GDPR Artículo 32: Cómo Probar que Comparte Documentos de Forma Segura
← All Articles

GDPR Artículo 32: Cómo Probar que Comparte Documentos de Forma Segura

Published on 22 de abril de 2026

El Artículo 32 del GDPR

El Artículo 32 del GDPR requiere que las organizaciones implementen medidas de seguridad técnicas y organizativas apropiadas al procesar datos personales. Para los equipos financieros que comparten documentos externamente, esto significa cifrar los datos en tránsito y en reposo, controlar quién puede acceder a los documentos y mantener registros que demuestren que sus medidas de seguridad están en su lugar. Este artículo explica exactamente lo que exige el Artículo 32 y cómo demostrar el cumplimiento.

Lo que Realmente Exige el Artículo 32

El Artículo 32(1) enumera las medidas que los controladores y procesadores deben considerar, teniendo en cuenta el estado de la técnica, los costos de implementación y los riesgos que plantea el procesamiento. Estas incluyen:

  • Pseudonimización y cifrado de datos personales
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia continuas de los sistemas de procesamiento
  • La capacidad de restaurar el acceso a los datos personales de manera oportuna después de un incidente físico o técnico
  • Un proceso para probar, evaluar y evaluar regularmente la efectividad de las medidas de seguridad

La frase "medidas apropiadas" es significativa. Los reguladores no esperan los mismos controles de una firma de asesoría de dos personas que de un banco de importancia sistémica. El estándar es proporcional a su perfil de riesgo, la sensibilidad de los datos y el daño potencial a los sujetos de datos si ocurre una violación.

Los Cuatro Controles Técnicos que Satisfacen el Artículo 32 para el Intercambio de Documentos

Para los equipos que comparten documentos con clientes, contrapartes o asesores, cuatro controles técnicos forman la base de un enfoque conforme al Artículo 32.

Cifrado en tránsito y en reposo. Cada documento transferido a través de Internet debe ser cifrado utilizando TLS 1.2 o superior. Los documentos almacenados en servidores deben estar cifrados en reposo, siendo AES-256 el estándar actual de la industria. Si envía documentos como archivos adjuntos de correo electrónico, no tiene garantía de que se cumpla ninguna de estas condiciones.

Controles de acceso. Solo los destinatarios autorizados deben poder abrir un documento. Esto significa utilizar enlaces de acceso únicos en lugar de URL accesibles públicamente, requerir verificación por correo electrónico o una contraseña antes de que se conceda el acceso, y establecer fechas de caducidad de enlaces para que el acceso no pueda persistir indefinidamente.

Registro de auditoría. El Artículo 32 requiere que pueda demostrar que sus medidas de seguridad funcionan. Un registro de auditoría que registre quién accedió a un documento, cuándo, desde qué dirección IP o ubicación, y durante cuánto tiempo proporciona esa evidencia. Sin ello, no puede probar el cumplimiento, incluso si sus controles son sólidos.

Residencia de datos. Para los sujetos de datos de la UE, procesar sus datos personales en servidores ubicados fuera del EEE introduce un riesgo de transferencia bajo el Capítulo V del GDPR. Alojar documentos en infraestructura de la UE elimina este riesgo y simplifica su posición de cumplimiento.

Características de seguridad de SendNow mostrando AES-256, controles de acceso y distintivos de cumplimiento de alojamiento en la UECaracterísticas de seguridad de SendNow mostrando AES-256, controles de acceso y distintivos de cumplimiento de alojamiento en la UE

Construyendo Su Paquete de Evidencia del Artículo 32

Si una autoridad supervisora investiga sus prácticas de intercambio de documentos, esperarán ver evidencia, no solo afirmaciones. Su paquete de evidencia debe incluir:

  1. Un Acuerdo de Procesamiento de Datos con cada plataforma que utilice para compartir documentos, confirmando las medidas de seguridad del procesador.
  2. Registros de configuración de seguridad que muestren que el cifrado, los controles de acceso y el registro están activos en su herramienta de intercambio de documentos.
  3. Registros de auditoría de muestra que demuestren el nivel de detalle capturado para cada evento de acceso.
  4. Una evaluación de riesgos o DPIA que documente por qué sus medidas elegidas son apropiadas para las categorías de datos que comparte.
  5. Registros de incidentes, incluso si los incidentes fueron menores, que muestren que monitorea, detecta y responde a eventos de seguridad.

Cómo una Plataforma de Intercambio de Documentos Genera Evidencia del Artículo 32

Utilizar una plataforma de intercambio de documentos diseñada para este propósito en lugar de correo electrónico o almacenamiento en la nube general simplifica considerablemente el cumplimiento del Artículo 32. Cada enlace de documento compartido puede generar un registro de auditoría automático, y las certificaciones de infraestructura de la plataforma sirven como evidencia de terceros de los controles técnicos en su lugar.

Registro de auditoría de SendNow como registro de evidencia del Artículo 32Registro de auditoría de SendNow como registro de evidencia del Artículo 32

Con SendNow, cada enlace de documento genera un registro de acceso detallado. Puede exportar estos registros para cualquier documento dado y presentarlos como parte de su paquete de evidencia del Artículo 32. Combinado con el cifrado AES-256 de SendNow, infraestructura alojada en la UE y configuraciones predeterminadas de control de acceso, la plataforma proporciona la capa técnica sobre la que se asientan sus medidas organizativas.

Lista de Verificación de Cumplimiento del Artículo 32 para el Intercambio de Documentos

RequisitoCómo Cumplirlo
Cifrado en tránsitoTLS 1.2+ aplicado en todos los enlaces de documentos
Cifrado en reposoAES-256 en todos los documentos almacenados
Limitación de accesoEnlaces protegidos por correo electrónico o contraseña
Caducidad de enlacesCaducidad automática después de un período definido
Registro de auditoríaRegistros de acceso con marca de tiempo por documento
Residencia de datos en la UEDocumentos alojados en servidores de la UE
DPA con procesadorDPA firmado con el proveedor de intercambio de documentos
Pruebas de seguridadRevisión anual de la configuración de seguridad de la plataforma

Para un contexto más profundo sobre las auditorías específicamente, lea Cómo Mantener un Registro de Auditoría Conforme al GDPR. Para el marco completo, consulte nuestra Guía Completa de Intercambio de Documentos del GDPR y Cifrado AES-256 para el Intercambio de Documentos Explicado.

Comience a generar evidencia del Artículo 32 hoy. Cada documento compartido a través de SendNow se registra automáticamente, se cifra y se aloja en la UE. Visite sendnow.live para ver cómo funciona.

Preguntas Frecuentes

P: ¿Aplica el Artículo 32 al intercambio de documentos así como a los datos almacenados? R: Sí. El Artículo 32 se aplica a todo el procesamiento de datos personales, lo que incluye la transferencia de documentos que contienen datos personales a partes externas. El acto de compartir es una actividad de procesamiento y debe cumplir con el mismo estándar de seguridad que el almacenamiento.

**P: ¿Qué significa

Ready to share documents smarter?

Start tracking who reads your documents, page by page. Free trial, no credit card required.

Get Started for Free →