Contenido

    Contenido de esta evaluación de madurez RGPD:

    1. Descarga gratuita del checklist
    2. Qué es la evaluación de madurez RGPD
    3. Los cinco dominios y cómo funciona la puntuación
    4. Qué obtienes al completarla e interpretación de tus puntuaciones
    5. PrivaLex y Responsum, público objetivo y próximos pasos
    6. Preguntas frecuentes (FAQs)

    Descarga la evaluación de madurez RGPD

    Nota: El contenido descargable de esta evaluación está disponible únicamente en inglés (Privacy Automation Ops Readiness Checklist). El formulario de descarga te dará acceso al documento en ese idioma.

    ¿Qué es la evaluación de madurez RGPD?

    La evaluación de madurez RGPD, también conocida en inglés como Privacy Automation Ops Readiness Checklist, es una autoevaluación estructurada desarrollada conjuntamente por PrivaLex y Responsum para ayudar a las organizaciones a identificar la brecha entre tener un programa de cumplimiento y ser capaces de probarlo.

    El cumplimiento del RGPD no es un proyecto puntual. Las políticas pueden existir, las intenciones pueden ser buenas, y aun así las decisiones de gobernanza, los flujos de trabajo documentados y los registros de evidencia que hacen que el cumplimiento sea real y defendible pueden estar incompletos o aplicarse de forma inconsistente. Esta evaluación pone exactamente ese problema sobre la mesa, e indica qué hacer al respecto.

    La evaluación abarca cinco dominios operativos: gobernanza y responsabilidad, registros y evaluaciones de riesgo, formación y concienciación, derechos de los interesados y gestión de proveedores. Cada dominio se corresponde directamente con obligaciones centrales del RGPD recogidas en los artículos 5(2), 30, 35, 12–22 y 28. Contiene 25 preguntas, la mayoría de organizaciones la completan en 15–20 minutos y cada respuesta se puntúa de 0 a 2, generando dos sub-puntuaciones: Puntuación de Gobernanza y Puntuación Operativa.

    Los cinco dominios de la evaluación

    Cada sección del checklist refleja cómo funciona el cumplimiento en la práctica, no solo sobre el papel. Estas son las cinco áreas que evalúas al descargarlo:

    1. Gobernanza y responsabilidad (Sección I): designación formal del DPO o responsable, distribución de responsabilidades, modelo de gobernanza documentado y privacidad desde el diseño en nuevos productos o sistemas.
    2. Registros y evaluaciones de riesgo (Sección II): RAT alineado con la realidad operativa, base jurídica documentada por actividad, DPIAs y Evaluaciones de Intereses Legítimos rigurosas y actualizadas.
    3. Formación y concienciación (Sección III): formación antes del acceso independiente a datos, contenidos específicos por rol, registros individuales de finalización y, en España, elegibilidad para formación bonificada FUNDAE.
    4. Derechos de los interesados (Sección IV): recepción multicanal de solicitudes, registro y seguimiento, cumplimiento del plazo de un mes del artículo 12 e historial completo, incluidas denegaciones.
    5. Gestión de proveedores (Sección V): inventario de encargados, contratos artículo 28 firmados y vigentes, evaluación previa de nuevos proveedores y seguimiento de cambios en sub-encargados.

    La Sección I examina si tu organización ha designado formalmente un DPO o responsable con autoridad definida, si la responsabilidad está distribuida entre departamentos, si el modelo de gobernanza está documentado y si la privacidad desde el diseño se considera y registra al lanzar nuevos productos, procesos o sistemas.

    La Sección II evalúa si tu Registro de Actividades de Tratamiento refleja lo que realmente haces, si cada actividad de tratamiento cuenta con una base jurídica documentada con su correspondiente justificación, y si las DPIAs y las Evaluaciones de Intereses Legítimos se realizan con rigor metodológico y se mantienen actualizadas.

    La Sección III examina si la formación en protección de datos llega a todo el personal con acceso a datos personales antes de que actúen de forma independiente, si es específica por rol para las funciones con mayores responsabilidades, y si la finalización se registra por persona de forma que pueda acreditarse ante una autoridad de control.

    La Sección IV evalúa tu proceso de recepción de solicitudes por todos los canales, tu capacidad para registrar, hacer seguimiento y cumplir de forma consistente el plazo de un mes establecido en el artículo 12, y si conservas un registro completo de cada solicitud, incluidas las que fueron denegadas.

    La Sección V examina si dispones de un inventario completo de encargados del tratamiento, contratos de encargo firmados y vigentes que cumplan los requisitos del artículo 28, un proceso de evaluación previa al inicio de cada relación con nuevos proveedores, y un mecanismo activo para detectar y valorar los cambios en sub-encargados.

    Cómo funciona la puntuación

    Cada una de las 25 preguntas se puntúa de 0 (no implementado) a 2 (completamente implementado, documentado y mantenido). Las Secciones I, II y III contribuyen a una Puntuación de Gobernanza sobre 30. Las Secciones IV y V contribuyen a una Puntuación Operativa sobre 20. Las recomendaciones se obtienen de la combinación de ambas puntuaciones, no de un total único, porque las brechas de gobernanza y las brechas operativas requieren respuestas distintas.

    Qué obtienes al completarla

    Al rellenar la evaluación obtienes, de forma similar a un gap analysis inicial de privacidad:

    • Dos puntuaciones separadas: Gobernanza (sobre 30) y Operativa (sobre 20).
    • Desglose por dominio: fortalezas y brechas en responsabilidad, RAT, formación, derechos ARS y proveedores.
    • Recomendaciones adaptadas según la combinación de ambas puntuaciones, no un ranking genérico.
    • Documento descargable (en inglés) para compartir con dirección, DPO o compliance como base de hoja de ruta.

    Cómo interpretar tus puntuaciones

    Las recomendaciones dependen de la combinación Gobernanza + Operativa. Como referencia orientativa:

    • Gobernanza baja + Operativa baja: prioriza designación de responsables, RAT actualizado y procesos básicos de derechos ARS antes de automatizar.
    • Gobernanza alta + Operativa baja: las decisiones existen pero faltan flujos, registros y evidencia del día a día; conviene operacionalizar con herramientas y registros vivos.
    • Gobernanza baja + Operativa alta: hay actividad operativa, pero sin marco de responsabilidad ni evaluaciones de riesgo sólidas; refuerza gobernanza, DPIAs y bases jurídicas.
    • Gobernanza alta + Operativa alta: el reto suele ser mantener y demostrar cumplimiento; una auditoría RGPD periódica o un camino hacia ISO 27701 ayuda a consolidar evidencias ante inspección o certificación.

    Por qué PrivaLex y Responsum desarrollaron esta evaluación juntos

    PrivaLex aporta la capa de gobernanza y responsabilidad: definición de bases jurídicas, realización de DPIAs y EIL, revisión de contratos con encargados, diseño de modelos de gobernanza y supervisión experta de la función de DPO conforme a los artículos 37–39.

    Responsum aporta la capa operativa y tecnológica: convirtiendo las decisiones de cumplimiento en flujos de trabajo estructurados y automatizados, un RAT vivo vinculado a evaluaciones, seguimiento automatizado de plazos de solicitudes de interesados, supervisión de APDs con proveedores, entrega de formación con registros individuales de finalización y paneles de cumplimiento en tiempo real.

    Tomar la decisión de gobernanza correcta no es suficiente si nunca se documenta. Documentar una decisión no es suficiente si no se mantiene, supervisa ni evidencia con el tiempo. PrivaLex aporta las decisiones. Responsum las hace funcionar y las hace demostrables.

    Para quién está diseñada esta evaluación

    Esta evaluación está dirigida a DPOs, equipos legales y de cumplimiento, responsables de operaciones y dirección general en organizaciones que ya han iniciado su camino hacia el cumplimiento del RGPD y quieren tener una visión honesta de dónde se encuentran. Es igualmente relevante para organizaciones que se preparan para una inspección regulatoria, una auditoría interna o un proceso de certificación como la ISO 27701.

    Preguntas frecuentes (FAQs)

    Es una autoevaluación estructurada desarrollada conjuntamente por PrivaLex y Responsum para ayudar a las organizaciones a evaluar su madurez operativa en cinco dominios clave del RGPD: gobernanza y responsabilidad, registros y evaluaciones de riesgo, formación y concienciación, derechos de los interesados y gestión de proveedores. Genera dos puntuaciones, Gobernanza y Operaciones, y un conjunto de recomendaciones adaptadas a su combinación.

    Está diseñada para DPOs, equipos legales y de cumplimiento, responsables de operaciones y dirección general en organizaciones que ya han iniciado su camino hacia el cumplimiento del RGPD. Es igualmente útil para equipos que se preparan para una inspección regulatoria, una auditoría interna o un proceso de certificación como la ISO 27701.

    La evaluación contiene 25 preguntas distribuidas en cinco secciones. La mayoría de las organizaciones la completan en 15 o 20 minutos.

    No. La evaluación ofrece una visión orientativa basada en las respuestas proporcionadas y tiene carácter exclusivamente informativo. No constituye una determinación formal de cumplimiento. Para una evaluación más completa de tu programa RGPD, contacta con PrivaLex para una revisión de madurez sin compromiso.

    La Puntuación de Gobernanza (sobre 30) refleja la calidad y completitud de tus estructuras de responsabilidad, evaluaciones de riesgo y programa de formación. La Puntuación Operativa (sobre 20) refleja el funcionamiento y la generación de evidencia de tus procesos de cumplimiento del día a día: gestión de solicitudes de interesados y supervisión de proveedores. Las recomendaciones se obtienen de la combinación de ambas, porque las brechas de gobernanza y las brechas operativas requieren respuestas distintas.

    PrivaLex aporta la capa de gobernanza y responsabilidad: definición de bases jurídicas, realización de DPIAs y EIL, revisión de contratos con encargados del tratamiento y supervisión experta de la función de DPO conforme a los artículos 37–39. Responsum aporta la capa operativa y tecnológica: convirtiendo las decisiones de cumplimiento en flujos de trabajo automatizados, registros vivos, seguimiento de solicitudes de interesados, supervisión de proveedores y paneles de cumplimiento en tiempo real. Juntos cubren tanto lo que tu programa decide como si esas decisiones están documentadas, mantenidas y son demostrables.

    Sí. La evaluación es aplicable a cualquier organización sujeta al RGPD, independientemente de su ubicación. El único elemento específico de España es la pregunta 15, que aborda la elegibilidad del programa de formación para financiación pública a través de FUNDAE. Las organizaciones fuera de España pueden responder esa pregunta como no aplicable sin que ello afecte a la validez del resto de sus resultados.

    Próximos pasos

    Esta evaluación ofrece una visión orientativa basada en las respuestas proporcionadas. Es solo de carácter informativo y no constituye una determinación formal de cumplimiento. Para una evaluación más completa de tu programa RGPD, contacta con PrivaLex para una revisión de madurez sin compromiso.