Skip to content

Responsabilidad proactiva del RGPD: qué deben documentar las empresas de la UE

La responsabilidad proactiva del RGPD obliga a demostrar el cumplimiento, no solo a afirmarlo. Qué registros debe conservar una empresa de la UE —ROPA, EIPD, políticas— y cómo construir el conjunto.

Registros dispersos de actividades de tratamiento que se consolidan en un único conjunto de responsabilidad proactiva del RGPD, completo y verificado, sobre un mapa tenue de Europa: azul marino y coral sobre crema.
Methodology by Daniela PiskackovaCo-founder & AI Audit Lead

La mayoría de las empresas entienden el cumplimiento del RGPD como un estado al que se llega: firmar una política, añadir un aviso de cookies y listo. El Reglamento lo entiende como algo que hay que poder demostrar. Ese es el principio de responsabilidad proactiva, el centro silencioso de toda la norma: en virtud del artículo 5, apartado 2, la empresa responde del cumplimiento de los principios de protección de datos y debe ser capaz de demostrarlo [1]. En la práctica, esa demostración es un conjunto de documentos —registros, evaluaciones, políticas y procedimientos— que describen, con exactitud y coherencia, cómo trata realmente los datos personales su organización. Para una empresa europea sin departamento jurídico, construir y mantener ese conjunto es la verdadera tarea del RGPD. Esta guía expone qué contiene el conjunto, por qué existe cada pieza y en qué se diferencia la obligación a lo largo de Europa, incluido por qué «europeo» no es lo mismo que «británico».

Respuesta rápida. La responsabilidad proactiva del RGPD (artículo 5, apartado 2) significa que la empresa no solo debe cumplir la normativa de protección de datos, sino poder demostrarlo con documentación. El conjunto básico lo forman un registro de las actividades de tratamiento, una capa de base jurídica e información al interesado, los contratos de encargo de tratamiento y una EIPD cuando el riesgo es alto, todo ello mantenido con exactitud, adaptado a la empresa y coherente internamente.

Qué significa realmente la responsabilidad proactiva en el RGPD

La mayoría de las obligaciones del RGPD resultan familiares a grandes rasgos: tener una base jurídica, informar a las personas de lo que se hace con sus datos, mantenerlos seguros y respetar sus derechos. La responsabilidad proactiva es el principio que convierte esas obligaciones de intenciones en algo verificable. El artículo 5, apartado 2, hace al responsable del tratamiento «responsable del cumplimiento» de los principios de protección de datos y «capaz de demostrarlo», y el artículo 24 exige aplicar medidas apropiadas y poder demostrar que el tratamiento es conforme con el Reglamento [1]. Las palabras clave son capaz de demostrarlo. El cumplimiento que no puede acreditarse por escrito, cuando se le requiere, no cuenta.

Es un desplazamiento de dónde recae la carga de la prueba. Una autoridad de control que abre una investigación, un cliente corporativo que ejecuta su diligencia debida sobre proveedores o una contraparte que negocia un contrato no parten de presumir que usted incumple; pero, en cuanto piden «demuéstremelo», la responsabilidad de aportar evidencia coherente es suya, no de ellos. Y la prueba que aplican no es de volumen. Una carpeta de políticas genéricas no impresiona a nadie; lo que buscan las autoridades es concreción y coherencia interna: documentos que describan su tratamiento real, nombren sus sistemas y proveedores verdaderos y no se contradigan entre sí. La propia orientación de la Comisión Europea para las organizaciones plantea el deber en esos mismos términos: demostrar el cumplimiento mediante registros, evaluaciones de impacto y documentación de violaciones de seguridad [2].

Lo que hay detrás de esa palabra no es abstracto. El RGPD respalda la responsabilidad proactiva con multas administrativas de hasta 20 millones EUR o el 4 % del volumen de negocio total anual mundial, optándose por la de mayor cuantía, para las infracciones más graves [1]. Pero, para la mayoría de las pequeñas y medianas empresas, la presión más aguda y frecuente es comercial antes que regulatoria: el proceso de compras o de diligencia debida sobre proveedores de un cliente mayor reclama su ROPA, su contrato de encargo de tratamiento y su documentación de seguridad antes de firmar, y la operación se detiene la semana en que usted no puede presentarlos. La documentación de responsabilidad proactiva se ha convertido, sin ruido, en una condición previa para vender a organizaciones más grandes, y la misma lógica se extiende a aseguradoras y socios. Por eso cada vez más empresas construyen el conjunto de forma proactiva, como una credencial comercial que permite a una contraparte confiarles datos personales, en lugar de esperar a que lo pida un regulador.

Así pues, la responsabilidad proactiva reformula todo el ejercicio. La pregunta ya no es «¿cumplimos?», en abstracto, sino «¿qué podemos demostrar, ahora mismo, sobre cada cosa que hacemos con datos personales?». Todo lo que sigue es una respuesta a esa pregunta.

El conjunto de documentación: qué deben demostrar las empresas europeas

No existe un «certificado del RGPD» único. La responsabilidad proactiva se acredita, en cambio, mediante un conjunto de documentos, cada uno ligado a una obligación concreta, que en conjunto cubren todas las actividades en las que su organización trata datos personales. Qué piezas necesita depende de lo que haga —recurrir a un proveedor obliga a un contrato de encargo de tratamiento; un tratamiento de alto riesgo obliga a una evaluación de impacto—, pero la columna vertebral es la misma para todas las empresas europeas.

En términos sencillos, el conjunto se construye actividad por actividad:

  • Un registro de las actividades de tratamiento (ROPA), artículo 30. El documento vertebral: un inventario de cada actividad de tratamiento —qué datos, de quién, para qué, con qué base, con quién se comparten, cuánto se conservan y qué los protege—. Autoridades nacionales como la CNIL francesa publican plantillas precisamente porque es el instrumento al que recurren primero; es, en palabras de los reguladores, un documento con fines de inventario y de análisis que debe reflejar la realidad de su tratamiento [1][4].
  • Una base jurídica para cada actividad, artículo 6, más una ponderación del interés legítimo. Cada actividad necesita una de las seis bases jurídicas. Cuando se recurre al interés legítimo (artículo 6, apartado 1, letra f), hay que documentar un triple juicio de ponderación —fin, necesidad y equilibrio frente a los derechos de la persona—, una disciplina que el Tribunal de Justicia reafirmó en su sentencia KNLTB de 2024 [1][9].
  • Información al interesado, artículos 13 y 14. Lo que comunica a las personas cuyos datos conserva, según los haya recabado directamente de ellas o no. Esa información tiene que cuadrar con el ROPA; un desajuste entre lo que dice y lo que registra es justo la contradicción que busca una autoridad [1].
  • Contratos de encargo de tratamiento, artículo 28. Siempre que un proveedor trate datos personales por cuenta de usted —gestoría de nóminas, proveedor de alojamiento en la nube, plataforma de correo—, el artículo 28 exige un contrato con cláusulas definidas. La Comisión publica cláusulas contractuales tipo oficiales para este preciso fin, sobre las que puede asentarse un contrato conforme [1][5].
  • Garantías para las transferencias, capítulo V. Si los datos personales salen del Espacio Económico Europeo, necesita un mecanismo de transferencia válido: una decisión de adecuación o las cláusulas contractuales tipo de la Comisión para transferencias internacionales [1][6].
  • Una evaluación de impacto relativa a la protección de datos (EIPD), artículo 35. Obligatoria cuando el tratamiento entrañe probablemente un alto riesgo —categorías especiales de datos a gran escala, observación sistemática, elaboración de perfiles extensa—. Las directrices europeas fijan nueve criterios y consideran que dos o más son el detonante; además, cada autoridad nacional publica su propia lista de EIPD obligatorias [1][3].
  • Procedimientos, no solo documentos. En torno al conjunto se sitúan las piezas operativas: un procedimiento para atender las solicitudes de ejercicio de derechos dentro del plazo de un mes (artículos 12 a 22), un procedimiento de violaciones de seguridad capaz de notificar a la autoridad en un plazo de 72 horas cuando proceda (artículos 33 y 34) y una política interna que describa las medidas técnicas y organizativas que mantienen seguros los datos (artículos 24 y 32) [1].

Esa es la anatomía. El arte está en hacerlo suyo —cada campo rastreable hasta algo cierto sobre su empresa— y no en una carpeta de texto genérico de apariencia verosímil.

Un reglamento, muchas autoridades: el panorama europeo

Aquí es donde el encuadre europeo importa, y donde es fácil equivocarse leyendo consejos centrados en el Reino Unido. El RGPD es un reglamento, no una directiva: el Reglamento (UE) 2016/679 es directamente aplicable en todos los Estados miembros de la UE y en el conjunto del Espacio Económico Europeo, que incluye a Noruega, Islandia y Liechtenstein [1][2]. Los artículos que sostienen el edificio —responsabilidad proactiva, base jurídica, ROPA, EIPD, derechos del interesado— son texto idéntico en Alemania, Francia, Italia, España, Polonia, Eslovaquia y en todas partes. Una empresa que opera en toda Europa construye el núcleo de la UE una sola vez.

Lo que cambia es la capa nacional que se monta sobre ese núcleo. Cada país tiene su propia autoridad de control —la CNIL en Francia, el Garante en Italia, la AEPD en España, la BfDI y las autoridades de los Länder en Alemania, etc.— y cada una puede dictar particularidades nacionales: la edad a la que un menor puede consentir servicios en línea (fijada en cualquier punto entre los 13 y los 16 años en el bloque), las normas sobre datos laborales y la lista de tratamientos que la autoridad considera que siempre exigen una EIPD. La coherencia entre estas autoridades la sostienen el Comité Europeo de Protección de Datos y el mecanismo de ventanilla única, de modo que el núcleo no se fragmenta [8]. Para un conjunto de responsabilidad proactiva, esto significa que la estructura es uniforme y la variación, acotada: cartografíe el núcleo de la UE y luego superponga el puñado de particularidades nacionales de cada país en el que opere.

Y por eso, precisamente, lo europeo no es lo mismo que lo británico. Desde el Brexit, el Reino Unido queda fuera del RGPD de la UE. Aplica su propio UK GDPR junto con la Data Protection Act 2018, bajo la supervisión de la ICO, y ha empezado a divergir del texto de la UE mediante reformas internas. Suiza, que nunca estuvo en la UE, tiene su propia Ley Federal de Protección de Datos revisada. Así que una empresa centrada en la UE debería tratar al Reino Unido y a Suiza como regímenes paralelos e independientes —jurisdicciones distintas que documentar por derecho propio—, no como variantes locales del reglamento de la UE [2]. Buena parte de las orientaciones sobre el «RGPD» que se difunden son, en realidad, orientaciones británicas; para un tratamiento centrado en la UE y el EEE, el reglamento, las autoridades y los textos de referencia que cita son los europeos.

Donde la responsabilidad proactiva se complica: la IA y las decisiones automatizadas

Adoptar IA no crea un universo de cumplimiento aparte, pero sí añade peso al conjunto de responsabilidad proactiva. Importan tres puntos. Primero, las decisiones individuales automatizadas y la elaboración de perfiles que producen efectos jurídicos o similares en las personas llevan garantías específicas en virtud del artículo 22, incluido, en muchos casos, el derecho a la intervención humana [1]. Segundo, la IA que trata datos personales a gran escala, o que elabora perfiles de las personas, cumple con frecuencia los criterios del artículo 35 y, por tanto, activa una EIPD [1][3]. Tercero, sigue haciendo falta una base jurídica clara y documentada para todo entrenamiento o inferencia que se realice sobre datos personales.

Por encima del RGPD, el Reglamento de Inteligencia Artificial (Reglamento (UE) 2024/1689) introduce una capa de obligaciones aparte, basada en el riesgo, sobre los propios sistemas de IA [7]. Ambos regímenes operan en paralelo: el Reglamento de IA gobierna el sistema, el RGPD gobierna los datos personales que este toca, y la responsabilidad proactiva del RGPD se aplica desde el momento en que un sistema de IA trata datos personales, con independencia de cómo lo clasifique el Reglamento de IA. La consecuencia práctica es que una organización que traslada trabajo a la IA hereda más que documentar, no menos. Abordamos la convergencia regulatoria más amplia en nuestra guía sobre la gobernanza de la IA y las normas que se aplican, y el modelo operativo que mantiene esta evidencia generada como subproducto del trabajo normal en la empresa nativa en IAEN.

La advertencia honesta: la documentación es necesaria, no suficiente

Sería cómodo decir que, una vez que el conjunto existe, usted cumple. No es así, y fingir lo contrario es la forma clásica en que fracasa la responsabilidad proactiva. Tres límites honestos.

Primero, los documentos tienen que cuadrar con la realidad, y hay que aplicarlos. Una política que describa controles de acceso que sus sistemas no imponen, o un ROPA que omita la videovigilancia de la recepción, no es neutral: es evidencia de incumplimiento. El conjunto solo demuestra responsabilidad proactiva si es concreto, coherente internamente y realmente vivido. Segundo, un conjunto de documentación no es asesoramiento jurídico ni una certificación. Producir los registros que exige la ley es una redacción estructurada, no un dictamen jurídico sobre su situación particular; y no existe ningún estatus de «certificado del RGPD» que se obtenga por tener buen papeleo: la vía formal de certificación del artículo 42 es un mecanismo aparte y acreditado. Tercero, algunas situaciones requieren un profesional. Una EIPD genuinamente compleja, una estructura transfronteriza controvertida o una investigación regulatoria en curso no son terreno de plantillas; ahí lo correcto es escalar a un asesor cualificado, y un buen proceso de responsabilidad proactiva le indica cuándo.

Nombrar estos límites no es una cautela defensiva. Es la diferencia entre un conjunto que resiste el escrutinio y una carpeta que se desmorona la primera vez que alguien la lee con detenimiento.

Cómo construir su conjunto de responsabilidad proactiva

Hay, en la práctica, tres maneras de producir el conjunto. Un despacho de abogados o un consultor especializado en protección de datos le aporta exactitud y criterio, pero con lentitud y a un coste que tensa a una empresa pequeña. Las plantillas genéricas son rápidas y baratas, pero no superan la prueba de concreción y coherencia que las autoridades aplican de verdad, y un conjunto contradictorio o hueco es peor que una laguna honesta. La tercera vía es un conjunto generado y sistematizado: usted responde a preguntas estructuradas sobre su empresa y sus actividades de tratamiento, y a partir de una biblioteca de cláusulas construida sobre el reglamento y la orientación oficial se ensambla un conjunto a medida y coherente internamente; rápido, como las plantillas, pero específico para usted, como el abogado.

Construya el conjunto sin el calendario de un despacho. La GDPR Accountability Documentation de easyAI convierte un breve cuestionario guiado sobre su empresa y sobre cómo trata los datos personales en un conjunto de responsabilidad proactiva a medida y coherente internamente —registro de las actividades de tratamiento, política interna, información al interesado, contratos de encargo de tratamiento, una ponderación del interés legítimo cuando la necesite y un cribado de EIPD—, generado en días, en inglés más su idioma nacional y a una fracción del coste de un encargo personalizado. Es apoyo documental, no asesoramiento jurídico ni certificación, y da por supuesto que usted aplica lo que describe. Si su próximo paso es la IA y no el papeleo, la AI Foundation AuditEN ordena dónde rinde la automatización; empiece por el informe de muestraEN. Ambos productos viven en la plataforma de easyAI, en aiprioritymap.com.

La secuencia, por su parte, es directa: inventaríe toda actividad que toque datos personales, fije una base jurídica para cada una, redacte los registros y la información que las describen, formalice los contratos con los proveedores, evalúe los supuestos de alto riesgo y levante los procedimientos de derechos y de violaciones de seguridad; luego, mantenga todo el conjunto al día a medida que cambia su tratamiento. La responsabilidad proactiva no es un proyecto que se termina; es un estado que se mantiene. Pero el primer 80 %, el más difícil —un conjunto completo, coherente y específico de su empresa que pueda poner ante cualquiera que lo pida—, es justo la parte que ahora puede generarse en lugar de elaborarse a mano.

Preguntas frecuentes

Resumen

GDPR accountability — prove it, don't just claim it
│
├─ The principle (Art 5(2), 24)
│   ├─ Compliance must be demonstrable, not asserted
│   ├─ The burden of proof sits with you, the controller
│   └─ Authorities test specificity + consistency, not volume
│
├─ What you must be able to show
│   ├─ ROPA — every processing activity (Art 30)
│   ├─ Lawful basis + LIA for legitimate interest (Art 6)
│   ├─ Notices · vendor DPAs · transfers (Art 13/14, 28, Ch V)
│   └─ DPIA where risk is high · rights + breach procedures
│
└─ One regulation, many regulators
    ├─ EU + EEA share one core — map it once
    ├─ National DPAs add specifics — CNIL, Garante, AEPD…
    └─ Not the UK — UK GDPR + Swiss FADP are separate

Contenidos relacionados

Próximos artículos de este grupo: cómo construir un registro de las actividades de tratamiento, cuándo y cómo realizar una EIPD, cómo elegir una base jurídica, los procedimientos de derechos del interesado, el contrato de encargo de tratamiento del artículo 28 y el RGPD para la IA y las decisiones automatizadas.


Última actualización: junio de 2026. Versión 1.0.

Frequently Asked Questions

¿Qué es el principio de responsabilidad proactiva en el RGPD?
La responsabilidad proactiva está recogida en el artículo 5, apartado 2, del RGPD: el responsable del tratamiento responde del cumplimiento de los principios de protección de datos y debe ser capaz de demostrarlo. Invierte la carga de la prueba sobre la empresa. No basta con tratar los datos personales de forma lícita: hay que poder acreditar, mediante documentación, cómo y por qué se hace. Esa evidencia es justo lo que pide ver una autoridad de control, un cliente o una contraparte.
¿Qué documentos exige realmente el RGPD?
El conjunto básico es un registro de las actividades de tratamiento (artículo 30), una base jurídica para cada actividad —con una ponderación del interés legítimo cuando se recurra a esa base (artículo 6)—, la información al interesado para quienes figuran en sus ficheros (artículos 13 y 14), los contratos de encargo de tratamiento con sus proveedores (artículo 28) y una evaluación de impacto relativa a la protección de datos cuando el tratamiento entrañe un alto riesgo (artículo 35). En torno a ellos van los procedimientos de derechos del interesado y de gestión de violaciones de seguridad, más una política interna que describa sus medidas técnicas y organizativas.
¿Se aplica el RGPD igual en toda Europa?
El núcleo, sí. El Reglamento (UE) 2016/679 es directamente aplicable en toda la UE y en el conjunto del Espacio Económico Europeo: los mismos artículos rigen en Alemania, Francia, Italia, Eslovaquia y los demás Estados miembros, además de Noruega, Islandia y Liechtenstein. Lo que varía es la capa nacional: cada país tiene su propia autoridad de control y un puñado de particularidades nacionales, como la edad a la que un menor puede consentir servicios en línea, las normas sobre datos laborales y la lista de tratamientos que la autoridad considera que siempre exigen una EIPD.
¿Está el Reino Unido cubierto por el RGPD de la UE?
Ya no. Tras el Brexit, el Reino Unido aplica su propio UK GDPR junto con la Data Protection Act 2018, bajo la supervisión de la ICO, y ha empezado a divergir del texto de la UE mediante reformas internas. Suiza tiene asimismo su propia Ley Federal de Protección de Datos revisada. Así que la protección de datos «europea» no es un régimen único: la UE y el EEE comparten un núcleo común, mientras que el Reino Unido y Suiza son sistemas paralelos e independientes que una empresa centrada en la UE trata como jurisdicciones distintas, no como variantes locales.
¿Las pymes y las empresas pequeñas tienen que llevar un registro de las actividades de tratamiento?
Por lo general, sí. El artículo 30, apartado 5, parece eximir a las organizaciones de menos de 250 empleados, pero la excepción decae si el tratamiento no es ocasional, puede entrañar un riesgo para las personas o incluye categorías especiales de datos, supuestos que describen a casi cualquier empresa que gestione nóminas, conserve fichas de clientes o use videovigilancia. En la práctica, la mayoría de las pymes no quedan exentas, y las autoridades europeas recomiendan llevar un ROPA de todos modos: es el instrumento más útil para demostrar la responsabilidad proactiva.
¿Cuándo necesita una empresa una evaluación de impacto relativa a la protección de datos (EIPD)?
El artículo 35 exige una EIPD cuando un tipo de tratamiento entrañe probablemente un alto riesgo para los derechos y libertades de las personas: en particular, el tratamiento a gran escala de categorías especiales de datos, la observación sistemática de zonas de acceso público o la elaboración de perfiles sistemática y extensa con efectos jurídicos o similares. Las directrices europeas fijan nueve criterios de riesgo y consideran que cumplir dos o más es señal clara de que hace falta una EIPD. Además, cada autoridad nacional publica su propia lista de tratamientos que siempre la requieren.
¿Podemos limitarnos a usar plantillas genéricas de documentos del RGPD?
Una plantilla puede servir de punto de partida, pero no supera la prueba que las autoridades aplican de verdad: la concreción y la coherencia interna. Una política que describa medidas de seguridad de las que sus sistemas carecen, o un registro que omita la videovigilancia de la recepción, son evidencia de incumplimiento, no prueba de lo contrario. Los documentos tienen que describir el tratamiento real de su organización, nombrar sus sistemas y proveedores concretos y no contradecirse entre sí; y luego usted debe aplicar lo que describen.
¿Usar IA modifica nuestras obligaciones de RGPD?
Eleva lo que está en juego, no sustituye las reglas. Las decisiones individuales automatizadas y la elaboración de perfiles llevan garantías específicas en virtud del artículo 22; la IA que trata datos personales a gran escala activa con frecuencia una EIPD, y sigue haciendo falta una base jurídica clara para todo entrenamiento o inferencia sobre datos personales. El Reglamento de IA añade una capa de obligaciones aparte, basada en el riesgo, pero la responsabilidad proactiva del RGPD ya se aplica desde el momento en que un sistema de IA trata datos personales: la documentación solo tiene más que recoger.

Sources

  1. 1.Regulation (EU) 2016/679 (General Data Protection Regulation)European Union (EUR-Lex, Official Journal L 119) · 2016
  2. 2.Rules for business and organisations (data protection)European Commission · 2024
  3. 3.Guidelines, Recommendations and Best Practices (incl. DPIA WP248 rev.01; controller/processor 07/2020; consent 05/2020)European Data Protection Board (EDPB) · 2024
  4. 4.Record of processing activities (Article 30 guidance and template)CNIL (French Data Protection Authority) · 2024
  5. 5.Commission Implementing Decision (EU) 2021/915 — standard contractual clauses between controllers and processors (Article 28)European Commission (EUR-Lex) · 2021
  6. 6.Commission Implementing Decision (EU) 2021/914 — standard contractual clauses for international data transfersEuropean Commission (EUR-Lex) · 2021
  7. 7.Regulation (EU) 2024/1689 (Artificial Intelligence Act)European Union (EUR-Lex, Official Journal) · 2024
  8. 8.European Data Protection Board — role and consistency mechanismEuropean Data Protection Board (EDPB) · 2024
  9. 9.Judgment in Case C-621/22 (KNLTB) — legitimate interest as a lawful basisCourt of Justice of the European Union (EUR-Lex) · 2024

Want this run on your business?

AI Foundation Audit — a structured assessment of your AI footprint: integration risks, governance gaps, ROI opportunities. Delivered as a comprehensive report you can act on.

Start your audit

You receive your Executive Report and Implementation Brief — tailored to your business and delivered immediately.