El EDPB lanzó el ciclo CEF 2026 centrado en transparencia y obligaciones de información de los artículos 13 y 14 RGPD. Las acciones del Coordinated Enforcement Framework abarcan las 31 autoridades UE/EEE simultáneamente, alcanzando cientos de organizaciones por ciclo. Si tu SaaS opera en la UE, la pregunta no es si te revisarán sino si estarás listo cuando ocurra.

Qué compararán los inspectores

El playbook CEF es consistente: cogen tu política viva y comparan contra lo que el producto realmente hace. Los desajustes son hallazgos.

  • Sub-encargados nombrados en política vs sub-encargados que reciben datos
  • Plazos de retención declarados vs plazos en tablas de producción
  • Bases legales declaradas vs bases legales que el flujo realmente usa
  • Derechos del usuario descritos vs derechos honrados operativamente
  • Transferencias internacionales declaradas vs transferencias realizadas

Las 3 comprobaciones preventivas

1. Auditoría de realidad de sub-encargados

Lista cada tercero que toca datos personales a través de tu producto. Compara con tu política. Añade los que faltan. Es el hallazgo más citado en los barridos 2025.

2. Auditoría de retención real

Por cada categoría de datos en la política, consulta el registro más antiguo en producción. Si es mayor de lo declarado, trunca o actualiza la política. Ambos son válidos; el desajuste no.

Por cada flujo, documenta qué base del Artículo 6 aplica. "Interés legítimo" vago sin balancing test no pasa. Bases específicas con evaluaciones documentadas sí.

Área auditoríaTiempoGap común
Sub-encargados2 horasPolítica vieja sin vendors nuevos
Retención3 horasBackups guardando más tiempo del declarado
Base legal4 horas"Interés legítimo" default sin balancing test

El ciclo CEF tarda 12-18 meses desde lanzamiento al informe público. Las empresas revisadas pronto no se sancionan más duro; las que estén sin preparar al contacto sí. Prepararse ahora es barato.

Conclusión

La inspección coordinada es el nuevo normal. La era en que el enforcement RGPD dependía de una reclamación llegando a una autoridad nacional se acabó. Una tarde de tres auditorías ahora es más barato que un procedimiento de seis meses después.

Para alinear las declaraciones de política con la realidad operativa con cambios versionados y auditables, prueba Termerly gratis.