RGPD (Reglamento General de Protección de Datos)
Reglamento europeo (UE) 2016/679 que regula el tratamiento de datos personales. En peritaje forense, determina cómo recopilar, analizar y presentar evidencia digital sin vulnerar derechos fundamentales de privacidad.
RGPD (Reglamento General de Protección de Datos)
1.640 millones de euros. Esa es la cifra acumulada en multas RGPD impuestas en la Unión Europea entre 2023 y 2025, según el GDPR Enforcement Tracker de DLA Piper. España ocupa el segundo puesto en número de sanciones, con la AEPD como una de las autoridades más activas: solo en 2024 resolvió 658 procedimientos sancionadores. Para un perito informático forense, el RGPD no es solo una norma de cumplimiento; es el marco que define cómo se puede recopilar, analizar y presentar evidencia digital sin vulnerar derechos fundamentales.
Nota: Las cifras citadas proceden de fuentes públicas (DLA Piper GDPR Fines Tracker, memorias anuales AEPD, EDPB Annual Reports). Donde se mencionan estimaciones, se indica expresamente.
Definicion tecnica
El RGPD (Reglamento General de Proteccion de Datos) es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la proteccion de las personas fisicas en lo que respecta al tratamiento de datos personales y a la libre circulacion de estos datos. Entro en aplicacion el 25 de mayo de 2018.
Caracteristicas fundamentales:
- Aplicabilidad directa: No requiere transposicion nacional. Se aplica en los 27 Estados miembros de forma uniforme
- Alcance extraterritorial: Afecta a cualquier organizacion que trate datos de residentes UE, independientemente de donde este establecida (art. 3)
- Enfoque basado en riesgo: Las obligaciones se modulan segun el riesgo que el tratamiento supone para los interesados
Principios fundamentales (art. 5 RGPD):
| Principio | Descripcion | Implicacion forense |
|---|---|---|
| Licitud, lealtad, transparencia | Tratamiento con base legal e informacion al interesado | Perito debe justificar base legal del analisis |
| Limitacion de finalidad | Datos recogidos para fines determinados y explicitos | Evidencia digital solo para la investigacion concreta |
| Minimizacion de datos | Solo datos adecuados, pertinentes y limitados | No copiar disco completo si basta un directorio |
| Exactitud | Datos exactos y actualizados | Hash forense garantiza integridad evidencia |
| Limitacion del plazo de conservacion | No mas tiempo del necesario | Destruir copias forenses tras finalizar proceso |
| Integridad y confidencialidad | Medidas tecnicas y organizativas apropiadas | Cifrado, cadena de custodia, acceso restringido |
RGPD y peritaje informatico forense
El peritaje informatico forense implica, por naturaleza, acceder a datos personales: correos electronicos, registros de actividad, ficheros de usuario, metadatos. El RGPD establece limites claros sobre como se puede realizar este tratamiento.
Base legal para el tratamiento (art. 6 RGPD)
En el contexto forense, las bases legales mas habituales son:
1. Interes legitimo (art. 6.1.f):
Aplicable cuando:
- Empresa investiga brecha de seguridad interna
- Empleador analiza uso indebido de recursos corporativos
- Organizacion recopila evidencia para defensa judicial
Requisitos:
- Test de ponderacion: interes legitimo vs derechos del interesado
- Evaluacion de impacto si alto riesgo (art. 35)
- Documentar la ponderacion por escrito2. Obligacion legal (art. 6.1.c):
Aplicable cuando:
- Notificacion brecha datos a AEPD (art. 33 RGPD)
- Requerimiento judicial o policial
- Cumplimiento normativa sectorial (NIS2, PCI-DSS)3. Consentimiento (art. 6.1.a):
Raramente viable en contexto forense:
- Investigado NO suele consentir analisis de sus datos
- Si consiente, puede revocar en cualquier momento
- Usar SOLO cuando no exista otra base legal aplicableMinimizacion de datos en analisis forense
El principio de minimizacion (art. 5.1.c) exige que el perito limite su analisis a los datos estrictamente necesarios para la investigacion. Copiar un disco completo cuando solo se necesitan logs de acceso puede constituir un tratamiento desproporcionado y comprometer la admisibilidad de la prueba.
Consentimiento vs interes legitimo en investigaciones
El dilema mas frecuente para peritos: cuando un empleador solicita analisis del equipo de un trabajador sospechoso de filtracion de datos.
Escenario: Empresa sospecha empleado filtra datos a competencia
Base legal CORRECTA:
Interes legitimo (art. 6.1.f) del empleador
+ Ponderacion documentada
+ Proporcionalidad (solo datos relevantes)
+ Informacion previa (politica uso dispositivos)
Base legal INCORRECTA:
Consentimiento del empleado
(No es libre: relacion laboral implica desequilibrio de poder)
(AEPD y EDPB desaconsejan expresamente en contexto laboral)Articulos clave para peritos informaticos
Art. 5: Principios relativos al tratamiento
Los seis principios del art. 5 son la base sobre la que descansa cualquier analisis forense conforme al RGPD. El perito debe poder demostrar cumplimiento de cada uno (principio de responsabilidad proactiva, art. 5.2).
Art. 6: Licitud del tratamiento
Define las seis bases legales posibles. En peritaje forense, las mas relevantes son interes legitimo (6.1.f), obligacion legal (6.1.c) y mision en interes publico (6.1.e, en investigaciones con mandato judicial).
Art. 17: Derecho de supresion vs conservacion de evidencia
Conflicto critico en practica forense:
Situacion:
Empleado investigado ejerce derecho de supresion (art. 17)
Solicita borrado de todos sus datos personales
Excepciones art. 17.3 (NO obligatorio borrar si):
- Ejercicio de reclamaciones judiciales (art. 17.3.e)
- Cumplimiento obligacion legal (art. 17.3.b)
- Interes publico en salud publica (art. 17.3.c)
Actuacion perito:
1. Documentar solicitud de supresion
2. Evaluar si aplica excepcion art. 17.3.e
3. Si excepcion aplica: conservar datos necesarios, destruir resto
4. Informar al interesado de la excepcion aplicada
5. Fijar plazo maximo de conservacion (hasta fin proceso judicial)Art. 32: Seguridad del tratamiento
Medidas tecnicas y organizativas que el perito debe implementar:
Medidas obligatorias para perito forense:
- Cifrado de copias forenses (AES-256 minimo)
- Control de acceso (solo perito y personal autorizado)
- Registro de operaciones (log de quien accede a evidencia)
- Copias de seguridad de evidencia (integridad)
- Evaluacion periodica de medidas (art. 32.1.d)
Cadena de custodia RGPD:
- Documentar cada acceso a datos personales
- Registrar finalidad de cada consulta
- Hash SHA-256 de cada evidencia (integridad)
- Destruccion certificada al finalizar procesoArts. 33-34: Notificacion de brechas de seguridad
El perito informatico desempeña un papel esencial en el cumplimiento del plazo de 72 horas (art. 33):
Deteccion y confirmacion: El perito confirma tecnicamente que se ha producido una brecha que afecta a datos personales.
Cuantificacion del alcance: Determina numero de registros afectados, categorias de datos y de interesados.
Evaluacion de riesgo: Analiza si la brecha supone riesgo para derechos y libertades de los afectados.
Informe tecnico para AEPD: Redacta el componente tecnico de la notificacion (vector ataque, timeline, medidas adoptadas).
Comunicacion a afectados: Si procede (art. 34), asesora sobre contenido tecnico de la comunicacion.
Caso practico: investigacion forense de brecha de datos con cumplimiento RGPD
Nota: El siguiente caso esta basado en patrones reales observados en investigaciones forenses en Espana. Los datos especificos (empresa, cantidades, fechas) han sido modificados para preservar la confidencialidad de los afectados.
Escenario: Empresa tecnologica de 120 empleados detecta exfiltracion de base de datos de clientes (42,000 registros con nombre, email, telefono, historial de compras).
Timeline de actuacion forense conforme al RGPD:
T+0h (Deteccion):
SOC detecta transferencia anomala: 8 GB via SFTP a IP externa
Activacion protocolo respuesta incidentes
T+2h (Confirmacion brecha):
Perito confirma: BBDD clientes exfiltrada
Datos personales afectados: SI (nombre, email, telefono)
INICIO plazo 72h notificacion AEPD (art. 33)
T+4h (Minimizacion forense - art. 5.1.c):
Perito adquiere SOLO:
- Logs servidor BBDD (2 meses)
- Logs firewall (trafico IP destino)
- Imagen forense servidor comprometido
NO adquiere:
- Ordenadores empleados no relacionados
- Correos electronicos generales
- Datos financieros empresa
T+12h (Analisis - art. 32 medidas seguridad):
Vector ataque identificado: SQL injection en API publica
Causa: Endpoint sin validacion parametros (OWASP A03:2021)
Timeline: Primer acceso 12 dias antes de deteccion
T+24h (Cuantificacion):
Registros afectados: 42,187 clientes
Categorias datos: Nombre, email, telefono, historial compras
Datos sensibles (art. 9): NO
Evaluacion riesgo: ALTO (phishing, suplantacion identidad)
T+36h (Notificacion AEPD - art. 33):
Notificacion enviada via Sede Electronica AEPD
Contenido: Vector ataque, alcance, medidas adoptadas
Informe pericial forense adjunto
T+48h (Comunicacion afectados - art. 34):
Comunicacion enviada a 42,187 afectados via email
Contenido: Descripcion brecha, riesgos, recomendaciones
T+30 dias (Cierre):
Vulnerabilidad parcheada
Copias forenses cifradas conservadas (litigio previsto)
Datos no relevantes destruidos (acta destruccion)Resultado: La AEPD abrio expediente informativo (no sancionador). La actuacion diligente —notificacion en plazo, informe pericial riguroso, comunicacion proactiva a afectados— fue determinante para evitar sancion economica.
AEPD: la autoridad espanola de proteccion de datos
La Agencia Espanola de Proteccion de Datos (AEPD) es la autoridad de control independiente encargada de supervisar el cumplimiento del RGPD y la LOPDGDD en Espana.
Competencias clave:
- Investigar reclamaciones y denuncias
- Imponer sanciones economicas (hasta 20M EUR o 4% facturacion global)
- Realizar inspecciones de oficio
- Emitir guias y recomendaciones interpretativas
Sanciones notables en Espana:
| Empresa | Sancion | Motivo | Ano |
|---|---|---|---|
| CaixaBank | 6.000.000 EUR | Tratamiento datos sin consentimiento valido | 2021 |
| Vodafone Espana | 8.150.000 EUR | Comunicaciones comerciales sin consentimiento | 2022 |
| La Liga | 250.000 EUR | App espiaba microfono usuarios detectar emisiones ilegales | 2019 |
| EDP Energia | 1.500.000 EUR | Cambios de comercializadora sin consentimiento | 2022 |
| Glovo | 550.000 EUR | Falta de transparencia con riders (DSAR incumplidos) | 2023 |
Datos actividad AEPD 2024:
- 658 procedimientos sancionadores resueltos
- 2.900+ notificaciones de brechas de seguridad recibidas
- 15.000+ reclamaciones ciudadanos tramitadas
RGPD vs LOPDGDD: regulacion europea y ley organica espanola
| Aspecto | RGPD (UE) 2016/679 | LOPDGDD (LO 3/2018) |
|---|---|---|
| Ambito | Toda la Union Europea | Solo Espana |
| Tipo norma | Reglamento (aplicacion directa) | Ley Organica (complementa RGPD) |
| Prevalencia | Superior (primacia derecho UE) | Subordinada al RGPD |
| Edad consentimiento | Permite que Estados fijen 13-16 anos | Fija en 14 anos (art. 7 LOPDGDD) |
| DPO obligatorio | Lista abierta (art. 37) | Lista ampliada (art. 34 LOPDGDD): colegios, centros docentes, operadores telecoms… |
| Regimen sancionador | Marco general (arts. 83-84) | Tipificacion detallada infracciones (arts. 70-78 LOPDGDD) |
| Derechos digitales | No regula | Titulo X: derecho desconexion digital, educacion digital, testamento digital |
En la practica forense: El perito debe conocer ambas normas. El RGPD establece el marco general de proteccion de datos, y la LOPDGDD lo complementa con especificidades del ordenamiento juridico espanol (edad de consentimiento, categorias de responsables obligados a designar DPO, regimen sancionador detallado).
Derechos de los interesados: ARCO+ en contexto forense
El RGPD amplio los derechos clasicos ARCO (Acceso, Rectificacion, Cancelacion, Oposicion) con nuevos derechos. En el contexto de una investigacion forense, estos derechos pueden colisionar con la necesidad de preservar evidencia.
| Derecho | Articulo RGPD | Implicacion forense |
|---|---|---|
| Acceso | Art. 15 | Investigado puede solicitar copia de sus datos tratados en el analisis |
| Rectificacion | Art. 16 | Puede solicitar correccion de datos inexactos en informe pericial |
| Supresion | Art. 17 | Puede solicitar borrado, PERO excepcion defensa judicial (17.3.e) |
| Limitacion | Art. 18 | Puede solicitar que datos se conserven pero no se traten |
| Portabilidad | Art. 20 | Derecho a recibir datos en formato estructurado |
| Oposicion | Art. 21 | Puede oponerse al tratamiento basado en interes legitimo |
Excepcion clave para peritos: art. 17.3.e
El derecho de supresion NO es absoluto. El art. 17.3.e RGPD establece que el responsable puede negarse a borrar datos cuando el tratamiento es necesario “para la formulacion, el ejercicio o la defensa de reclamaciones”. Esta excepcion es fundamental en investigaciones forenses vinculadas a procedimientos judiciales.
Gestion practica de derechos ARCO+ durante investigacion forense:
1. Recepcion solicitud derecho (ej: supresion)
2. Verificar identidad solicitante
3. Evaluar si aplica excepcion (art. 17.3)
4. Si excepcion aplica:
- Informar al interesado por escrito
- Citar base legal de denegacion
- Indicar derecho a reclamar ante AEPD
5. Si excepcion NO aplica:
- Ejecutar supresion en plazo 1 mes (art. 12.3)
- Documentar destruccion de datos
6. Conservar registro de la gestion (principio responsabilidad proactiva)FAQ
P: ¿Puede un perito informatico copiar un disco completo para analisis forense sin vulnerar el RGPD? R: Depende de la proporcionalidad. Si la investigacion requiere analizar todo el disco (por ejemplo, buscar ficheros eliminados o malware), la copia completa puede estar justificada bajo interes legitimo (art. 6.1.f). Sin embargo, el principio de minimizacion (art. 5.1.c) exige documentar por que no basta con una copia parcial. La jurisprudencia espanola acepta copias forenses completas cuando estan debidamente justificadas y se respeta cadena de custodia.
P: ¿El RGPD impide investigar a un empleado sospechoso de filtrar datos? R: No. El interes legitimo del empleador (art. 6.1.f) permite investigar usos indebidos de recursos corporativos, siempre que exista politica previa de uso de dispositivos, se respete la proporcionalidad del analisis y se documente la ponderacion de intereses. El EDPB (Comite Europeo de Proteccion de Datos) ha emitido directrices especificas sobre monitorizacion en el ambito laboral (Directrices 8/2020).
P: ¿Cuanto tiempo puede conservar un perito las copias forenses con datos personales? R: Solo durante el tiempo estrictamente necesario para la finalidad del tratamiento (art. 5.1.e). En la practica, esto significa: durante el procedimiento judicial o administrativo, mas el plazo de recurso. Una vez firme la resolucion, las copias forenses deben destruirse de forma segura, documentando la destruccion.
P: ¿Que ocurre si la evidencia digital obtenida vulnera el RGPD? R: Puede ser declarada inadmisible como prueba en juicio. El Tribunal Constitucional espanol ha establecido que las pruebas obtenidas vulnerando derechos fundamentales (incluido el derecho a la proteccion de datos, art. 18.4 CE) son nulas de pleno derecho (art. 11.1 LOPJ). Por eso es esencial que el perito garantice el cumplimiento del RGPD en todo el proceso de adquisicion y analisis.
P: ¿Es obligatorio realizar una Evaluacion de Impacto (EIPD) antes de un analisis forense? R: Cuando el tratamiento supone alto riesgo para los derechos de los interesados, si (art. 35 RGPD). La AEPD ha publicado una lista de tratamientos que requieren EIPD, incluyendo “tratamientos que impliquen monitorizacion u observacion sistematica de empleados”. En la practica, si el analisis forense afecta a categorias especiales de datos o a un volumen elevado de interesados, es recomendable realizar una EIPD previa.
Referencias y Fuentes
Parlamento Europeo y Consejo. (2016). “Reglamento (UE) 2016/679 - Reglamento General de Proteccion de Datos”. eur-lex.europa.eu
- Texto oficial completo del RGPD en todas las lenguas oficiales UE
AEPD. (2024). “Memoria Anual 2024 - Agencia Espanola de Proteccion de Datos”. aepd.es
- 658 procedimientos sancionadores resueltos, 2,900+ brechas notificadas
DLA Piper. (2025). “GDPR Fines and Data Breach Survey 2025”. dlapiper.com
- EUR 1,640 millones acumulados en multas RGPD en la UE (2023-2025)
- Espana entre los paises con mas procedimientos sancionadores
EDPB. (2020). “Directrices 8/2020 sobre el tratamiento de datos personales en el contexto del empleo”. edpb.europa.eu
- Criterios para monitorizacion empleados conforme al RGPD
AEPD. (2023). “Guia practica para las evaluaciones de impacto en la proteccion de datos personales”. aepd.es
- Metodologia EIPD y lista de tratamientos que requieren evaluacion
INCIBE. (2025). “Guia de proteccion de datos para empresas”. incibe.es
- Medidas tecnicas y organizativas recomendadas para pymes
Comision Europea. (2024). “Data Protection - Rules for the protection of personal data inside and outside the EU”. ec.europa.eu
- Marco institucional, evaluaciones de adecuacion, transferencias internacionales
AEPD. (2023). “Guia sobre notificacion de brechas de datos personales”. aepd.es
- Procedimiento notificacion art. 33, criterios comunicacion afectados art. 34
Jefatura del Estado. (2018). “Ley Organica 3/2018 de Proteccion de Datos Personales y garantia de los derechos digitales (LOPDGDD)”. boe.es
- Texto consolidado LOPDGDD con todas las modificaciones vigentes
EDPB. (2025). “Annual Report 2024 - European Data Protection Board”. edpb.europa.eu
- Actividad de las autoridades de control europeas, tendencias sancionadoras
Tribunal Constitucional de Espana. Sentencia 292/2000, de 30 de noviembre. tribunalconstitucional.es
- Reconoce el derecho a la proteccion de datos como derecho fundamental autonomo (art. 18.4 CE)
AEPD - Resoluciones sancionadoras. (2019-2024). aepd.es
- CaixaBank EUR 6M (PS/00477/2020), Vodafone EUR 8.15M (PS/00267/2021), La Liga EUR 250K (PS/00326/2019)
Ultima actualizacion: 10 Febrero 2026 Categoria: Legal (LEG-002) Nivel tecnico: Medio-Avanzado Relevancia forense: MUY ALTA (determina licitud de toda la cadena de evidencia digital) Marco legal: Reglamento (UE) 2016/679, LO 3/2018 (LOPDGDD)
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita