Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Cumplimiento del GDPR en 2026: Cuando la falta de supervisión de proveedores multiplica las sanciones

Cumplimiento del GDPR en 2026: Cuando la falta de supervisión de proveedores multiplica las sanciones

by Danielle Barbour updated mayo 20, 2026 Cumplimiento de GDPR
Reading Time: 10 minutes

Puntos clave

  1. El aumento de las multas GDPR indica una aplicación estructural. Solo en 2025 se impusieron 1.200 millones de euros en multas, elevando el total acumulado desde 2018 a 5.880 millones de euros, con notificaciones de filtraciones que promedian 443 por día.
  2. Las deficiencias en la supervisión de proveedores multiplican las sanciones. Las autoridades de protección de datos ahora consideran la gestión débil de procesadores, la ausencia de EIPD y controles técnicos insuficientes como factores agravantes que incrementan directamente el importe de las multas según las directrices del EDPB.
  3. La protección de los datos de menores emerge como prioridad independiente. Los reguladores impusieron multas importantes a Reddit y PlayOn por el tratamiento ilícito de datos de menores, destacando la privacidad juvenil como un enfoque de cumplimiento específico en varias jurisdicciones.
  4. Las brechas en la visibilidad de los datos debilitan el cumplimiento. Solo el 33% de las organizaciones sabe dónde almacena todos sus datos, y los fallos en auditorías se relacionan fuertemente con antecedentes de filtraciones, lo que hace que los registros de auditoría unificados sean esenciales para minimizar el riesgo regulatorio.

La magnitud de la aplicación del GDPR en 2026 ya no sorprende. Es estructural.

La Encuesta de Multas y Filtraciones GDPR de DLA Piper, 8ª edición documentó otros 1.200 millones de euros en multas GDPR durante 2025, elevando el total acumulado desde 2018 a aproximadamente 5.880 millones de euros. Las notificaciones de filtraciones aumentaron un 22% interanual, promediando 443 por día. El CMS GDPR Enforcement Tracker registra 2.245 multas totales con una media de aproximadamente 2,36 millones de euros por multa.

Lo que ha cambiado no es el volumen, sino el patrón. Las autoridades de protección de datos en la UE se centran cada vez más en los artículos 5(1)(a)—licitud, equidad y transparencia—y 5(1)(f)—integridad y confidencialidad. Estas disposiciones inciden directamente en cómo las organizaciones gestionan proveedores, aplican controles técnicos y demuestran que sus prácticas de tratamiento de datos coinciden con lo que prometen sus avisos de privacidad.

La tendencia de aplicación ya no se trata principalmente de multas mediáticas a gigantes tecnológicos. Ahora se evalúa sistemáticamente si los programas de gobernanza de datos funcionan en la práctica—no solo en papel.

5 puntos clave

1. Las multas GDPR alcanzan de nuevo los 1.200 millones de euros en 2025.

Las multas acumuladas desde 2018 han llegado a unos 5.880 millones de euros, con notificaciones de filtraciones que promedian 443 por día—un aumento del 22% interanual. La aplicación del GDPR ha pasado de eventos esporádicos a operaciones sostenidas y de alto volumen, con un mínimo anual de multas predecible.

2. Las autoridades usan fallos en la supervisión de proveedores para aumentar sanciones.

Los reguladores ahora tratan la gestión inadecuada de procesadores, EIPD débiles y controles técnicos insuficientes como factores agravantes que elevan las multas. La metodología de cálculo en cinco pasos del EDPB implica que las brechas en la supervisión de proveedores se traducen directamente en sanciones más altas—no solo en hallazgos secundarios.

3. La aplicación sobre datos de menores se acelera.

La ICO del Reino Unido multó a Reddit con 14,5 millones de libras por el tratamiento ilícito de datos de menores vinculado a una verificación de edad débil. La CPPA de California emitió su primera acción de cumplimiento centrada en estudiantes—una multa de aproximadamente 1,1 millones de dólares contra PlayOn. La privacidad de los datos juveniles es ahora una prioridad regulatoria independiente en varias jurisdicciones.

4. Solo el 33% de las organizaciones sabe dónde almacena todos sus datos.

Sin una clasificación y visibilidad completa de los datos, las organizaciones no pueden demostrar la supervisión de procesadores, el mapeo de datos ni las salvaguardas técnicas que esperan las autoridades. No puedes probar que gestionas datos que no puedes localizar.

5. La correlación entre auditoría y filtraciones es clara.

Solo el 6% de las organizaciones que fallaron una auditoría de cumplimiento no tiene antecedentes de filtraciones, frente al 30% de las que aprobaron todas las auditorías. La preparación de registros de auditoría no es solo un ejercicio de cumplimiento—es un indicador clave de resultados de seguridad y un factor directo en cómo las autoridades calculan la gravedad de las multas.

Lista de verificación integral de cumplimiento GDPR

Leer ahora

La multa a Free Mobile: 27 millones de euros por no proteger los datos de suscriptores

En 2026, la CNIL de Francia multó a Free Mobile con 27 millones de euros—parte de un paquete de cumplimiento de 42 millones de euros—por no proteger adecuadamente los datos de suscriptores. La sanción se centró en medidas técnicas y organizativas insuficientes: el lenguaje preciso que usan las autoridades cuando los controles de seguridad de una empresa no se ajustan al perfil de riesgo de los datos tratados.

No se trata de una empresa que ignora por completo el GDPR. Free Mobile es uno de los mayores operadores móviles de Francia, bajo una supervisión regulatoria significativa. La multa indica que las autoridades ya no se conforman con la existencia de programas de seguridad. Evalúan la adecuación de esos programas frente a los tipos de datos específicos, volúmenes de tratamiento y exposiciones al riesgo que realmente enfrenta la organización.

Las Directrices 04/2022 del EDPB sobre el cálculo de multas administrativas establecen una metodología de cinco pasos que ahora usan todas las autoridades de la UE. El paso 3 evalúa circunstancias agravantes y atenuantes. Entre los factores atenuantes están demostrar acciones correctivas, cooperar con las autoridades y tener medidas técnicas y organizativas ya implementadas. Entre los agravantes figuran la débil supervisión de proveedores, la ausencia de EIPD y controles técnicos fragmentados—todos ellos incrementan las multas.

Para los responsables de seguridad y cumplimiento, la implicación es directa: la evidencia de los controles importa tanto como los propios controles. Si no puedes demostrar a una autoridad que tu arquitectura de seguridad era razonable antes del incidente, el cálculo de la multa jugará en tu contra.

La multa de 14,5 millones de libras a Reddit: los datos de menores como prioridad de cumplimiento

La multa de 14,5 millones de libras de la ICO del Reino Unido a Reddit por el tratamiento ilícito de datos de menores vinculado a una verificación de edad débil representa un segundo gran tema de cumplimiento en 2026: los reguladores tratan los datos de menores y la privacidad juvenil como una prioridad independiente, no solo como parte de la protección general de datos.

Esto sigue una tendencia global. Las reglas COPPA actualizadas en Estados Unidos han ampliado la definición de información personal para incluir datos biométricos y de identificación gubernamental, con requisitos más estrictos de retención y transparencia. Nueva York y Vermont han promulgado leyes de diseño apropiado para la edad con fechas de entrada en vigor escalonadas hasta 2026–2027. Las autoridades de protección de datos del G7 emitieron una declaración conjunta sobre la protección de los datos de menores.

La aplicación en California suma otro ejemplo. La Agencia de Protección de la Privacidad de California multó a PlayOn con aproximadamente 1,1 millones de dólares por no ofrecer a estudiantes y familias la opción de no participar en la recopilación de datos en servicios de entradas, recaudación de fondos y streaming. Es la primera acción de cumplimiento de la CPPA dirigida explícitamente a los derechos de privacidad de estudiantes.

Las organizaciones que operan en o cerca de educación, servicios juveniles, videojuegos, redes sociales o servicios digitales familiares deben tratar la gobernanza de datos de menores como una línea de cumplimiento diferenciada—no como algo cubierto por políticas generales de privacidad.

El problema de la supervisión de proveedores: por qué las autoridades se centran en la gestión de procesadores

El incidente de Rockstar Games/Anandot/Snowflake de abril de 2026 ilustra por qué la supervisión de proveedores se ha convertido en un enfoque clave de cumplimiento. Cuando un proveedor de análisis externo es el vector de la filtración, la pregunta de las autoridades no es solo «¿El proveedor fue hackeado?», sino «¿El responsable del tratamiento demostró una supervisión adecuada del procesador?»

El Informe de Filtraciones de Terceros de Black Kite 2026 muestra la magnitud: 136 incidentes verificados de filtraciones de terceros en 2025, 719 víctimas identificadas y unas 26.000 empresas adicionales afectadas. El retraso medio en la divulgación pública fue de 73 días. Entre los 50 proveedores compartidos principales, el 62% tenía credenciales corporativas en registros de stealer y el 84% presentaba vulnerabilidades críticas CVSS 8+.

Según los artículos 28 y 29 del GDPR, los responsables deben usar solo procesadores que ofrezcan garantías suficientes e implementar cláusulas contractuales vinculantes sobre medidas de seguridad, derechos de auditoría y controles de subprocesadores. Pero los contratos son solo el inicio. Las autoridades ahora evalúan si los responsables monitorizan activamente a sus procesadores, verifican las afirmaciones de cumplimiento y mantienen controles técnicos para detectar comportamientos anómalos. Esto afecta directamente a los programas de gestión de riesgos de terceros que dependen de cuestionarios anuales en lugar de una monitorización continua.

El Informe de Amenazas de Datos Thales 2026 destaca por qué esto es tan difícil en la práctica: solo el 33% de las organizaciones tiene conocimiento completo de dónde se almacenan sus datos y solo el 39% puede clasificarlos todos. Si una organización no puede decir con certeza a qué datos acceden sus procesadores, no puede demostrar la supervisión que ahora exigen las autoridades.

La correlación auditoría-filtración: por qué la preparación de cumplimiento predice los resultados de seguridad

Uno de los hallazgos más llamativos del informe de Thales es la relación entre el desempeño en auditorías y el historial de filtraciones. Solo el 6% de las organizaciones que fallaron una auditoría de cumplimiento no tiene antecedentes de filtraciones. En cambio, el 30% de las organizaciones que aprobaron todas las auditorías no tiene historial de filtraciones.

Esto es una correlación, no una prueba de causalidad. Pero la implicación es clara: las organizaciones que invierten en preparación para auditorías—registros completos, aplicación constante de políticas, controles documentados—suelen ser las mismas que evitan filtraciones. La infraestructura de auditoría y la de seguridad se superponen en gran medida.

El Informe de Perspectivas de Seguridad de Datos, Cumplimiento y Riesgo de Kiteworks 2026 aporta más detalle. El 61% de las organizaciones intenta construir registros de auditoría de calidad probatoria sobre infraestructuras fragmentadas de intercambio de datos—registros aislados de correo electrónico, uso compartido de archivos, SFTP y sistemas MFT que nunca se diseñaron para interoperar. Esto genera tanto riesgo (brechas de visibilidad y detección tardía) como ineficiencia operativa (correlación manual, retención inconsistente, esfuerzo duplicado).

El 39% de las organizaciones con enfoques unificados de intercambio de datos y registros de auditoría a nivel de cumplimiento están en una posición fundamentalmente diferente cuando una autoridad solicita evidencia. Producen una cadena de custodia para datos confidenciales en todos los canales de intercambio en minutos. El otro 61% correlaciona registros de múltiples sistemas—si es que existen y están completos.

Choque regulatorio: convergencia de GDPR, Ley de IA y DORA

Las tendencias de aplicación del GDPR en 2026 no existen de forma aislada. Se cruzan con la Ley de IA de la UE, DORA y NIS 2—creando un entorno de cumplimiento en capas donde la supervisión de proveedores, la gobernanza de datos y los controles de seguridad se evalúan bajo varios marcos simultáneamente.

La Perspectiva Europea de Kiteworks 2026 encontró que el 40% de las organizaciones europeas cita la Ley de IA como una de sus principales preocupaciones, y el 55% planea invertir en automatización de cumplimiento para gestionar la superposición regulatoria. La Ley de IA introduce multas administrativas de hasta 35 millones de euros o el 7% de la facturación anual global, y sus requisitos de documentación de datos de entrenamiento y transparencia de sistemas de IA crean nuevas obligaciones probatorias que se solapan directamente con las exigencias de responsabilidad del GDPR.

El Informe de Perspectivas Globales de Ciberseguridad 2026 del Foro Económico Mundial resume la dinámica macro: el 31% de las grandes organizaciones cita la complejidad regulatoria y de gobernanza como una de las principales barreras para la resiliencia cibernética. Las organizaciones que tratan cada marco como una línea de cumplimiento separada se ahogan en esfuerzos duplicados. Aquellas que construyen arquitecturas de gobernanza unificadas—un solo motor de políticas, un registro de auditoría, una base de evidencia—pueden cubrir varios marcos desde una sola base.

El enfoque Kiteworks: cumplimiento demostrado, no prometido

Los patrones de aplicación de 2026 comparten un requisito común: las organizaciones deben aportar evidencia de que sus controles funcionan en la práctica, no solo en la documentación. Las autoridades evalúan si los registros de auditoría están completos, las políticas se aplican y la supervisión de proveedores es activa—no si existe un documento de políticas en la intranet.

La Red de Datos Privados de Kiteworks consolida todo el intercambio de datos confidenciales—correo electrónico seguro, uso compartido seguro de archivos, SFTP, transferencia de archivos gestionada, APIs, formularios web e integraciones de IA—bajo una sola plataforma de gobernanza con un motor de políticas y un registro de auditoría consolidado. Para GDPR en concreto, cada intercambio de datos con un procesador, socio o tercero pasa por controles de acceso consistentes, con cada acción registrada en tiempo real sin limitaciones ni demoras.

Los informes de cumplimiento preconfigurados para GDPR, HIPAA, CMMC 2.0 y otros marcos permiten demostrar preparación para auditorías bajo demanda. La arquitectura de tenencia única elimina riesgos de vulnerabilidad entre inquilinos. La seguridad en capas—firewalls integrados, WAF, cifrado doble en reposo y arquitectura de confianza cero—garantiza que la plataforma cumpla el estándar de «medidas técnicas y organizativas apropiadas» que evalúan las autoridades bajo el artículo 32.

Cuando una autoridad solicita evidencia de supervisión de procesadores, prácticas de cifrado o registros de intercambio de datos tras una filtración, la diferencia entre producir un registro de auditoría unificado en minutos y pasar semanas reconstruyendo evidencia fragmentaria es la diferencia entre un factor atenuante y uno agravante.

Qué deben hacer ahora los responsables de cumplimiento y seguridad

Primero, realiza una auditoría de supervisión de procesadores centrada en controles demostrables, no solo en cláusulas contractuales. El informe de Black Kite halló que el 62% de los principales proveedores compartidos tenía credenciales en registros de stealer. Los contratos son necesarios pero no suficientes. Verifica que las afirmaciones de seguridad de los procesadores estén respaldadas por monitorización continua, revisiones de acceso y detección de anomalías.

Segundo, unifica los registros de auditoría en todos los canales de intercambio de datos antes del próximo incidente, no después. Si los registros de correo electrónico, transferencia de archivos y acceso a APIs están en sistemas diferentes con políticas de retención distintas, tu evidencia tendrá brechas que las autoridades considerarán factores agravantes.

Tercero, construye la gobernanza de datos de menores como una línea de cumplimiento diferenciada. Las acciones de cumplimiento contra Reddit, PlayOn y COPPA demuestran que los reguladores tratan los datos juveniles como prioridad independiente. Las organizaciones que gestionan datos de o sobre menores necesitan EIPD específicas, flujos de consentimiento y mecanismos de verificación de edad.

Cuarto, alinea el cumplimiento de GDPR, Ley de IA, DORA y NIS 2 bajo una arquitectura de gobernanza unificada. Un solo motor de políticas, registro de auditoría y base de evidencia reduce la duplicación y produce la evidencia transversal que los reguladores esperan cada vez más.

Quinto, utiliza la preparación para auditorías como métrica de seguridad. El hallazgo del informe de Thales de que los fallos en auditorías se correlacionan con la probabilidad de filtraciones significa que la inversión en cumplimiento es inversión en seguridad. Las organizaciones que no pueden producir registros de auditoría de calidad probatoria bajo demanda no solo fallan en cumplimiento—también tienen más probabilidades de sufrir filtraciones.

La tendencia es clara: la aplicación del GDPR es cada vez más quirúrgica, basada en evidencia y centrada en si los controles funcionan en la práctica. Las organizaciones que esperan a una investigación para descubrir sus brechas de evidencia pagarán esas brechas en la multa.

Para saber más sobre el cumplimiento GDPR, agenda una demo personalizada hoy.

Preguntas frecuentes

Las autoridades ahora consideran la supervisión débil de procesadores como un factor agravante en el cálculo de multas según las Directrices 04/2022 del EDPB. Los reguladores esperan monitorización activa del cumplimiento de los procesadores, cláusulas contractuales vinculantes y controles técnicos implementados. Los programas de gestión de riesgos de proveedores basados solo en cuestionarios anuales o protecciones contractuales ya no cumplen con lo que buscan las autoridades en sus investigaciones.

SOC 2 cubre controles de seguridad pero no se corresponde directamente con los requisitos de procesadores del GDPR bajo los artículos 28 y 29. El Informe de Amenazas de Datos Thales 2026 halló que solo el 33% de las organizaciones tiene visibilidad completa de sus datos. Además, necesitas documentación específica de procesadores para GDPR, EIPD y evidencia de supervisión continua que SOC 2 no cubre.

Sí. La multa de aproximadamente 1,1 millones de dólares contra PlayOn por parte de la CPPA indica que los reguladores están apuntando específicamente a servicios relacionados con la educación. Si tratas datos de menores o a través de canales escolares, trata los flujos de consentimiento, mecanismos de exclusión y prácticas de minimización de datos como una línea de cumplimiento prioritaria distinta de tu programa general de privacidad de datos.

Los registros fragmentados generan brechas de evidencia que las autoridades consideran factores agravantes. Solo el 39% de las organizaciones tiene registros de auditoría unificados y a nivel de cumplimiento según la Perspectiva Kiteworks 2026. Un registro consolidado que cubra correo electrónico, uso compartido de archivos, SFTP e intercambios API te permite producir evidencia de cadena de custodia en minutos—un factor atenuante directo en cualquier investigación.

No solo es realista—es cada vez más necesario. El Informe de Perspectivas Globales de Ciberseguridad 2026 del WEF halló que el 31% de las grandes organizaciones cita la complejidad regulatoria como una de las principales barreras para la resiliencia. Una arquitectura de gobernanza unificada con un solo motor de políticas, un registro de auditoría y una base de evidencia cubre GDPR, DORA y NIS 2 simultáneamente—eliminando la duplicación que generan las líneas de cumplimiento separadas.

Recursos adicionales

  • Artículo del BlogEntiende y cumple con los requisitos de residencia de datos GDPR
  • Artículo del BlogCómo enviar información personal identificable por correo electrónico cumpliendo GDPR: tu guía para comunicaciones seguras
  • Artículo del BlogLogra el cumplimiento GDPR para cumplir con la nueva ley de privacidad de datos de la UE
  • Artículo del BlogCómo compartir archivos con socios internacionales sin violar GDPR
  • Artículo del BlogCómo crear formularios compatibles con GDPR

Preguntas frecuentes

La Encuesta de Multas y Filtraciones GDPR de DLA Piper documentó 1.200 millones de euros en multas GDPR durante 2025, elevando el total acumulado desde 2018 a aproximadamente 5.880 millones de euros, con notificaciones de filtraciones que promedian 443 por día.

Los reguladores consideran la gestión inadecuada de procesadores, EIPD débiles y controles técnicos insuficientes como factores agravantes bajo la metodología de cálculo en cinco pasos del EDPB, elevando directamente el importe de las multas en vez de tratarlos como cuestiones secundarias.

La multa se centró en medidas técnicas y organizativas insuficientes que no se ajustaban al perfil de riesgo de los datos de suscriptores, señalando que las autoridades ahora evalúan la adecuación de los programas de seguridad frente a los tipos, volúmenes y exposiciones reales de datos, no solo la existencia de controles.

Solo el 6% de las organizaciones que fallaron una auditoría de cumplimiento no reportó antecedentes de filtraciones, frente al 30% de las que aprobaron todas las auditorías, lo que indica que la preparación para auditorías y buenas prácticas de registro se relacionan fuertemente con mejores resultados de seguridad.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks