El Reglamento General de Protección de Datos (RGPD) transformó la forma en que las organizaciones de todo el mundo gestionan los datos personales cuando entró en vigor en mayo de 2018. Casi ocho años después, las autoridades supervisoras europeas han impuesto multas acumuladas por valor de 7100 millones de euros, y las notificaciones de infracciones se dispararon hasta una media de 443 al día en 2025, lo que supone un aumento interanual del 22 %. Estas cifras revelan una verdad fundamental para los equipos de seguridad: el cumplimiento del RGPD no es un mero trámite burocrático. Exige una detección continua de amenazas, una respuesta rápida a los incidentes y la capacidad operativa para identificar las infracciones antes de que expire el plazo de notificación de 72 horas. Esta guía relaciona los requisitos de seguridad del RGPD con las capacidades de detección, con los últimos datos sobre su aplicación y las novedades normativas que los profesionales de la seguridad necesitan conocer en 2026.
El cumplimiento del RGPD es la adhesión de una organización al Reglamento General de Protección de Datos de la Unión Europea, que regula la forma en que se recopilan, procesan, almacenan y protegen los datos personales de los residentes de la UE y del EEE. Requiere la implementación de medidas de seguridad técnicas y organizativas, el establecimiento de bases legales para el procesamiento, el respeto de los derechos de los interesados y el mantenimiento de la capacidad de detectar y notificar las violaciones de datos dentro de los plazos establecidos.
El reglamento sustituyó a la anterior Directiva 95/46/CE sobre protección de datos e introdujo mecanismos de aplicación mucho más estrictos. Desde su entrada en vigor el 25 de mayo de 2018, el RGPD ha generado multas acumuladas por valor de 7100 millones de euros en los Estados miembros de la UE y del EEE, consolidándose como el marco de protección de datos más importante a nivel mundial.
El artículo 5 establece siete principios fundamentales que rigen todo el tratamiento de datos personales:
El sexto principio, integridad y confidencialidad, es donde la ciberseguridad y los requisitos de cumplimiento del RGPD se cruzan directamente. Exige una «seguridad adecuada» para los datos personales, que el RGPD detalla más ampliamente en los artículos 25 y 32.
El RGPD protege los datos personales, definidos en términos generales como cualquier información que pueda identificar directa o indirectamente a una persona viva. Esto incluye nombres, direcciones de correo electrónico, direcciones IP, datos de ubicación, datos biométricos, datos genéticos e historiales médicos.
El artículo 9 designa categorías especiales de datos sensibles, entre los que se incluyen el origen racial o étnico, las opiniones políticas, las creencias religiosas, los datos sobre la salud y los datos biométricos utilizados para la identificación, que requieren un mayor nivel de protección y el consentimiento explícito para su tratamiento.
Las organizaciones deben comprender la diferencia entre los datos seudonimizados (que el RGPD sigue considerando datos personales) y los datos verdaderamente anonimizados (que quedan fuera del ámbito de aplicación del RGPD). Esta distinción es importante para las decisiones relativas a la arquitectura de seguridad.
El RGPD también otorga a los interesados derechos específicos: acceso a sus datos, rectificación de inexactitudes, supresión (el «derecho al olvido»), portabilidad de los datos, derecho a oponerse al tratamiento y limitación del tratamiento. Cada derecho crea las obligaciones correspondientes para los equipos de seguridad, que deben garantizar que los datos puedan localizarse, modificarse o suprimirse en todos los sistemas.
El ámbito de aplicación territorial del RGPD, según el artículo 3, se extiende mucho más allá de las fronteras de la UE. Hay tres criterios que determinan si una organización debe cumplirlo:
Las empresas estadounidenses que procesan datos de clientes de la UE, realizan un seguimiento de los visitantes de sitios web de la UE o emplean a trabajadores con sede en la UE deben cumplir con el RGPD. Esto se aplica independientemente del tamaño de la empresa o de si esta tiene presencia física en la UE.
Cada Estado miembro de la UE y del EEE cuenta con una autoridad de control independiente (también denominada autoridad de protección de datos o DPA) responsable de hacer cumplir el RGPD dentro de su jurisdicción. Algunos ejemplos son la Comisión de Protección de Datos de Irlanda (DPC), la CNIL de Francia y la BfDI de Alemania. Las organizaciones deben designar una autoridad de control principal en función de la ubicación de su establecimiento principal.
Se debe nombrar a un delegado de protección de datos (DPO) cuando una organización es una autoridad pública, realiza un seguimiento sistemático a gran escala de personas o procesa categorías especiales de datos sensibles a gran escala. El DPO supervisa la estrategia de cumplimiento normativo, realiza auditorías y actúa como punto de contacto para las autoridades supervisoras.
Las organizaciones con menos de 250 empleados se benefician actualmente de ciertas exenciones en materia de conservación de registros. La propuesta de la UE sobre el paquete digital (noviembre de 2025) elevaría este umbral a 750 empleados si se aprobara.
Aunque muchas guías sobre el RGPD se centran en la gestión del consentimiento y los derechos de los interesados, los artículos sobre ciberseguridad del reglamento establecen las obligaciones más directas para los equipos de operaciones de seguridad. Estos artículos no prescriben tecnologías específicas, sino que exigen medidas «adecuadas» basadas en la evaluación de riesgos.
Artículo 5(1)(f) — Integridad y confidencialidad. Este principio fundamental exige la «seguridad adecuada» de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción o el daño. Establece la base jurídica para todas las medidas técnicas de seguridad.
Artículo 25: protección de datos desde el diseño y por defecto. La seguridad debe integrarse en los sistemas de tratamiento desde el principio, no añadirse posteriormente. Esto se aplica a la arquitectura de red, los controles de acceso y las capacidades de supervisión.
Artículo 32: seguridad del tratamiento. El artículo más relevante desde el punto de vista operativo para los equipos de seguridad, el artículo 32, exige cuatro categorías específicas de medidas técnicas:
Artículo 33: notificación de violaciones a la autoridad supervisora. Las organizaciones deben notificar a la autoridad de control competente en un plazo de 72 horas desde que «tengan conocimiento» de una violación de datos personales, a menos que sea improbable que dicha violación suponga un riesgo para las personas. La notificación debe incluir la naturaleza de la violación, los datos de contacto del delegado de protección de datos, las posibles consecuencias y las medidas adoptadas o propuestas para hacerle frente. Se trata de la norma de las 72 horas del RGPD, cuyo cumplimiento exige capacidades de respuesta ante incidentes de las que carecen la mayoría de los programas de cumplimiento normativo basados en listas de verificación.
En 2025, las autoridades supervisoras europeas recibieron una media de 443 notificaciones de violaciones al día, lo que supone un aumento interanual del 22 % y el volumen más alto desde la entrada en vigor del RGPD.
Artículo 34: notificación de violaciones a los interesados. Cuando una violación suponga un «alto riesgo» para los derechos y libertades de las personas, las organizaciones también deberán notificarlo directamente a los interesados afectados.
Artículo 35: evaluación de impacto relativa a la protección de datos (EIPD). Las actividades de tratamiento de alto riesgo requieren una evaluación de riesgos estructurada antes de que comience el tratamiento.
Tabla: Cómo la detección y respuesta de red los artículos de seguridad del RGPD
El plazo de 72 horas para notificar las violaciones de seguridad establecido en el artículo 33 plantea un reto operativo fundamental: las organizaciones no pueden notificar lo que no pueden detectar. El plazo comienza cuando la organización «toma conocimiento» de una violación, según las Directrices 9/2022 del CEPD. Los procesos de detección manuales —o la ausencia total de procesos de detección— reducen el tiempo disponible para la investigación, la evaluación del impacto y la notificación reglamentaria.
Un flujo de trabajo estructurado de ocho pasos transforma la notificación de infracciones del RGPD de una carrera reactiva a un proceso repetible.
Flujo de trabajo desde la detección hasta la notificación para el cumplimiento del artículo 33 del RGPD. Texto alternativo: Flujo de trabajo de ocho pasos, desde la detección inicial de la amenaza hasta la notificación a la autoridad supervisora, que muestra cómo cada etapa se corresponde con los artículos 32 y 33 del RGPD.
La supervisión continua de la red cumple directamente con el requisito de resiliencia del artículo 32(1)(b), ya que proporciona una visibilidad constante del comportamiento del sistema de procesamiento. La detección automatizada reduce el MTTD, lo que da a los equipos de seguridad más tiempo de las 72 horas para investigar y notificar, en lugar de dedicarlo al descubrimiento.
Las pruebas forenses obtenidas a partir de los metadatos de la red respaldan los requisitos de contenido del artículo 33, apartado 3: las organizaciones pueden proporcionar a las autoridades de control detalles específicos sobre el alcance de la violación, los flujos de datos afectados y las medidas de contención.
El análisis conductual detecta exfiltración de datos patrones asignados a MITRE ATT&CK Exfiltración táctica (0010). Las técnicas clave incluyen la exfiltración a través de canales C2 (T1041), exfiltración a través de protocolos alternativos (T1048), exfiltración a través de servicios web (T1567), y la exfiltración automatizada (T1020). Cada uno de ellos representa un posible desencadenante de una infracción del RGPD cuando hay datos personales involucrados.
El informe «IBM 2025 Cost of Data Breach Report» reveló que el 20 % de las organizaciones afectadas por violaciones de datos sufrieron incidentes relacionados con la IA en la sombra, es decir, herramientas de IA no autorizadas adoptadas sin la supervisión del departamento de TI. Estas violaciones de la IA en la sombra añadieron 670 000 dólares al coste medio de las violaciones. Cuando los empleados utilizan herramientas de IA no autorizadas para procesar datos personales, las organizaciones se enfrentan a un problema agravado: el artículo 30 del RGPD exige mantener registros de todas las actividades de procesamiento, lo que es imposible cuando los flujos de datos impulsados por la IA son invisibles para el equipo de seguridad.
El coste medio global de las violaciones de seguridad alcanzó los 4,44 millones de dólares en 2025, mientras que la media en Estados Unidos fue de 10,22 millones de dólares. Es importante destacar que el 32 % de las organizaciones afectadas pagaron multas reglamentarias, y el 48 % de esas multas superaron los 100 000 dólares. Las capacidades de detección que sacan a la luz los flujos de datos no autorizados, incluidos los procedentes de la IA en la sombra, reducen directamente tanto el impacto de las violaciones como la exposición a las sanciones reglamentarias.
Las organizaciones deben implementar plantillas de notificación predefinidas y activadores de flujo de trabajo automatizados para reducir la brecha entre la detección y la notificación.
El artículo 83 establece una estructura de multas de dos niveles que varía en función de los ingresos de la organización.
Tabla: Estructura de multas del RGPD con ejemplos de aplicación en 2025
La encuesta sobre multas del RGPD realizada por DLA Piper en enero de 2026 revela que la presión para hacer cumplir la normativa siguió intensificándose:
La infracción de la Iglesia de Inglaterra ilustra un patrón de aplicación diferente: controles técnicos insuficientes, la ausencia de un sistema sólido de gestión de datos y procesos de validación por terceros deficientes provocaron la exposición no autorizada de datos confidenciales protegidos. Este caso demuestra que la aplicación se centra en las fallas de seguridad operativa, no solo en las transferencias de datos que acaparan los titulares.
Los costes de cumplimiento del RGPD varían considerablemente en función del tamaño de la organización, el sector y el volumen de tratamiento de datos. Las estimaciones oscilan entre 1,3 y 25 millones de dólares estadounidenses para la implementación inicial, aunque la metodología varía significativamente entre las distintas encuestas. El CMS GDPR Enforcement Tracker ofrece una base de datos completa y consultable de todas las medidas de ejecución publicadas.
Los equipos de seguridad se enfrentan cada vez más a obligaciones normativas que se solapan en múltiples marcos de la UE. Comprender dónde convergen y divergen estas normativas evita la duplicación del trabajo de cumplimiento.
La propuesta Digital Omnibus de la Comisión Europea representa el cambio potencial más significativo al RGPD desde su promulgación. Los principales cambios propuestos incluyen:
La propuesta ha suscitado tanto apoyo como críticas. La Comisión Europea la presenta como una medida para reducir la carga administrativa sin renunciar a las protecciones fundamentales. La Electronic Frontier Foundation sostiene que «vacíe de contenido los derechos de privacidad del RGPD» al restringir las definiciones de datos y debilitar la notificación de infracciones. Las organizaciones deben estar atentas al resultado de la consulta y planificar ambos escenarios.
Tanto el RGPD como la NIS2 exigen la notificación de incidentes de seguridad, la adopción de medidas técnicas y organizativas adecuadas y la gestión de riesgos en la cadena de suministro. La diferencia fundamental es que el RGPD protege los derechos sobre los datos personales, mientras que la NIS2 se centra en la ciberseguridad operativa de entidades esenciales e importantes.
Tabla: Comparación de las obligaciones reglamentarias superpuestas de la UE para los equipos de ciberseguridad
Fuente: Cyberday.ai Comparación de marcos de ciberseguridad de la UE
El RGPD protege los datos personales de los residentes de la UE y del EEE con un modelo basado en el consentimiento previo, mientras que la Ley de Privacidad del Consumidor de California (CCPA) protege a los residentes de California con un modelo de exclusión voluntaria. El RGPD se aplica a nivel mundial en función de la ubicación del interesado. La CCPA se aplica a las empresas que cumplen determinados umbrales de ingresos o volumen de datos dentro de California. Las sanciones del RGPD son significativamente más elevadas, y la definición de datos personales del RGPD es más amplia que la definición de información personal de la CCPA.
Los datos de IBM para 2025 revelaron que las infracciones relacionadas con la IA oculta añadieron 670 000 dólares estadounidenses a los costes medios. Las organizaciones que implementan sistemas de IA se enfrentan a una doble obligación en virtud del RGPD y la Ley de IA de la UE, en particular en lo que respecta al entrenamiento de la IA con datos personales, las disposiciones sobre la toma de decisiones automatizada del artículo 22 y los requisitos de transparencia. La visibilidad a nivel de red de los flujos de datos de IA es esencial para gestionar ambos marcos simultáneamente.
Esta lista de verificación prioriza los requisitos de las operaciones de seguridad junto con las obligaciones de documentación. Las auditorías de cumplimiento trimestrales que abarcan cada área ayudan a mantener una postura de cumplimiento continuo.
No existe una «certificación de cumplimiento del RGPD» oficial emitida por las autoridades de la UE. Sin embargo, el artículo 42 permite a los organismos de certificación autorizados ofrecer certificaciones que demuestren el cumplimiento de aspectos específicos del RGPD. Las certificaciones ISO 27001 e ISO 27701 se utilizan habitualmente como prueba justificativa.
El panorama del cumplimiento del RGPD está cambiando más rápidamente en 2026 que en cualquier otro momento desde que entró en vigor el reglamento. Tres acontecimientos determinarán las prioridades en materia de operaciones de seguridad durante los próximos 12 a 24 meses.
El resultado del Digital Omnibus redefinirá la notificación de infracciones. Si se aprueba, la ampliación propuesta del plazo de notificación de 72 a 96 horas dará a las organizaciones más tiempo para investigar, pero la consolidación «informar una vez, compartir muchas veces» entre NIS2, GDPR, DORA y eIDAS requerirá una infraestructura unificada de notificación de incidentes. Las organizaciones deben crear flujos de trabajo de detección a notificación que superen los requisitos actuales, en lugar de ajustarse al mínimo reglamentario, de modo que cualquier cambio en el plazo se convierta en una ventaja operativa en lugar de un motivo para ralentizar el proceso.
La gobernanza de la IA se volverá inseparable de la protección de datos. Los plazos de aplicación de la Ley de IA de la UE siguen evolucionando, y los requisitos para los sistemas de alto riesgo se fijan ahora para diciembre de 2027. Las organizaciones que utilizan la IA para procesar datos personales se enfrentan a obligaciones convergentes en virtud tanto del RGPD como de la Ley de IA. La IA en la sombra, responsable ya del 20 % de las infracciones y de 670 000 dólares en costes adicionales por incidente, se intensificará a medida que se acelere la adopción de la IA. La supervisión a nivel de red que detecta flujos de datos de IA no autorizados pasará de ser una buena práctica a ser un requisito de cumplimiento.
La infraestructura de detección se convertirá en una expectativa normativa, no solo en una buena práctica. El aumento del 22 % en las notificaciones diarias de infracciones, hasta alcanzar las 443 al día en 2025, refleja la creciente madurez de la detección en las organizaciones. Las autoridades supervisoras esperan cada vez más que las organizaciones demuestren capacidades de detección proactivas, y no solo procesos de notificación reactivos. La inversión en supervisión continua, análisis de comportamiento y clasificación automatizada generará beneficios simultáneamente en el RGPD, la NIS2 y los marcos emergentes.
Las organizaciones están pasando de evaluaciones de cumplimiento periódicas basadas en listas de verificación a posturas de cumplimiento continuo basadas en capacidades de detección y respuesta. Los programas más eficaces integran los flujos de trabajo de cumplimiento y operaciones de seguridad, utilizando la detección automatizada para activar los procesos de cumplimiento en lugar de tratarlos como flujos de trabajo separados.
Este cambio refleja un reconocimiento más amplio por parte del sector: los artículos de la normativa relativos a la seguridad (en particular el artículo 32) exigen capacidades técnicas continuas, no auditorías puntuales. Detectar amenazas en tiempo real, relacionar esas detecciones con las obligaciones de cumplimiento y generar pruebas listas para la auditoría en el proceso es lo que diferencia a los programas de cumplimiento maduros de aquellos que descubren infracciones semanas o meses después de que se hayan producido.
La filosofía de «asumir el compromiso» Vectra AI se alinea directamente con el requisito del RGPD de detectar y responder a las infracciones. En lugar de tratar el cumplimiento como un ejercicio de documentación, el enfoque de «detección primero» utiliza Attack Signal Intelligence identificar amenazas contra los datos personales en tiempo real en entornos híbridos, que abarcan redes, cloud, identidad y SaaS. Esto reduce el tiempo medio de detección en más de un 50 % y aumenta las amenazas identificadas de forma proactiva en un 52 % (IDC), lo que respalda directamente las exigencias operativas de los artículos 32 y 33. Cuando las organizaciones pueden detectar las amenazas más rápidamente, conservan el plazo de notificación de 72 horas para la investigación y la respuesta, en lugar de dedicarlo al descubrimiento. La plataforma SOC integra la detección, la clasificación y la investigación en un único flujo de trabajo que se ajusta directamente al proceso de detección y notificación que exige el RGPD.
El cumplimiento del RGPD no es un logro estático. Se trata de una capacidad operativa continua que exige una detección constante de amenazas, una respuesta estructurada ante incidentes y la capacidad de adaptarse a medida que evoluciona el panorama normativo. El aumento del 22 % en las notificaciones de infracciones durante 2025, los 1200 millones de euros en multas coercitivas y la propuesta pendiente del Digital Omnibus son señales de que las autoridades supervisoras esperan más de las organizaciones, no menos.
Para los equipos de seguridad, el camino a seguir está claro: desarrollar capacidades de detección que superen los plazos reglamentarios, mapear los controles de seguridad en marcos superpuestos y tratar el cumplimiento como una función integrada de las operaciones de seguridad, en lugar de como un ejercicio de documentación independiente. Las organizaciones que invierten hoy en seguridad basada en la detección estarán mejor posicionadas para afrontar cualquier cambio normativo que surja en el futuro.
Descubra cómo las capacidades de detección y respuesta de red Vectra AI respaldan el cumplimiento del RGPD y los requisitos generales de operaciones de seguridad.
El cumplimiento del RGPD significa que una organización cumple todos los requisitos del Reglamento General de Protección de Datos de la UE para recopilar, procesar, almacenar y proteger los datos personales de los residentes de la UE y del EEE. Esto incluye la implementación de medidas de seguridad técnicas y organizativas adecuadas en virtud del artículo 32, el establecimiento de bases legales para todas las actividades de procesamiento de datos, el mantenimiento de registros de las actividades de procesamiento en virtud del artículo 30 y la creación de capacidades de respuesta a incidentes que permitan notificar las infracciones en un plazo de 72 horas en virtud del artículo 33. El cumplimiento va más allá de la documentación y se extiende a las operaciones de seguridad activas: las organizaciones deben demostrar que pueden detectar las infracciones, evaluar su impacto y notificarlas a las autoridades de control con detalles específicos sobre su alcance y las medidas correctivas. Desde que el RGPD entró en vigor en mayo de 2018, las autoridades de control europeas han impuesto multas por un valor acumulado de 7100 millones de euros, lo que pone de relieve que la aplicación de la normativa es continua y se está intensificando.
Los siete principios del artículo 5 son: licitud, equidad y transparencia; limitación de la finalidad; minimización de datos; exactitud; limitación del almacenamiento; integridad y confidencialidad; y responsabilidad. Estos principios rigen todas las actividades de tratamiento de datos personales y constituyen la base del cumplimiento del RGPD. El sexto principio, el de integridad y confidencialidad, es especialmente relevante para los equipos de seguridad, ya que exige una «seguridad adecuada», incluida la protección contra el tratamiento no autorizado o ilícito, la pérdida accidental, la destrucción o el daño. El artículo 32 concreta aún más este principio al exigir medidas técnicas específicas, como el cifrado, la seudonimización y la capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia continuas de los sistemas de tratamiento. Las organizaciones que se centran únicamente en la gestión del consentimiento y la documentación sin abordar los principios de seguridad se enfrentan a un riesgo significativo de incumplimiento.
Sí. El RGPD se aplica a cualquier organización del mundo que ofrezca bienes o servicios a residentes de la UE o del EEE o que supervise su comportamiento, independientemente de la ubicación física de la organización. Las empresas estadounidenses que procesan datos de clientes de la UE, rastrean a los visitantes de sitios web de la UE mediante análisis o cookies, emplean a trabajadores con sede en la UE o venden a clientes en los Estados miembros de la UE deben cumplir con el RGPD. El artículo 3 establece explícitamente este alcance extraterritorial. Las empresas estadounidenses sujetas al RGPD deben designar a un representante en la UE y es posible que tengan que nombrar a un delegado de protección de datos, dependiendo de la naturaleza y la escala de sus actividades de tratamiento de datos. El mecanismo de aplicación funciona mediante la cooperación entre las autoridades de control de la UE y los marcos jurídicos internacionales, y se han impuesto con éxito multas a organizaciones no pertenecientes a la UE.
El artículo 33 exige a las organizaciones que notifiquen a la autoridad de control competente en un plazo de 72 horas desde que tengan conocimiento de una violación de datos personales, salvo que sea improbable que dicha violación suponga un riesgo para los derechos y libertades de las personas. La notificación debe incluir cuatro elementos: la naturaleza de la violación, incluidas las categorías y el número aproximado de interesados afectados, el delegado de protección de datos u otro punto de contacto, las posibles consecuencias de la violación y las medidas adoptadas o propuestas para hacerle frente y mitigarla. El plazo de 72 horas comienza a contar desde el momento en que se tiene «conocimiento» de la violación, no desde el momento en que se produjo. Esta distinción hace que las capacidades de detección sean fundamentales: las organizaciones con un tiempo medio de detección (MTTD) más largo disponen de menos tiempo dentro del plazo de 72 horas para investigar y notificar. La propuesta de la UE sobre el paquete digital Omnibus ampliaría este plazo a 96 horas si se aprueba, aunque la consulta permanecerá abierta hasta el 11 de marzo de 2026.
El RGPD impone una estructura de multas de dos niveles en virtud del artículo 83. Las infracciones de menor gravedad, como el incumplimiento de las obligaciones de conservación de registros, las medidas de seguridad inadecuadas y el incumplimiento de los acuerdos con los encargados del tratamiento, pueden dar lugar a multas de hasta 10 millones de euros o el 2 % del volumen de negocios mundial anual, lo que sea mayor. Las infracciones de nivel superior, como el incumplimiento de los principios de tratamiento de datos, las transferencias ilegales de datos y la violación de los derechos de los interesados, pueden alcanzar los 20 millones de euros o el 4 % del volumen de negocios global anual, lo que sea mayor. En la práctica, la aplicación de la ley ha sido considerable: solo en 2025 se impusieron multas por valor de 1200 millones de euros, y TikTok recibió la mayor multa individual, de 530 millones de euros, por transferir datos de usuarios del EEE a China sin las protecciones adecuadas. Más allá de las sanciones económicas, las autoridades de control pueden ordenar a las organizaciones que cesen por completo sus actividades de tratamiento, lo que puede tener consecuencias devastadoras para su funcionamiento.
El RGPD protege los datos personales de los residentes de la UE y del EEE mediante un modelo basado en el consentimiento previo (opt-in), mientras que la Ley de Privacidad del Consumidor de California protege a los residentes de California mediante un modelo de exclusión voluntaria (opt-out). El RGPD se aplica a nivel mundial en función de la ubicación del interesado: cualquier organización del mundo que trate datos de residentes de la UE debe cumplirlo. La CCPA se aplica a las empresas que cumplen determinados umbrales de ingresos (25 millones de dólares de ingresos anuales) o de volumen de datos dentro de California. La definición de datos personales del RGPD es más amplia, ya que incluye explícitamente las direcciones IP, los identificadores de cookies y los ID de dispositivos. Las sanciones del RGPD son significativamente más elevadas (hasta 20 millones de euros o el 4 % de la facturación global) en comparación con las sanciones de la CCPA (hasta 7500 dólares estadounidenses por infracción intencionada). Ambas normativas otorgan a las personas derechos sobre sus datos, pero el RGPD ofrece derechos más amplios, como la portabilidad de los datos y el derecho a la restricción del tratamiento.
Los costes de cumplimiento varían considerablemente en función del tamaño de la organización, el sector, la complejidad del procesamiento de datos y el nivel actual de madurez en materia de seguridad. Las estimaciones para la implementación inicial oscilan entre aproximadamente 100 000 dólares estadounidenses para las organizaciones más pequeñas y 1 millón de dólares estadounidenses o más para las grandes empresas, con unos costes anuales continuos de entre 150 000 y 500 000 dólares estadounidenses o más para mantener el cumplimiento. Algunas encuestas del sector citan unos costes totales de cumplimiento que oscilan entre 1,3 millones y 25 millones de dólares estadounidenses para las grandes empresas, aunque la metodología varía significativamente entre las distintas encuestas. El coste del incumplimiento suele superar con creces la inversión en cumplimiento: solo en 2025 se impusieron multas por valor de 1200 millones de euros en toda la UE y el 32 % de las organizaciones que infringieron la normativa pagaron multas reglamentarias. Las organizaciones deben considerar el gasto en cumplimiento como una reducción del riesgo y no como un coste puro, sobre todo teniendo en cuenta que los costes de las infracciones ascendieron a una media de 4,44 millones de dólares a nivel mundial y de 10,22 millones de dólares en Estados Unidos en 2025.