Protección de Datos y Cumplimiento del RGPD para Empresas SaaS

EN RESUMEN

Toda empresa SaaS que trate datos personales de usuarios de la UE (es decir, toda empresa SaaS con base de usuarios en la UE) está sujeta al RGPD en su totalidad, incluidas multas de hasta el 4% de los ingresos anuales globales por infracciones graves.
Las empresas SaaS tienen una doble obligación bajo el RGPD: como responsables del tratamiento de sus propios datos de usuarios, y como encargadas del tratamiento al gestionar los datos de los usuarios de sus clientes. Cada rol conlleva obligaciones distintas que deben gestionarse simultáneamente.
Un acuerdo de tratamiento de datos conforme al RGPD con cada cliente B2B es un requisito legal en virtud del Artículo 28, y un requisito comercial en cualquier proceso de ventas enterprise en el que el cliente cuente con asesoría jurídica que revise los contratos.
Ofrecemos un programa completo de cumplimiento del RGPD para SaaS: desde la evaluación inicial de carencias hasta la función continua de DPD, la gestión de subencargados y la respuesta a brechas de seguridad.
Toda la documentación de RGPD es específica para el contexto SaaS. El aviso de privacidad, la plantilla de ATD, la lista de subencargados y la política de conservación de datos reflejan cómo trata datos realmente una plataforma SaaS, no un negocio genérico con un sitio web.

El cumplimiento del RGPD para una empresa SaaS abarca dos obligaciones simultáneas: gestionar los datos personales que pertenecen a los propios usuarios de la empresa (como responsable del tratamiento) y gestionar los datos personales que pertenecen a los usuarios de los clientes y que se tratan a través de la plataforma SaaS (como encargada del tratamiento). El programa de cumplimiento cubre ambos roles: un aviso de privacidad y una política de cookies para la obligación como responsable, y acuerdos de tratamiento de datos, gestión de subencargados y medidas técnicas y organizativas para la obligación como encargada. Diseñamos, implementamos y mantenemos este programa para empresas SaaS lituanas, y prestamos la función de DPD externalizado cuando la empresa necesita un experto designado para gestionar las obligaciones continuas del RGPD.

La Doble Obligación RGPD del SaaS: Responsable y Encargado

El concepto más importante del RGPD que los fundadores de SaaS deben comprender es que una empresa SaaS es casi siempre, simultáneamente, responsable del tratamiento y encargada del tratamiento, y que estos roles conllevan obligaciones diferentes que deben gestionarse en paralelo.

Como responsable del tratamiento — sus propios usuarios

Cuando una empresa SaaS recopila datos personales directamente de los usuarios (información de registro de cuenta, credenciales de acceso, análisis de uso, datos de facturación, comunicaciones de soporte) determina la finalidad y los medios de ese tratamiento. Es responsable del tratamiento. Como responsable, la empresa debe disponer de una base jurídica para cada actividad de tratamiento, proporcionar un aviso de privacidad conforme al RGPD a los usuarios, atender las solicitudes de ejercicio de derechos de los interesados (acceso, supresión, portabilidad, oposición), mantener registros de las actividades de tratamiento, implementar medidas de seguridad adecuadas y notificar a la Inspección Estatal de Protección de Datos (INSPD) en un plazo de 72 horas desde que tenga conocimiento de una brecha de datos.

Como encargada del tratamiento — los usuarios de sus clientes

Cuando la plataforma de una empresa SaaS B2B trata datos personales que pertenecen a los clientes de sus clientes (registros de usuarios introducidos por el cliente, datos de transacciones, registros de comunicaciones, historiales clínicos o cualquier otro dato personal que los usuarios del cliente envíen a la plataforma) la empresa SaaS trata datos en nombre del cliente. El cliente es el responsable del tratamiento; la empresa SaaS es la encargada del tratamiento. Como encargada, la empresa debe suscribir un acuerdo de tratamiento de datos (ATD) con cada cliente responsable; tratar los datos únicamente conforme a las instrucciones documentadas del cliente; implementar las medidas de seguridad técnicas adecuadas; notificar al cliente sin demora indebida cualquier brecha que afecte a sus datos; garantizar que los subencargados asuman obligaciones equivalentes; y suprimir o devolver todos los datos al vencimiento del contrato.

Por qué ambos roles importan simultáneamente

La mayoría de las guías sobre el RGPD escritas para empresas se centran en el rol de responsable o en el de encargado, pero raramente en ambos. Las empresas SaaS deben gestionar los dos simultáneamente, y las obligaciones no siempre se alinean con facilidad. El aviso de privacidad cubre el rol de responsable; el ATD cubre el rol de encargado. La obligación de notificación de brechas de seguridad se aplica en ambas direcciones: 72 horas a la INSPD como responsable, y notificación a cada cliente afectado como encargada. Los plazos de conservación de datos pueden diferir entre los datos del responsable (análisis de uso conservado con fines empresariales) y los datos del encargado (datos de usuarios del cliente que deben devolverse o suprimirse al vencimiento del contrato). El programa de cumplimiento debe cubrir ambas dimensiones y garantizar su coherencia interna.

Escala de multas del RGPD — las cifras reales

El RGPD establece dos niveles de sanciones administrativas. Por infracciones de obligaciones básicas (como no contar con un ATD con un encargado) las multas pueden alcanzar €10.000.000 o el 2% de la facturación anual mundial total, si esta cifra es superior. Por infracciones de principios fundamentales (como tratar datos sin base jurídica o no respetar los derechos de los interesados) las multas pueden alcanzar €20.000.000 o el 4% de la facturación anual mundial total, si esta cifra es superior. Las autoridades de protección de datos de la UE han sancionado activamente a empresas de todos los tamaños desde 2018. El techo del 4% de los ingresos globales convierte al RGPD en el régimen regulatorio con mayores consecuencias financieras para la mayoría de las empresas SaaS.

Nuestros Servicios de Cumplimiento del RGPD para Empresas SaaS

Ofrecemos un programa estructurado de cumplimiento del RGPD que cubre tanto la dimensión de responsable como la de encargada del tratamiento de las obligaciones de protección de datos de una empresa SaaS. Cada área de servicio corresponde a un componente específico del programa de cumplimiento.

Diseño e Implementación del Programa de Cumplimiento del RGPD

Un programa de cumplimiento del RGPD no es un único documento: es un conjunto coordinado de políticas, procedimientos, documentación y medidas técnicas que demuestran colectivamente el cumplimiento de los principios del RGPD. Para una empresa SaaS, el programa debe cubrir tanto la dimensión de responsable como la de encargada y debe evolucionar a medida que crecen el producto, el equipo y la base de clientes. Diseñamos e implementamos el programa de cumplimiento inicial y lo mantenemos a medida que la empresa se desarrolla.
Evaluación de carencias del RGPD --- revisión de las prácticas y la documentación actuales frente al conjunto completo de obligaciones del RGPD
Ejercicio de mapeo de datos --- identificación de todos los datos personales tratados, con qué finalidad, sobre qué base jurídica y durante cuánto tiempo
Análisis de base jurídica --- confirmación de la base jurídica aplicable a cada actividad de tratamiento (consentimiento, interés legítimo, contrato, obligación legal)
Registro de actividades de tratamiento (ROPA) --- el registro interno del Art. 30 de todas las operaciones de tratamiento
Revisión de privacidad desde el diseño (privacy-by-design) --- asesoramiento sobre nuevas funcionalidades del producto desde la perspectiva de la protección de datos antes del desarrollo
Calendario de cumplimiento del RGPD --- programación de todas las obligaciones continuas (revisión anual, formación, verificaciones de conservación) para el año
Documentación de responsabilidad proactiva --- las evidencias internas del cumplimiento del RGPD que deben estar disponibles para la auditoría de la INSPD
Revisión anual del programa --- actualización de toda la documentación y las evaluaciones para reflejar las directrices regulatorias y los cambios del producto

Acuerdos de Tratamiento de Datos para Clientes B2B

Cada cliente B2B SaaS cuyos datos personales de usuarios fluyan a través de la plataforma es un responsable del tratamiento, y el Art. 28 del RGPD exige que exista un acuerdo de tratamiento de datos antes de que comience el tratamiento, independientemente del tamaño del cliente. Los clientes enterprise exigen ATDs como requisito comercial estándar, a menudo en forma de su propia plantilla para que la empresa SaaS la firme. Preparamos la plantilla de ATD estándar para uso saliente y revisamos y negociamos los ATDs propuestos por los clientes.
Plantilla de ATD SaaS --- conforme al Art. 28; que cubre objeto, duración, naturaleza y finalidad del tratamiento, categorías de datos y todas las obligaciones obligatorias del encargado
Anexo de seguridad (Medidas Técnicas y Organizativas) --- que detalla el marco de seguridad que la empresa SaaS aplica a los datos del cliente
Cláusula de subencargados --- que enumera los subencargados actuales; procedimiento de notificación para incorporaciones; derechos de oposición del cliente
Disposiciones sobre transferencias internacionales de datos --- Cláusulas Contractuales Tipo para transferencias de datos del cliente fuera del EEE
Disposiciones de devolución y supresión de datos --- la obligación de devolver o suprimir los datos del cliente al vencimiento del contrato; plazo y formato
Cláusula de derechos de auditoría --- derecho del cliente a auditar el cumplimiento de la empresa SaaS; alcance proporcionado para las operaciones prácticas
Revisión de ATD enterprise --- revisión y respuesta a términos de ATD no estándar propuestos por el cliente; comentario escrito y estrategia de negociación
Auditoría de cartera de ATDs --- revisión de todas las relaciones de clientes existentes para confirmar la cobertura de ATDs

El ATD como requisito del proceso de ventas enterprise

Los equipos de compras enterprise exigen sistemáticamente un ATD firmado antes de aprobar un nuevo proveedor SaaS. Un ATD claramente estructurado, con lenguaje RGPD estándar que aborde las preocupaciones enterprise habituales (marco de seguridad, lista de subencargados, plazo de notificación de brechas, supresión de datos al vencimiento) se aprueba en días. Un ATD al que le falten las disposiciones obligatorias del Art. 28, que use terminología no estándar o que tenga disposiciones de seguridad inadecuadas se escala al DPD y al equipo jurídico del cliente, añadiendo semanas al ciclo de ventas. Redactamos ATDs pensando en las compras enterprise, no solo en el cumplimiento regulatorio mínimo.

Gestión de Subencargados

Todo proveedor de servicios que recibe o accede a datos personales tratados por la empresa SaaS en nombre de sus clientes es un subencargado. AWS, Google Cloud, Stripe, SendGrid, Intercom, Datadog, Segment y cualquier otra herramienta SaaS en la pila de infraestructura que toque datos de usuarios de clientes es un subencargado. Cada uno debe estar cubierto por un acuerdo de tratamiento de datos que imponga obligaciones equivalentes al RGPD. La lista de subencargados debe divulgarse a los clientes y actualizarse cuando se añadan nuevos, dando a los clientes la oportunidad de oponerse.
Identificación de subencargados --- mapeo de todos los servicios en la pila tecnológica que reciban o accedan a datos personales de clientes
Confirmación del ATD del subencargado --- verificación de que cada subencargado tiene un ATD adecuado en vigor (la mayoría de los principales proveedores cloud sí lo tienen)
Redacción de la lista de subencargados --- una lista publicada apta para su inclusión en la documentación de privacidad de la empresa SaaS y en los ATDs de clientes
Procedimiento de notificación de cambios en subencargados --- el proceso para notificar a los clientes cuando se añaden nuevos subencargados
Gestión de objeciones de clientes --- tramitación de las objeciones de clientes a subencargados específicos; documentación de la resolución
Evaluación de transferencias internacionales --- confirmación del mecanismo de transferencia para subencargados con sede fuera del EEE (CCT, decisión de adecuación, BCR)
Revisión anual de subencargados --- confirmación de que la lista sigue siendo exacta y que todos los ATDs de subencargados están vigentes

Procedimientos de Derechos de los Interesados

Los interesados de la UE tienen un conjunto definido de derechos en virtud del RGPD: el derecho de acceso a sus datos personales, el derecho de supresión, el derecho a la portabilidad de los datos, el derecho de oposición al tratamiento y otros. Una empresa SaaS debe ser capaz de responder a cualquier solicitud de ejercicio de derechos de los interesados en el plazo de un mes. La obligación se aplica tanto al rol de responsable (solicitudes de los propios usuarios de la empresa SaaS) como al de encargada (solicitudes de los usuarios de un cliente, en cuya respuesta la empresa SaaS debe asistir al cliente). Sin procedimientos documentados, las respuestas son inconsistentes, lentas y probablemente incumplan el plazo obligatorio.
Procedimiento de derechos de los interesados --- proceso paso a paso para recibir, validar y responder a cada tipo de solicitud
Procedimiento de verificación de identidad --- confirmación de la identidad del solicitante antes de divulgar o suprimir datos personales
Procedimiento de derecho de acceso --- producción del extracto de datos requerido en un formato estructurado y de uso común dentro del plazo
Procedimiento de derecho de supresión --- identificación y eliminación de todos los datos personales del interesado en todos los sistemas y subencargados
Procedimiento de derecho a la portabilidad --- exportación de datos personales en un formato legible por máquina (JSON, CSV) para el interesado
Procedimientos de oposición y limitación --- documentación de la evaluación y el resultado de las solicitudes de oposición y limitación
Registro de solicitudes de derechos --- mantenimiento del registro interno de todas las solicitudes recibidas y su estado de resolución
Escalado encargado-responsable --- procedimiento para derivar las solicitudes de derechos de los usuarios del cliente al responsable del tratamiento correspondiente

Respuesta a Brechas de Seguridad y Notificación

Una brecha de datos personales (cualquier incidente que implique la destrucción, pérdida, alteración, divulgación no autorizada o acceso accidental o ilícito a datos personales) activa obligaciones específicas del RGPD. Como responsable, la empresa SaaS debe notificar a la INSPD en un plazo de 72 horas si la brecha puede generar un riesgo para los individuos. Como encargada, debe notificar a cada cliente afectado sin demora indebida. Contar con un procedimiento documentado de respuesta a brechas determina si la empresa gestiona una brecha de forma que minimice el daño regulatorio y comercial, o descubre sus obligaciones cuando el plazo ya ha vencido.
Procedimiento de respuesta a brechas de seguridad --- flujo de trabajo paso a paso de triaje, contención, evaluación y notificación de incidentes
Marco de evaluación de gravedad de la brecha --- criterios para clasificar la gravedad de la brecha y determinar las obligaciones de notificación
Plantilla de notificación a la INSPD --- formulario de notificación preparado con antelación que contiene toda la información exigida por el Art. 33 del RGPD
Plantilla de notificación al cliente --- notificación del encargado al responsable conforme al Art. 33(2); con plazo para que el cliente pueda cumplir su propio plazo ante la INSPD
Plantilla de notificación a los interesados --- para brechas de alto riesgo que requieran notificación directa a los individuos afectados
Registro interno de brechas --- el registro interno del Art. 33(5) de todas las brechas, incluidas las que no alcanzan el umbral de notificación a la INSPD
Ejercicio de simulación de brecha de seguridad --- ejercicio de mesa que pone a prueba el procedimiento de respuesta ante un escenario realista
Procedimiento de revisión post-brecha --- documentación de las lecciones aprendidas e implementación de mejoras técnicas o procedimentales

Delegado de Protección de Datos (DPD) Externalizado

El Delegado de Protección de Datos es el experto designado por el RGPD responsable de supervisar el cumplimiento, asesorar sobre las obligaciones de protección de datos, formar al personal y actuar como punto de contacto para los interesados y la INSPD. El RGPD permite expresamente que el rol de DPD sea desempeñado por un proveedor de servicios externo. Para las empresas SaaS en fase de crecimiento, un DPD externalizado proporciona la experiencia requerida y la responsabilidad designada sin la contratación a tiempo completo que el volumen de actividad RGPD puede no justificar todavía.
Designación del DPD --- notificación formal del DPD externalizado a la INSPD cuando sea necesario
Supervisión del programa de cumplimiento del RGPD --- seguimiento del cumplimiento continuo e identificación de problemas emergentes
Gestión de los derechos de los interesados --- gestión de las respuestas a solicitudes dentro de los plazos del RGPD
Gestión de brechas de seguridad --- liderazgo en la evaluación de brechas, las decisiones de notificación y la correspondencia con la INSPD
Supervisión de EIPDs --- revisión de las Evaluaciones de Impacto relativas a la Protección de Datos para actividades de tratamiento de alto riesgo
Consultas de ATD de clientes --- respuesta a preguntas RGPD de clientes sobre el tratamiento de datos de la plataforma
Formación del personal --- impartición de formación anual en RGPD con registros de asistencia
Interlocución con la INSPD --- respuesta a consultas de la INSPD y cooperación con las actividades de supervisión
Informe mensual del DPD --- resumen de la actividad RGPD, incidentes y cuestiones abiertas para el equipo directivo

Obligaciones RGPD del SaaS: Responsable vs. Encargado

La siguiente tabla mapea las obligaciones clave del RGPD en función de si se aplican en el rol de responsable (sus propios usuarios), el de encargado (los usuarios de sus clientes) o en ambos. Ambas dimensiones deben cubrirse para el cumplimiento completo.

Obligación RGPD	Rol de responsable (usuarios propios)	Rol de encargado (usuarios de clientes)
Aviso de privacidad / transparencia	Obligatorio — política de privacidad publicada	No directamente (el cliente publica su propia política)
Base jurídica del tratamiento	Obligatoria — documentada por actividad	No requerida — el cliente es responsable de la base jurídica
Registro de actividades de tratamiento (ROPA)	Obligatorio — Art. 30(1)	Obligatorio — Art. 30(2) (registro de encargado separado)
Acuerdo de Tratamiento de Datos (ATD)	No requerido (usted es el responsable)	Obligatorio con cada cliente antes de que comience el tratamiento
ATDs de subencargados	N/A	Obligatorios — deben vincular a todos los subencargados a las obligaciones del RGPD
Respuesta a derechos de los interesados	Obligatoria — solicitudes de los propios usuarios	Asistir al cliente en la respuesta a las solicitudes de sus usuarios
Notificación a la INSPD en 72 horas por brecha	Obligatoria — si hay riesgo para los individuos	No directamente (pero debe notificar al cliente sin demora indebida)
Notificación de brecha al cliente	N/A	Obligatoria — sin demora indebida tras tener conocimiento
Medidas de seguridad de los datos	Obligatorias — apropiadas al riesgo	Obligatorias — según lo especificado en el ATD y el anexo de seguridad
Límites de conservación de datos	Aplicar el principio de minimización del RGPD	Devolver o suprimir a instrucción o resolución del contrato
Mecanismo de transferencia internacional	Obligatorio para transferencias fuera del EEE	Obligatorio para transferencias de subencargados fuera del EEE
EIPD (tratamiento de alto riesgo)	Obligatoria cuando proceda	Apoyar la EIPD del cliente cuando el tratamiento involucre sus datos

El Cumplimiento del RGPD como Facilitador de Ventas

El cumplimiento del RGPD suele plantearse como un coste y una carga regulatoria. Para las empresas SaaS B2B, es también un diferenciador comercial, especialmente en ventas enterprise donde los equipos de compras evalúan la madurez en protección de datos como criterio de selección de proveedores.

Qué verifican los clientes enterprise

Los equipos de compras enterprise (en particular los de servicios financieros, sanidad, sector jurídico y administración pública) realizan una due diligence estructurada en materia de RGPD sobre los nuevos proveedores SaaS. Las preguntas estándar abarcan: si la empresa tiene un DPD o un contacto de protección de datos designado; si hay disponible un ATD conforme al RGPD; qué subencargados se utilizan y si tienen mecanismos adecuados de transferencia de datos; qué medidas de seguridad están implantadas (cifrado en reposo y en tránsito, controles de acceso, pruebas de penetración); cuál es el procedimiento de notificación de brechas; y si los datos se almacenan en la UE o en países con decisión de adecuación reconocida. Una empresa SaaS que puede responder a todas estas preguntas con documentación (no solo con garantías verbales) cierra contratos enterprise más rápidamente.

Cuestionarios de seguridad

Los grandes clientes enterprise envían con frecuencia cuestionarios de seguridad junto al ATD, solicitando detalles técnicos sobre la arquitectura de seguridad de la plataforma, las prácticas de gestión de datos y las certificaciones de cumplimiento. El cuestionario suele cubrir: estándares de cifrado, políticas de control de acceso, procedimientos de copia de seguridad y recuperación, frecuencia de las pruebas de penetración, procedimientos de respuesta a incidentes y ubicaciones de los subencargados. Contar con medidas técnicas y organizativas (MTO) documentadas (que el anexo de seguridad del ATD debe referenciar) permite completar estos cuestionarios de forma precisa y consistente. Sin documentación, cada cuestionario se responde de memoria, produciendo respuestas inconsistentes y a veces inexactas que levantan señales de alerta en la revisión de seguridad del cliente.

El tratamiento de datos como funcionalidad del producto

Un número creciente de compradores SaaS (en particular en sectores regulados) considera el cumplimiento del RGPD no como un mínimo obligatorio, sino como una funcionalidad del producto. Las opciones de residencia de datos (almacenamiento exclusivo en la UE), la certificación ISO 27001, el cumplimiento de SOC 2 Tipo II y la responsabilidad proactiva demostrable en RGPD figuran cada vez más como requisitos en las RFPs enterprise. Incorporar el cumplimiento del RGPD al producto desde el inicio (en lugar de añadirlo a posteriori bajo la presión de las ventas) permite a la empresa competir en segmentos enterprise que de otro modo serían inaccesibles.

Precios del Cumplimiento RGPD

Los encargos de RGPD definidos tienen precios fijos. La función de DPD continuo y los programas de cumplimiento complejos multi-entidad se presupuestan bajo solicitud.

Servicio	Precio
Evaluación de carencias RGPD — informe escrito Evaluación completa del cumplimiento actual del RGPD frente a las obligaciones de responsable y encargado; plan de acción priorizado	€700
Mapeo de datos y ROPA (registro de actividades de tratamiento) Identificación de todas las actividades de tratamiento; registro del Art. 30 para registros tanto de responsable como de encargado	€800
Análisis de base jurídica Confirmación de la base jurídica de cada actividad de tratamiento; evaluaciones de interés legítimo cuando proceda	€600
Configuración completa del programa de cumplimiento RGPD Evaluación de carencias + mapeo de datos + análisis de base jurídica + aviso de privacidad + ROPA + procedimiento de brecha + procedimientos de derechos de interesados	€2.000
Revisión anual del programa RGPD Revisión de toda la documentación y actividades de tratamiento frente a las directrices regulatorias actuales y los cambios del producto	€800
Plantilla de ATD — específica para SaaS, autónoma Conforme al Art. 28; anexo de seguridad; disposiciones sobre subencargados; cláusula CCT; devolución/supresión de datos	€700
Revisión de ATD enterprise (propuesto por el cliente) Comentario escrito sobre desviaciones materiales; estrategia de negociación	€600
Adenda de transferencia internacional de datos (CCT) Cláusulas Contractuales Tipo para transferencias encargado-subencargado fuera del EEE	€600
Auditoría de cartera de ATDs (clientes existentes) Revisión de todas las relaciones de clientes actuales; identificación de carencias; emisión de ATDs donde falten	€800
Mapeo de subencargados y preparación de lista Identificación de todos los subencargados; confirmación del estado del ATD; redacción de lista de subencargados publicada	€700
Revisión y actualización anual de la lista de subencargados Confirmación de exactitud; actualización con nuevas incorporaciones; renovación de mecanismos de transferencia internacional	€500
Procedimientos de derechos de los interesados (conjunto completo) Procedimientos de acceso, supresión, portabilidad, oposición y limitación; plantilla de registro de solicitudes	€800
Procedimiento de respuesta a brechas de seguridad Flujo de trabajo de triaje, contención, evaluación y notificación; plantilla de notificación a la INSPD; plantilla de notificación al cliente; registro interno	€700
Ejercicio de simulación de brecha de seguridad Ejercicio de mesa que pone a prueba el procedimiento de respuesta ante un escenario realista; informe de conclusiones escrito	€800
Aviso de privacidad — específico para SaaS Aviso de privacidad del responsable específico para el tratamiento de datos SaaS; listo para publicación	€650
Política de cookies + especificación del banner de consentimiento Política + especificación técnica para la implementación de consentimiento conforme al RGPD	€550
Evaluación de Impacto relativa a la Protección de Datos (EIPD) Para actividades de tratamiento de alto riesgo; presupuesto según complejidad del tratamiento	Bajo solicitud
DPD externalizado — retainer mensual Función completa de DPD; según el tamaño de la base de usuarios y la frecuencia prevista de interacción con la INSPD y clientes	Bajo solicitud
Consulta puntual de DPD (brecha o consulta de la INSPD) Por sesión — evaluación urgente de brecha de seguridad o correspondencia con la INSPD fuera de un retainer	€500
Paquete de cumplimiento RGPD SaaS (programa completo + plantilla ATD + lista de subencargados + procedimientos de derechos de interesados + procedimiento de brecha) Programa de cumplimiento inicial completo — ahorro de €700 frente a los elementos individuales	€3.500

Paquete de cumplimiento RGPD SaaS — qué incluye
El paquete de cumplimiento RGPD SaaS por €3.500 ofrece el programa de cumplimiento RGPD inicial completo para una empresa SaaS B2B: evaluación de carencias completa y ROPA, aviso de privacidad, plantilla de ATD con anexo de seguridad y lista de subencargados, procedimientos de derechos de los interesados y procedimiento de respuesta a brechas. Estos siete entregables cubren tanto la dimensión de responsable como la de encargada de la obligación RGPD del SaaS. Encargarlos individualmente cuesta €4.200. El paquete supone un ahorro de €700 y produce un programa integrado e internamente coherente: el ATD hace referencia a los mismos subencargados que la lista de subencargados, y el procedimiento de brecha se alinea con los plazos de notificación del ATD.

Preguntas Frecuentes

El RGPD se aplica en función de la ubicación de los interesados, no de la ubicación de la empresa. Si su plataforma SaaS trata datos personales de personas físicas ubicadas en la UE, el RGPD es de aplicación, independientemente de dónde esté constituida su empresa o de dónde estén ubicados sus servidores. A la inversa, si todos sus usuarios están fuera de la UE (por ejemplo, exclusivamente en EE. UU. o en el Sudeste Asiático) y su plataforma no trata ningún dato personal de residentes en la UE, el ámbito de aplicación territorial del RGPD no aplica (aunque otras normativas de privacidad en esas regiones sí pueden hacerlo). Una empresa SaaS lituana con una base de usuarios global casi con toda certeza tiene usuarios en la UE y está, por tanto, plenamente sujeta al RGPD.

Un aviso de privacidad (o política de privacidad) es un documento de transparencia dirigido a los propios usuarios de la empresa SaaS: describe qué datos personales recoge directamente de los usuarios, con qué finalidades, sobre qué base jurídica y cuáles son los derechos del usuario. Cumple la obligación de transparencia del responsable en virtud de los Artículos 13 y 14 del RGPD. Un acuerdo de tratamiento de datos (ATD) es un contrato entre la empresa SaaS (como encargada) y un cliente empresarial (como responsable): regula cómo la empresa SaaS trata los datos personales de los usuarios del cliente en nombre de este, y contiene las disposiciones obligatorias del Art. 28 del RGPD. Ambos documentos son necesarios para una empresa SaaS B2B, pero sirven a finalidades completamente diferentes y van dirigidos a audiencias completamente distintas.

Cuando un usuario de un cliente contacta directamente con la empresa SaaS para ejercer un derecho (solicitar acceso a sus datos o pedir su supresión) la empresa SaaS actúa en el rol de encargada del tratamiento. En este rol, trata los datos siguiendo las instrucciones del cliente y no puede responder directamente al interesado sin la autorización del cliente. El procedimiento correcto es: acusar recibo de la solicitud; notificar inmediatamente al cliente correspondiente (el responsable del tratamiento); y proporcionar al cliente la asistencia técnica que necesite para responder (por ejemplo, ejecutar un extracto de datos o eliminar los registros del usuario específico). El cliente responde entonces al interesado dentro del plazo del RGPD. Documentamos este procedimiento de escalado como parte de los procedimientos de derechos de los interesados.

Una Evaluación de Impacto de la Transferencia (EIT) es un análisis obligatorio cuando se transfieren datos personales desde la UE a un país fuera del EEE que no tiene una decisión de adecuación de la UE, como EE. UU. Las EITs se volvieron obligatorias tras la sentencia Schrems II, que invalidó el Privacy Shield UE-EE. UU. y exigió a las organizaciones que utilizan Cláusulas Contractuales Tipo para transferencias a EE. UU. que evaluaran si las CCT proporcionan una protección efectiva en la práctica. Si la empresa SaaS utiliza subencargados con sede en EE. UU. (AWS us-east, Google Cloud, Stripe, SendGrid) y estos tratan datos personales de la UE, pueden ser necesarias EITs. En la práctica, la mayoría de los principales proveedores cloud han publicado documentación de EIT en la que las organizaciones pueden apoyarse. Asesoramos sobre los requisitos de EIT para acuerdos específicos de subencargados como parte de la evaluación de transferencias internacionales.

Como encargada del tratamiento, la empresa SaaS debe notificar a cada cliente afectado de una brecha que involucre sus datos, pero solo a los clientes cuyos datos hayan resultado realmente afectados. Si la brecha afecta a los sistemas internos de la empresa y no compromete ningún dato de clientes, no existe obligación de notificar a los clientes en la condición de encargada. Sin embargo, si se ven involucrados datos personales de algún cliente (aunque solo se haya accedido o divulgado el dato de un único cliente) ese cliente debe ser notificado sin demora indebida. El registro interno de brechas debe documentar todas las brechas, incluidas las que no alcanzan el umbral de notificación a la INSPD, ya que estos registros deben estar disponibles para la auditoría de la INSPD.

No es lo ideal. Los visitantes del sitio web y los usuarios del producto tienen relaciones de tratamiento de datos materialmente diferentes con la empresa SaaS. Los visitantes del sitio web pueden estar sujetos al rastreo mediante cookies y al tratamiento básico de formularios de contacto. Los usuarios del producto están sujetos a un tratamiento más extenso: datos de cuenta, análisis de uso, interacciones con el producto, comunicaciones de soporte y, potencialmente, datos que introducen en el producto. Un único aviso de privacidad que intente cubrir a ambas audiencias suele producir un documento que o bien es demasiado vago para satisfacer los requisitos de transparencia del RGPD para los usuarios del producto, o bien demasiado detallado para que los visitantes del sitio web puedan leerlo. Recomendamos avisos de privacidad separados para el sitio web (orientado a visitantes) y el producto (orientado a usuarios), con señalizaciones claras desde cada contexto.

La privacidad desde el diseño (PbD) es un principio del RGPD (Art. 25) que exige que la protección de datos se incorpore al diseño de los sistemas y productos de tratamiento, en lugar de añadirse como medida a posteriori. Para las empresas SaaS, esto significa: evaluar las implicaciones en materia de protección de datos de las nuevas funcionalidades del producto antes de desarrollarlas; aplicar la minimización de datos (recopilar únicamente los datos realmente necesarios); implementar las protecciones técnicas adecuadas (cifrado, seudonimización, controles de acceso) desde el inicio; y realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) para funcionalidades que impliquen tratamiento de alto riesgo. La privacidad desde el diseño es tanto una obligación legal como una ventaja comercial: los productos construidos con ella desde el inicio requieren menos adaptaciones cuando los clientes enterprise realizan revisiones de seguridad de proveedores.

¿Listo para construir su programa de cumplimiento RGPD para SaaS?

Contáctenos para reservar una evaluación inicial de carencias del RGPD. Revisaremos su documentación actual y sus actividades de tratamiento, identificaremos las carencias prioritarias y proporcionaremos un plan de implementación estructurado. El paquete completo del programa de cumplimiento (que cubre tanto sus obligaciones como responsable como encargada) está disponible a €3.500.