brechas de seguridad con el plazo de 72 horas del artículo 33, el procedimiento de derechos ARSULIPO y el plan de formación del personal.

04

Auditoría interna y mejora continua

El sistema entra en el ciclo de auditoría interna y revisión por la dirección: verificamos periódicamente que los controles siguen implantados y actualizamos el sistema ante cambios normativos, nuevos tratamientos o nuevas herramientas —incluida la incorporación de soluciones de inteligencia artificial—.

Qué incluye

Qué incluye Protección de datos desde el sistema de gestión.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Registro de Actividades de Tratamiento (RAT)

    Inventario completo conforme al artículo 30 RGPD, vivo y actualizado ante cada cambio.

  • Declaración de Aplicabilidad de privacidad

    Controles de la ISO/IEC 27701:2025 aplicados o excluidos, con su justificación documentada.

  • Procedimiento de gestión de brechas de seguridad

    Protocolo ensayado para notificar a la AEPD en menos de 72 horas (art. 33 RGPD) y, cuando proceda, a los propios interesados (art. 34 RGPD).

  • Procedimiento de derechos ARSULIPO

    Plazos, formularios y trazabilidad para cada solicitud de acceso, rectificación, supresión, limitación, portabilidad y oposición.

  • Contratos de encargo de tratamiento

    Cláusulas del artículo 28 RGPD revisadas para proveedores, plataformas SaaS y sub-encargados.

  • Formación y concienciación continua

    Sesiones periódicas para el personal, con registro de asistencia como evidencia del control implantado.

Preguntas frecuentes sobre Protección de datos desde el sistema de gestión.

¿Es obligatorio certificarse en ISO 27701 para cumplir el RGPD?

No. El RGPD no exige ninguna certificación ISO como requisito legal; el cumplimiento puede acreditarse de otras formas. Sin embargo, la ISO/IEC 27701:2025, al ser una extensión auditable del sistema de gestión, es la forma más sólida de demostrar ante clientes, socios y la propia AEPD que la protección de datos se gestiona con procedimientos, evidencias y revisión continua, en lugar de con una carpeta de plantillas firmadas una sola vez.

¿Qué diferencia hay entre contratar un DPO externo e implantar un sistema de gestión de protección de datos?

Son complementarios, no alternativos. El delegado de protección de datos (DPO) es una figura de supervisión y asesoramiento —obligatoria en determinados supuestos del artículo 37 RGPD y del artículo 34 LOPDGDD— que vigila el cumplimiento e informa a la dirección. El sistema de gestión (ISO 27701 sobre ISO 27001) es la infraestructura documental y de control sobre la que ese DPO se apoya para hacer su trabajo: sin registro de tratamientos, sin procedimiento de brechas y sin auditoría interna, el DPO tiene poco que supervisar. Summum Calidad implanta el sistema; el servicio de DPO externo lo presta Summum Consultoría.

¿Cuánto tiempo lleva implantar la ISO 27701 sobre un sistema ISO 27001 existente?

Cuando la organización ya tiene la ISO 27001 certificada, el proyecto se acorta de forma notable porque gran parte de la infraestructura de gestión de riesgos y controles ya existe: habitualmente entre tres y cinco meses. Si se parte de cero, sin sistema de seguridad previo, el plazo suele ser de seis a nueve meses, según el tamaño de la organización y el número de tratamientos.

¿La ISO 27701 sustituye a la evaluación de impacto que exige el RGPD?

No la sustituye, la estructura. El artículo 35 del RGPD exige una Evaluación de Impacto relativa a la Protección de Datos (EIPD) cuando un tratamiento entraña un alto riesgo para los derechos y libertades de las personas. La ISO 27701 aporta la metodología de análisis de riesgos del sistema de gestión —heredada de la ISO 27001— sobre la que se apoya esa evaluación, de modo que el criterio aplicado es consistente y las decisiones de tratamiento del riesgo quedan documentadas.

¿Qué ocurre si mi empresa ya tiene la ISO 9001 certificada?

La protección de datos se integra como un proceso más dentro del sistema de gestión de calidad ya existente: comparte la estructura de control de documentos, gestión de no conformidades, auditoría interna y revisión por la dirección. Esto evita duplicar procedimientos y reduce notablemente el esfuerzo de mantenimiento frente a gestionar el cumplimiento del RGPD como un archivo legal aislado.

¿Qué pasa si se produce una brecha de seguridad con datos personales?

El artículo 33 del RGPD obliga a notificar la brecha a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que se tiene constancia de ella, salvo que sea improbable que suponga un riesgo para los derechos de las personas afectadas; si el riesgo es alto, también hay que comunicarlo a los propios interesados sin dilación indebida, conforme al artículo 34 RGPD. Contar con un procedimiento de gestión de incidentes ya ensayado —uno de los controles que implantamos dentro del sistema— es lo que permite cumplir ese plazo en la práctica, y no solo sobre el papel.