PILAR 2 · PRIVACIDAD Y SEGURIDAD
Cumplir es proteger, no rellenar formularios.
RGPD bien hecho desde el principio, no añadido después con plantilla descargada. ENS si tu actividad lo pide. Encargado del tratamiento contratado con quien toca. Equipos endurecidos. Equipo formado para no abrir lo que no debe.
Sin papel para el cajón. Sin certificaciones de pega. Cumplimiento real, auditable, mantenido en el tiempo.
Ver sub-servicios →
30 minutos. Gratis. Sin compromiso.
POR QUÉ CUMPLIR BIEN
La obligación es la excusa. La protección es el motivo.
La mayoría de PYMES cumple RGPD porque “toca”. Descargan una plantilla, ponen un checkbox y rezan para que nadie pregunte. Funciona hasta que un cliente grande te pide cuestionario de proveedor, una aseguradora te pregunta por tus controles o un ex-empleado descontento presenta denuncia ante la AEPD.
La forma de hacerlo bien es la misma que la forma de hacerlo cómodo: cumplir desde el diseño. RGPD pensado al montar la infraestructura, no añadido al final. ENS cuando tu actividad lo requiere. Encargados del tratamiento firmados con quien procesa tus datos. Equipo formado para que la seguridad sea hábito, no carga.
Y cuando llega NIS2 o una norma nueva, no empiezas de cero: amplías lo que ya tienes.
QUÉ HAGO EN ESTE PILAR
Cuatro frentes que se sostienen entre sí.
Análisis de bases legales reales, registro de actividades de tratamiento (RAT) hecho a medida, política de privacidad para tu sitio y formularios, gestión de derechos (acceso, rectificación, supresión). No plantillas, no "RGPD en 24h".
Esquema Nacional de Seguridad si tu actividad lo pide (subcontratista de Administración Pública, sector salud, ciertas actividades reguladas). Categorización, declaración de aplicabilidad, auditorías preparatorias.
Contratos de encargado del tratamiento con tus proveedores tecnológicos (correo, ERP, web, copia de seguridad, gestoría). Identificación de subencargados, cláusulas RGPD reales, no genéricas.
Hardening de portátiles y servidores: cifrado de disco, gestión de contraseñas, MFA donde aplica, actualizaciones automáticas, política de aplicaciones, formación del usuario. Seguridad operativa, no checklist.
CASOS REALES
Cumplir bien tiene aspecto de esto.
Asesoría legal · 12 empleados · Gipuzkoa
Situación previa: usaban WhatsApp para comunicación con clientes, Dropbox personal para compartir documentos sensibles, sin RAT, política de privacidad copiada de internet de 2018.
Qué hicimos: análisis legal real, RAT a medida, política de privacidad nueva, migración de comunicación cliente a Nextcloud Talk + cifrado, formación a todo el equipo, contratos de encargado de tratamiento con sus 6 proveedores tecnológicos.
Resultado a 6 meses: cuestionario de proveedor de cliente grande respondido sin incidencia, 0 quejas en AEPD desde la intervención, equipo gestionando datos con criterio.
PYME industrial · 18 empleados · Bizkaia
Situación previa: les pidieron certificación ENS Categoría Básica para mantener un contrato público. Sin plan, sin documentación, plazo: 4 meses.
Qué hicimos: gap analysis ENS, plan de implantación priorizado, despliegue de medidas técnicas (MFA, gestión vulnerabilidades, copias verificadas, segmentación red), documentación auditable, auditoría preparatoria con consultor ENS asociado.
Resultado: certificación ENS Básica obtenida, contrato público mantenido, equipo formado para mantener el sistema sin depender de auditoría externa continua.
0
INCIDENCIAS GRAVES EN CLIENTES ACTIVOS
12
AÑOS APLICANDO SEGURIDAD POR DISEÑO
100%
CONTRATOS DE ENCARGADO REVISADOS UNO A UNO
¿Quieres saber cómo estás hoy?
Auditoría inicial gratuita de 30 minutos. Revisamos qué bases legales aplicas, qué contratos de encargado tienes firmados y dónde está tu mayor exposición. Te entrego diagnóstico real, sin alarmismo y sin "hay que cambiarlo todo".
PREGUNTAS FRECUENTES
Antes de escribirme, igual te resuelve esto.
Depende de tu sector y tamaño. NIS2 aplica a sectores esenciales e importantes definidos en la directiva. Si tu PYME está en uno de los sectores cubiertos (energía, transporte, banca, infraestructura digital, sector público, gestión de residuos, fabricación de productos críticos), probablemente sí. La trasposición española define umbrales concretos. En la auditoría inicial te digo si te aplica, sin venderte humo.
No. Mi regla operativa es: si un argumento no se puede formular sin alarmismo, no se usa. Te informo de riesgos reales y verificables, te enseño qué cubre cada medida y decides tú. Si algo no aporta protección proporcionada, te lo digo y no lo presupuesto.
Para empezar, mejor eso que nada. Para sostenerse ante un cliente que pide cuestionario, una inspección AEPD o un cliente que ejerce sus derechos, no. Las plantillas genéricas no contemplan tus bases legales reales, tus tratamientos concretos ni tus proveedores. La política funciona cuando refleja lo que de verdad haces con los datos.
Depende de tu tamaño y punto de partida. Para una PYME de 8-15 personas sin cumplimiento previo, suele estar entre 1.500€ y 4.000€ la implantación inicial (incluye RAT, políticas, contratos de encargado, formación y endurecimiento básico). Mantenimiento posterior es opcional. Cifra concreta para tu caso, en la auditoría inicial gratuita.
Eso es nivel EXTREMO de exposición y no se atiende como un servicio estándar de PYME. Tenemos una línea aparte llamada Cobertura Extremo que entra por consultoría 1-on-1 prolongada, con NDA reforzado y protocolos específicos. Si crees que tu caso encaja, escríbeme directo y lo vemos sin compromiso.
HABLEMOS
Cuéntame cómo gestionas datos hoy.
Auditoría inicial gratuita de 30 minutos. Sin alarmismo, sin "te falta de todo". Diagnóstico real y plan priorizado.
Te respondo en menos de 24 horas laborables.