Volver a recursos
Checklist

Checklist GDPR para proyectos de software empresarial

Lista de verificación con los 25 puntos clave para garantizar el cumplimiento GDPR en proyectos de software empresarial.

Cómo usar este checklist

Este checklist está diseñado para que equipos de desarrollo y responsables de producto puedan verificar el cumplimiento del RGPD (Reglamento General de Protección de Datos) en proyectos de software empresarial. Recorre las secciones en orden al inicio del proyecto y vuelve a validar antes de cada lanzamiento significativo.

1. Identificación del tratamiento y base jurídica

  • [ ] Se ha identificado y documentado cada tratamiento de datos personales que realiza el sistema.
  • [ ] Cada tratamiento tiene una base jurídica clara (consentimiento, contrato, interés legítimo, obligación legal…).
  • [ ] Se ha realizado o descartado razonadamente un Análisis de Impacto (DPIA) para tratamientos de alto riesgo.
  • [ ] El Registro de Actividades de Tratamiento (RAT) está actualizado con este proyecto.

2. Consentimiento y transparencia

  • [ ] Si se usa el consentimiento como base, es explícito, granular, revocable y está registrado con timestamp.
  • [ ] La política de privacidad es accesible, está redactada en lenguaje claro y describe todos los tratamientos.
  • [ ] Los usuarios reciben información en el momento de la recogida de datos (capas informativas).
  • [ ] Se informa del uso de perfilado o decisiones automatizadas con efectos significativos.

3. Derechos de los interesados

  • [ ] Existe un mecanismo documentado para atender solicitudes de acceso, rectificación, supresión y portabilidad.
  • [ ] Los plazos de respuesta (máx. 1 mes, ampliable a 3) están definidos y hay un responsable asignado.
  • [ ] El derecho de oposición y la limitación del tratamiento están implementados técnicamente.
  • [ ] Los datos se eliminan o anonomizan cuando finaliza la finalidad o se solicita la supresión.

4. Seguridad técnica

  • [ ] Los datos personales están cifrados en reposo (AES-256 o equivalente) y en tránsito (TLS 1.2+).
  • [ ] Se aplica el principio de minimización: solo se recogen los datos estrictamente necesarios.
  • [ ] Los controles de acceso están basados en roles (RBAC) con mínimo privilegio.
  • [ ] Existe un sistema de logs de auditoría que registra accesos y modificaciones a datos personales.
  • [ ] Las copias de seguridad están cifradas y su acceso está controlado y auditado.

5. Transferencias internacionales

  • [ ] Se ha identificado si el sistema transfiere datos fuera del EEE (proveedores cloud, CDNs, analytics…).
  • [ ] Las transferencias fuera del EEE tienen garantías adecuadas: decisión de adecuación, SCCs o BCRs.
  • [ ] Los contratos con encargados del tratamiento (DPA) están firmados y actualizados.

6. Gestión de brechas de seguridad

  • [ ] Existe un procedimiento documentado de detección, evaluación y notificación de brechas.
  • [ ] El equipo sabe que las brechas de riesgo elevado deben notificarse a la AEPD en máx. 72 horas.
  • [ ] Se dispone de una plantilla de comunicación a los afectados para brechas con riesgo alto.

7. Privacy by Design

  • [ ] La privacidad se consideró desde el inicio del diseño técnico, no como parche posterior.
  • [ ] Se han aplicado técnicas de pseudonimización o anonimización donde sea viable.
  • [ ] La configuración por defecto es la más restrictiva en términos de privacidad (Privacy by Default).

¿Necesitas ayuda para implementar alguno de estos puntos en tu proyecto? Contacta con nuestro equipo.

¿Necesitas ayuda para aplicarlo en tu empresa?

Nuestro equipo puede acompañarte en la implementación de las mejores prácticas técnicas para tu proyecto.

Hablar con nuestro equipo