Cumplimiento del RGPD no es un estado binario. Es un espectro operacional. La mayoría de empresas D2C europeas ocupan una posición intermedia: tienen política de privacidad publicada, tal vez un DPO designado, pero carecen de la infraestructura que transforma declaraciones en prácticas verificables. Para fondos PE, esta lista identifica los artefactos que importan en cada área.
1. Bases Legales y Registro de Actividades de Tratamiento
El RGPD exige que todo tratamiento de datos personales tenga una base legal (Art. 6) y que el responsable mantenga un Registro de Actividades de Tratamiento (RAT) (Art. 30). Para empresas de marketing D2C, las bases más comunes son consentimiento, ejecución de contrato e interés legítimo.
Qué verificar: RAT actualizado en los últimos 6 meses. Mapeo de finalidad-base legal para cada actividad de marketing (email, SMS, retargeting, analytics, profiling). DPIAs completadas para tratamientos basados en interés legítimo o que impliquen evaluación sistemática de aspectos personales (Art. 35). Documentación de la prueba de ponderación para interés legítimo (balance test). La ausencia de RAT es una violación del RGPD en sí misma, independientemente de otros cumplimientos.
2. Consent Architecture y CMP
El consentimiento bajo el RGPD debe ser libre, específico, informado e inequívoco (Art. 4(11), Art. 7). La Directiva ePrivacy añade requisitos adicionales para cookies y tecnologías de seguimiento. En la práctica, la CMP es el artefacto operacional que materializa estas exigencias.
Qué verificar: CMP implementada en todas las propiedades digitales. Configuración de consentimiento granular por finalidad (marketing, analytics, personalización). Registro con marca temporal de cada consentimiento recolectado. Integración entre CMP y stack de MarTech (CRM, ESP, ad tech) para propagación de preferencias en tiempo real. Cumplimiento con Google Consent Mode v2 para campañas de Google Ads. Tags de terceros condicionados al consentimiento, no al cargado de página.
3. Delegado de Protección de Datos (DPO)
El RGPD exige DPO cuando la actividad principal del responsable implica monitoreo regular y sistemático de interesados a gran escala, o tratamiento a gran escala de categorías especiales (Art. 37). El DPO debe tener independencia funcional y acceso directo a la alta dirección (Art. 38).
Qué verificar: análisis documentado de si la empresa necesita DPO. Si lo necesita: nombramiento formal, publicación de datos de contacto, evidencia de independencia funcional. Registros de informes periódicos del DPO a la dirección. Evidencia de que el DPO participa en decisiones sobre tratamiento de datos. Registros de formación del equipo conducida por el DPO.
4. Derechos de los Interesados y SLA de Respuesta
El RGPD garantiza derechos de acceso, rectificación, supresión, portabilidad, oposición y limitación del tratamiento (Arts. 15-22). El plazo de respuesta es un mes, prorrogable a tres (Art. 12(3)). El incumplimiento reiterado de estos derechos genera reclamaciones ante autoridades supervisoras y potenciales sanciones.
Qué verificar: canal dedicado para solicitudes de interesados (formulario, email, portal). SLA interno documentado. Logs de solicitudes de los últimos 12 meses con marca temporal de recepción y respuesta. Proceso de verificación de identidad del solicitante. Capacidad del CRM y ESP de ejecutar supresión granular, anonimización y portabilidad de datos. Procedimiento para el derecho de oposición al profiling automatizado (Art. 22).
5. Contratos con Encargados y Transferencias Internacionales
Toda relación responsable-encargado debe estar formalizada en contrato que cumpla con el Art. 28 del RGPD. Las transferencias fuera del EEE requieren mecanismo legal adicional (Cap. V).
Qué verificar: DPAs firmados con todos los encargados que cumplen con el Art. 28. SCCs actualizadas (formato post-junio 2021) para transferencias fuera del EEE. Transfer Impact Assessments (TIAs) cuando las SCCs lo requieren. Mapeo de sub-encargados. Certificación DPF activa para procesadores en EE.UU. Procedimientos de notificación de brechas definidos en contrato. Due diligence de seguridad de encargados (SOC 2, ISO 27001).
6. Gestión de Brechas de Seguridad
El RGPD exige notificación a la autoridad supervisora en 72 horas cuando una brecha de datos personales pueda suponer un riesgo para los derechos de los interesados (Art. 33). Si el riesgo es alto, también debe notificarse a los interesados afectados (Art. 34).
Qué verificar: plan de respuesta a incidentes documentado y probado. Equipo de respuesta definido con roles y responsabilidades. Procedimiento de notificación a la autoridad supervisora con plantilla lista. Procedimiento de notificación a interesados. Logs de simulacros de incidentes. Registro de brechas anteriores y acciones correctivas. Seguro de ciberseguridad que cubra costos de notificación y respuesta.