Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Los reguladores del GDPR ya no solo sancionan las filtraciones. Ahora sancionan la seguridad que debiste haber implementado.

Los reguladores del GDPR ya no solo sancionan las filtraciones. Ahora sancionan la seguridad que debiste haber implementado.

by Uri Kedem updated febrero 25, 2026 Cumplimiento de GDPR
Reading Time: 11 minutes

Está ocurriendo un cambio en la aplicación de la protección de datos en Europa que todo líder de cumplimiento y seguridad debe conocer. No es sutil y cambia por completo la forma en que debes invertir en seguridad de datos.

La actualización de protección de datos europea de Gibson Dunn de febrero de 2026 resume acciones recientes de cumplimiento del RGPD que dejan clara la nueva realidad. Los reguladores ya no se centran únicamente en lo que ocurrió durante una filtración. Ahora se enfocan en lo que debió estar implementado antes de que ocurriera. Y están imponiendo multas de decenas de millones de euros por la ausencia de controles que, a estas alturas, consideran requisitos mínimos.

Dos casos de la actualización ilustran este patrón. En el primero, un regulador sancionó a una agencia después de que atacantes accedieran a datos personales de personas registradas durante más de 20 años. Los hallazgos: políticas de contraseñas inadecuadas, sin autenticación multifactor, y registros y monitoreo insuficientes — todas violaciones del Artículo 32 del RGPD, que exige «medidas técnicas y organizativas apropiadas» para proteger los datos personales. En el segundo, un grupo de telecomunicaciones fue multado con decenas de millones de euros después de que atacantes accedieran a datos vinculados a aproximadamente 24 millones de contratos de suscriptores. Las autoridades señalaron autenticación débil, notificaciones de filtración incompletas bajo el Artículo 33, y retención ilegal de datos bajo el Artículo 5(1)(e).

El mensaje es claro. Los reguladores están penalizando las debilidades estructurales que permitieron la filtración — no solo la filtración en sí. Y las debilidades específicas que señalan son aspectos que la mayoría de las organizaciones podrían y deberían haber solucionado hace años.

5 conclusiones clave

  1. Los reguladores penalizan debilidades estructurales de seguridad, no solo las filtraciones que provocan. La actualización europea de Gibson Dunn de febrero de 2026 revela un cambio decisivo en la aplicación. Los reguladores ya no esperan a que una filtración cause daños medibles antes de imponer multas. Penalizan las debilidades estructurales subyacentes — autenticación inadecuada, registros y monitoreo insuficientes, retención ilegal de datos — que hicieron posible la filtración o aumentaron su impacto. El mensaje: si tus controles eran insuficientes, eres responsable aunque el peor escenario no se haya materializado.
  2. Una agencia multada por retener datos durante más de 20 años — sin MFA, sin registros y sin monitoreo. Los atacantes accedieron a datos personales de personas registradas durante dos décadas. El regulador citó políticas de contraseñas inadecuadas, ausencia de autenticación multifactor y registros y monitoreo insuficientes como violaciones del Artículo 32 del RGPD. La organización fue sancionada no solo por la filtración, sino por la ausencia de controles que debieron prevenirla o detectarla. La multa y las órdenes de remediación reflejan que los reguladores consideran estos controles como expectativas básicas, no metas aspiracionales.
  3. Un grupo de telecomunicaciones multado con decenas de millones tras exponer 24 millones de registros de suscriptores. Los atacantes accedieron a datos vinculados a aproximadamente 24 millones de contratos de suscriptores. Las autoridades señalaron autenticación débil, notificaciones de filtración incompletas bajo el Artículo 33 y retención ilegal de datos bajo el Artículo 5(1)(e). La multa alcanzó decenas de millones de euros. El caso demuestra que los reguladores evalúan varias dimensiones a la vez: ¿preveniste la filtración?, ¿la detectaste?, ¿la reportaste?, ¿estabas reteniendo datos que ya debías haber eliminado?
  4. El Artículo 32 ahora exige claramente MFA, registros en tiempo real y retención automatizada. En ambos casos, las acciones regulatorias definen lo que significa en la práctica «medidas técnicas y organizativas apropiadas» bajo el Artículo 32: autenticación robusta incluyendo MFA para cuentas expuestas, registros en tiempo real y detección de accesos no autorizados, y controles disciplinados de minimización y retención de datos. Ya no son recomendaciones. Son el piso regulatorio.
  5. La carga de la prueba ha cambiado — debes demostrar cumplimiento, no solo afirmarlo. El principio de responsabilidad del Artículo 5(2) exige que las organizaciones prueben que tienen las medidas adecuadas implementadas. Estos casos dejan claro que los reguladores examinarán si tenías controles preventivos (MFA, restricciones de acceso) y controles de detección (registros, monitoreo), si esos controles estaban operativos en el momento del incidente y si puedes presentar documentación que lo demuestre. Afirmar que tienes «medidas adecuadas» sin pruebas técnicas ya no es una defensa.

Qué significa realmente «medidas técnicas apropiadas» en 2026

Durante años, el Artículo 32 del RGPD ha exigido que las organizaciones implementen «medidas técnicas y organizativas apropiadas» para proteger los datos personales. El lenguaje es deliberadamente amplio. Da flexibilidad a las organizaciones para determinar qué es apropiado según los riesgos que enfrentan.

Esa flexibilidad se está reduciendo. Las acciones regulatorias destacadas por Gibson Dunn definen con cada vez más precisión qué significa «apropiado» — y el listón no es alto. Es lo básico. Son los fundamentos de seguridad que la mayoría de los marcos de cumplimiento han recomendado durante años. La diferencia es que ahora los reguladores tratan la ausencia de estos fundamentos como una violación, sin importar el impacto de la filtración.

Autenticación robusta, incluyendo MFA. Ambos casos citaron autenticación débil como violación. Las contraseñas por sí solas ya no son suficientes para ningún sistema que gestione datos personales. El caso de la agencia señaló específicamente la ausencia de autenticación multifactor. Para los reguladores, el MFA ya no es una buena práctica — es un requisito. Y la expectativa va más allá del MFA básico: autenticación contextual, verificación adicional para acciones de alto riesgo como descargas masivas o uso compartido externo, políticas de confianza de dispositivos que restringen el acceso a dispositivos gestionados y controles de geolocalización que alertan sobre accesos desde ubicaciones inesperadas.

Registros y detección en tiempo real. El caso de la agencia citó «registros y monitoreo insuficientes» como una violación específica. Los reguladores esperan que las organizaciones detecten accesos no autorizados en el momento — no descubrirlos semanas o meses después durante una investigación forense. Esto implica registros de auditoría integrales que capturen cada evento de acceso a datos personales: quién accedió, qué accedió, cuándo, desde dónde y cómo. También implica alertas en tiempo real ante actividades sospechosas como patrones de acceso inusuales, descargas masivas o intentos fallidos de autenticación repetidos. Y significa registros inmutables — evidencias a prueba de manipulaciones que no pueden alterarse después.

Minimización y retención disciplinada de datos. El caso de la agencia involucró datos personales retenidos durante más de 20 años. El caso de telecomunicaciones citó «retención ilegal». El principio de limitación de almacenamiento del Artículo 5(1)(e) exige que los datos personales se conserven solo el tiempo necesario para los fines para los que fueron recogidos. Ahora los reguladores hacen cumplir este principio con multas — no solo con recomendaciones. Las organizaciones necesitan políticas de retención automatizadas que eliminen los datos personales tras periodos definidos, gestión de legal hold para preservar datos sujetos a litigios mientras se elimina el resto, y registros de eliminación que demuestren ante los reguladores que los datos se eliminaron cuando correspondía.

Cumplimiento demostrable. El principio de responsabilidad del Artículo 5(2) es el hilo conductor de todo. No basta con tener medidas adecuadas. Debes poder demostrarlo. Cuando un regulador pregunte si tenías MFA en el momento del incidente, necesitas pruebas que lo acrediten — no solo un documento de política que diga que deberías tenerlo. Cuando pregunten si monitoreabas accesos no autorizados, necesitas registros de auditoría y configuraciones de alertas, no una presentación de la revisión de seguridad del año pasado.

Lista completa de cumplimiento RGPD

Leer ahora

Por qué la aplicación se enfoca en la infraestructura, no solo en los incidentes

Esta tendencia regulatoria no surgió de la nada. Los reguladores llevan años publicando guías, emitiendo advertencias y dejando claras sus expectativas. El cambio hacia penalizar debilidades estructurales refleja la conclusión de que la orientación por sí sola no ha funcionado.

Las cifras respaldan esa conclusión. El coste promedio de una filtración de datos ahora es de $4.88 millones a nivel global; en el sector salud, $10.93 millones (IBM Cost of a Data Breach Report, 2024). Las multas del RGPD pueden llegar a 20 millones de euros o al 4% de los ingresos anuales globales. Y la Ley de IA de la UE añade otra capa, con multas de hasta 35 millones de euros o el 7% de los ingresos por infracciones de alto riesgo. Con agentes de IA y herramientas generativas de IA procesando cada vez más datos personales — a menudo por canales que las organizaciones no pueden controlar completamente — la presión regulatoria para demostrar que los controles básicos están implementados solo va a intensificarse.

El mensaje regulatorio también es cada vez más sofisticado. En estos casos, los reguladores no solo detectaron una filtración y aplicaron una multa. Evaluaron si la organización tenía controles preventivos (MFA, restricciones de acceso) que podrían haber evitado la filtración, controles de detección (registros, monitoreo) que podrían haberla detectado antes, controles de respuesta (notificación de filtración) que cumplieran el requisito de 72 horas del Artículo 33, y controles de retención que hubieran reducido el volumen de datos expuestos. Cada control ausente se trató como una violación separada. Las multas se acumulan.

Lo que la mayoría de las organizaciones aún hace mal sobre el cumplimiento de seguridad RGPD

Aquí está la verdad incómoda que revelan estos casos. La mayoría de las organizaciones afirma tener «medidas adecuadas» implementadas. La mayoría no puede demostrarlo ante una auditoría regulatoria. La brecha entre la política y la realidad es donde ocurren las multas.

La brecha de autenticación. Muchas organizaciones tienen políticas de MFA. Pocas lo aplican de forma consistente en todos los sistemas que gestionan datos personales. Plataformas heredadas de uso compartido de archivos, sistemas de correo electrónico y herramientas de transferencia gestionada de archivos suelen carecer de los controles de autenticación que ahora esperan los reguladores. Las herramientas de uso compartido de archivos de consumo ofrecen autenticación básica, pero rara vez soportan autenticación contextual para acciones de alto riesgo, verificación de confianza de dispositivos o controles de geolocalización. Cuando los reguladores revisan tu infraestructura de autenticación durante una acción regulatoria, no miran tu documento de políticas. Analizan tu implementación técnica.

La brecha de registros. Muchas organizaciones registran algunas actividades. Pocas mantienen registros de auditoría integrales e inmutables que capturen cada evento de acceso a datos personales en todos los canales — uso compartido de archivos, correo electrónico, transferencia gestionada de archivos, formularios web, APIs. Las herramientas fragmentadas generan registros fragmentados. Cada sistema tiene su propio formato, su propia retención, sus propias lagunas. Cuando los reguladores piden un registro completo de quién accedió a qué datos personales y cuándo, la mayoría de las organizaciones descubre que no puede proporcionarlo. El caso de la agencia citó «registros insuficientes» como violación. Insuficiente significa incompleto, no integral o no a prueba de manipulaciones.

La brecha de retención. La retención de datos es el requisito del RGPD con el que más luchan las organizaciones. Es fácil redactar una política de retención. Es mucho más difícil aplicarla automáticamente en todos los sistemas donde residen los datos personales. Archivos de correo electrónico, carpetas compartidas, sistemas de respaldo, plataformas de colaboración — los datos personales se acumulan en docenas de repositorios. Sin una aplicación automatizada de la retención, los datos permanecen años después de su propósito. El caso de la agencia involucró datos conservados durante más de dos décadas. No es un fallo de política. Es un fallo de infraestructura de cumplimiento.

La brecha de documentación. El Artículo 5(2) exige que las organizaciones demuestren el cumplimiento — no solo lo afirmen. Cuando los reguladores llaman a tu puerta, quieren ver informes de cumplimiento preconstruidos que muestren tasas de aplicación de MFA, configuraciones de control de acceso y cumplimiento de retención. Quieren documentación lista para auditoría de medidas técnicas y organizativas. Quieren cronologías forenses completas para la notificación de filtraciones bajo la ventana de 72 horas del Artículo 33. Y quieren registros de actividades de procesamiento bajo el Artículo 30 que muestren cómo se gestionan realmente los datos personales, no cómo dice la política que se gestionan.

Cerrar la brecha entre la política y el cumplimiento demostrable

Las acciones regulatorias en la actualización de Gibson Dunn describen fallos totalmente evitables — si se cuenta con la infraestructura adecuada. No un conjunto de herramientas separadas para uso compartido de archivos, correo electrónico, transferencia gestionada de archivos y formularios web, cada una con su propia autenticación, registros y retención. Una plataforma unificada que gestione los datos personales en todos los canales con controles consistentes y un solo registro de auditoría.

La Red de Datos Privados de Kiteworks fue diseñada específicamente para este reto de cumplimiento. Aborda cada una de las violaciones citadas en los casos de Gibson Dunn — no como funciones adicionales, sino como principios fundamentales de diseño.

Para autenticación, Kiteworks aplica MFA para todo acceso a datos personales, con autenticación contextual adicional para acciones de alto riesgo como descargas masivas y uso compartido externo. La integración SSO soporta proveedores de identidad empresariales con aplicación de MFA. La confianza de dispositivos restringe el acceso solo a dispositivos gestionados y en cumplimiento. Los controles de geolocalización alertan y bloquean accesos desde ubicaciones inesperadas. Estos son exactamente los controles que los reguladores señalaron como ausentes en las acciones regulatorias.

Para registros y monitoreo, Kiteworks proporciona registros de auditoría integrales e inmutables que capturan cada evento de acceso a datos personales — quién, qué, cuándo, dónde, cómo — en todos los canales. Las alertas en tiempo real notifican de inmediato al equipo de seguridad sobre actividades sospechosas. La detección de anomalías impulsada por IA identifica patrones de acceso inusuales que pueden indicar un compromiso. Y la integración con SIEM exporta los registros a plataformas de seguridad empresariales para su correlación con otros eventos de seguridad. Esta es la infraestructura de registros y monitoreo que los reguladores esperaban en ambos casos — y no encontraron.

Para la retención de datos, Kiteworks aplica políticas de retención automatizadas que eliminan los datos personales tras periodos definidos — con gestión de legal hold para preservar datos sujetos a litigios mientras se elimina el resto. Los registros de eliminación demuestran ante los reguladores que los datos se eliminaron cuando correspondía. La clasificación de datos etiqueta los datos personales por categoría con reglas de retención apropiadas. Esta es la infraestructura de retención que habría evitado la acumulación de datos durante 20 años y la retención ilegal citada en ambos casos regulatorios.

Para el cumplimiento demostrable, Kiteworks ofrece informes de cumplimiento específicos para RGPD preconstruidos, un panel CISO que muestra visibilidad en tiempo real sobre accesos a datos personales y violaciones de políticas, documentación lista para auditoría y soporte para notificación de filtraciones con cronologías forenses completas para el requisito de 72 horas del Artículo 33. Cuando los reguladores piden pruebas de que las medidas adecuadas estaban implementadas, las organizaciones que usan Kiteworks pueden proporcionarlas — porque la plataforma las genera de forma continua, no retrospectiva.

Los agentes de IA hacen que el cumplimiento del Artículo 32 sea más difícil — y más urgente

Estos casos regulatorios involucran escenarios tradicionales de filtración — atacantes que comprometen sistemas para acceder a datos personales. Pero los requisitos del Artículo 32 que refuerzan se vuelven exponencialmente más desafiantes a medida que las organizaciones implementan agentes de IA y herramientas generativas de IA que procesan datos personales a gran escala.

Cada agente de IA que accede a datos personales crea una nueva identidad que necesita autenticación y controles de acceso. Cada interacción de IA con datos personales debe ser registrada. Cada herramienta de IA que procese datos personales debe respetar las políticas de retención. Y cada interacción de IA con datos debe ser auditable y demostrable ante los reguladores.

Si los reguladores están multando a organizaciones con decenas de millones de euros por no tener MFA y registros suficientes en sistemas tradicionales, imagina el riesgo regulatorio cuando las mismas debilidades existen en los flujos de trabajo de agentes de IA — donde los datos se mueven más rápido, en mayor volumen y con menos supervisión humana.

La puerta de enlace de datos IA de Kiteworks y el servidor seguro MCP extienden los mismos controles del Artículo 32 — autenticación, registros, gobernanza de acceso y aplicación de retención — a las interacciones con IA. Ya sea que los datos personales sean accedidos por un usuario humano a través de un uso compartido de archivos o por un agente de IA vía API, los controles, el registro de auditoría y la evidencia de cumplimiento son idénticos. Una sola plataforma. Un solo motor de políticas. Un solo registro inmutable.

La dirección de la aplicación es clara. La pregunta es si estás listo.

La actualización de Gibson Dunn de febrero de 2026 cuenta una historia que los equipos de cumplimiento deben tomarse en serio. Los reguladores ya no se interesan en si tienes una política de protección de datos. Quieren saber si cuentas con la infraestructura técnica para aplicarla — y si puedes demostrarlo bajo escrutinio.

Las violaciones citadas en estos casos — sin MFA, sin registros en tiempo real, sin retención automatizada, acumulación ilegal de datos — no son exóticas ni novedosas. Son fallos evitables de higiene básica de seguridad. Y son exactamente los fallos que los reguladores han decidido volver costosos.

Las organizaciones que resistirán este entorno regulatorio son aquellas que pueden presentar, en cualquier momento, pruebas de que el MFA se aplica a todo acceso a datos personales, que cada evento de acceso está registrado en un registro de auditoría inmutable, que las políticas de retención son automatizadas y auditables, y que pueden reconstruir una cronología forense completa en 72 horas tras una filtración.

Las organizaciones que no pueden presentar esas pruebas son las que están firmando los cheques. Y según los precedentes recientes, esos cheques son cada vez más grandes.

Para descubrir cómo Kiteworks puede ayudarte, agenda una demo personalizada hoy.

Preguntas frecuentes

Sí — y este es el cambio en la aplicación que la actualización de Gibson Dunn de febrero de 2026 deja claro. Los reguladores ahora penalizan las debilidades estructurales de seguridad que permitieron o aumentaron la probabilidad de una filtración, independientemente del daño real. Bajo el principio de responsabilidad del Artículo 5(2), la carga de la prueba recae en la organización: debes demostrar que los controles apropiados estaban implementados. Si te faltaba MFA, registros en tiempo real o controles automatizados de minimización de datos, esa ausencia es una violación — no un factor atenuante — incluso si el impacto de la filtración fue finalmente contenido.

Según la aplicación reciente, los reguladores consideran tres controles como el mínimo bajo el Artículo 32. Primero, autenticación robusta: MFA para todo sistema que gestione datos personales, con verificación contextual adicional para acciones de alto riesgo como descargas masivas o uso compartido externo. Segundo, registros en tiempo real: registros de auditoría integrales e inmutables que capturen cada evento de acceso a datos personales — quién, qué, cuándo, dónde — con alertas en vivo ante patrones sospechosos. Tercero, aplicación automatizada de la retención: políticas que eliminen los datos personales tras periodos definidos, con registros de eliminación que prueben el cumplimiento. Tener un documento de política para cualquiera de estos no es lo mismo que contar con la infraestructura técnica para aplicarlos.

El Artículo 5(1)(e) exige que los datos personales se conserven solo el tiempo necesario para su propósito original — después deben eliminarse o anonimizarse. Los casos regulatorios de Gibson Dunn muestran que los reguladores tratan la retención excesiva como una violación independiente: una agencia retuvo datos durante más de 20 años; el caso de telecomunicaciones citó «retención ilegal» por separado de la filtración. La implicación práctica es que las organizaciones necesitan calendarios de retención automatizados, no manuales. También necesitan capacidades de legal hold para preservar datos sujetos a litigios mientras eliminan el resto, y registros de eliminación que produzcan pruebas verificables de la eliminación cuando los reguladores lo soliciten.

Los mismos requisitos del Artículo 32 que aplican al acceso humano — registros integrales, monitoreo en tiempo real, evidencias a prueba de manipulaciones — aplican a cualquier sistema que acceda a datos personales, incluidos los agentes de IA. El riesgo regulatorio es incluso mayor con agentes de IA porque operan a velocidad y volumen de máquina, lo que significa que un acceso no gobernado puede exponer muchos más datos antes de ser detectado. Los reguladores ya han demostrado que multarán por «registros insuficientes» en sistemas tradicionales; el mismo estándar se extiende a los flujos de trabajo de IA. Cada interacción de IA con datos debe quedar registrada en un registro de auditoría inmutable con identidad, marca de tiempo, datos accedidos y acción realizada — y esos registros deben poder presentarse a un regulador bajo el principio de responsabilidad del Artículo 5(2).

El Artículo 33 exige notificar a la autoridad supervisora correspondiente en un plazo de 72 horas tras tener conocimiento de una filtración de datos personales. La notificación debe describir la naturaleza de la filtración, las categorías y el número aproximado de interesados y registros afectados, las posibles consecuencias y las medidas tomadas o propuestas para abordarla. El caso de telecomunicaciones citado en la actualización de Gibson Dunn fue sancionado por «notificaciones de filtración incompletas» — es decir, la notificación no cumplía el estándar de exhaustividad. Esto casi siempre se debe a una infraestructura de registros inadecuada: si no cuentas con registros de auditoría integrales y monitoreo en tiempo real, no puedes reconstruir lo ocurrido, quién fue afectado y qué datos se expusieron en 72 horas. La integración con SIEM y las capacidades de cronología forense que apoyan el cumplimiento del Artículo 33 son inseparables de los requisitos de registros del Artículo 32.

Recursos adicionales

  • Artículo del BlogEntiende y cumple con los requisitos de residencia de datos del RGPD
  • Artículo del BlogCómo enviar información personal identificable por correo electrónico cumpliendo el RGPD: tu guía para comunicaciones seguras por email
  • Artículo del BlogLogra el cumplimiento RGPD para cumplir con la nueva ley de privacidad de datos de la UE
  • Artículo del BlogCómo compartir archivos con socios internacionales sin violar el RGPD
  • Artículo del BlogCómo crear formularios conformes con el RGPD

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks