Ciberseguridad y RGPD: Protegiendo los datos sensibles (SIPS y Bancarios)

​

Cuando gestionas una Asesoría Energética o trabajas como Consultor independiente, manejas información que está bajo el foco de la AEPD: curvas de carga, CUPS asociados a consumos cuarto-horarios, cuentas bancarias para domiciliaciones, mandatos SEPA, contratos firmados con DNI adjunto. Si sigues operando con carpetas en OneDrive compartido, un Excel «maestro» y WhatsApp Business para documentos de clientes, estás infringiendo el RGPD y abriendo la puerta a sanciones de hasta el 4% de tu facturación anual—o, lo que es peor para tu marca, a una brecha de seguridad que filtre datos sensibles de cientos de puntos de suministro.

​

La digitalización de una Asesoría Energética no es solo un tema de productividad; es un pilar de confianza y supervivencia legal. Este artículo disecciona los tres pilares técnicos del cumplimiento normativo en protección de datos sensibles: riesgos de almacenamiento local, arquitectura de encriptación y roles de acceso, y gestión segura de documentación financiera y contractual.

​

---

​

​

Riesgos legales de archivos locales

​

La primera vulnerabilidad de cualquier asesoría tradicional es el almacenamiento disperso y no controlado de datos personales: pendrives con SIPS descargados, carpetas de Windows con contratos escaneados, correos con adjuntos de DNI en formato JPG, o peor aún, ese archivo «Clientes_Contratos_2024_FINAL.xlsx» sincronizado en Dropbox sin cifrado.

​

​

El CUPS como dato personal sensible

​

El Tribunal Supremo español confirmó en 2019 que los datos de consumo energético asociados a un CUPS son datos de carácter personal, porque permiten inferir hábitos íntimos del titular (presencia en el hogar, horarios de actividad, patrones de vida). Si tienes 3.000 contratos en tu cartera, estás procesando 3.000 identidades bajo RGPD. Eso te obliga a:

​

• Documentar la base jurídica de cada tratamiento (ejecución de contrato, obligación legal, consentimiento explícito para usos secundarios como marketing).

• Realizar una Evaluación de Impacto (EIPD) si haces perfilado a gran escala (como segmentar clientes por consumo para campañas comerciales).

• Notificar brechas a la AEPD en 72 horas si hay un acceso no autorizado.

​

​

El coste real de una brecha local

​

Imagina este escenario: un comercial externo con acceso a tu carpeta compartida descarga un Excel con CUPS, nombres, IBAN y direcciones para «trabajar offline». Pierde el portátil en el metro. Esa es una brecha notificable que puede derivar en:

​

• Multa mínima de 10.000 € para PYMES (la AEPD ha sancionado a pequeñas comercializadoras en ese rango).

• Obligación de comunicar a cada afectado individualmente.

• Daño reputacional irreversible en tu red comercial.

​

Además, la responsabilidad es tuya como encargado del tratamiento: si tus subagentes no tienen garantías contractuales y medidas técnicas adecuadas, tú respondes ante la AEPD.

​

​

El mito del «Google Drive seguro»

​

Muchos asesores creen que subir documentos a Google Drive o OneDrive cumple con el RGPD. La realidad:

​

• El cifrado en tránsito existe (HTTPS), pero los archivos en reposo no están cifrados por defecto con claves que solo tú controles.

• No hay trazabilidad de accesos granular: ¿quién descargó qué archivo y cuándo?

• Compartir enlaces públicos («cualquiera con el enlace puede ver») es una infracción directa al principio de minimización y confidencialidad.

​

El RGPD exige medidas técnicas y organizativas proporcionales al riesgo. Para datos sensibles como SIPS o IBAN, eso significa cifrado, control de accesos nominativos, logging de auditoría y políticas de retención documentadas. Un archivo local o una carpeta en la nube sin estas garantías son una bomba de relojería legal.

​

---

​

​

Encriptación y accesos por roles

​

La segunda línea de defensa es una arquitectura que garantice que solo quien necesita datos específicos pueda acceder a ellos, y que esos datos sean ilegibles para terceros incluso si vulneran el sistema.

​

​

Cifrado en reposo y en tránsito (AES-256)

​

Una plataforma como Kiwatio implementa cifrado AES-256 tanto en base de datos (reposo) como en todas las comunicaciones API (tránsito mediante TLS 1.3). ¿Qué significa esto en la práctica?

​

• Si alguien accede físicamente al servidor (imposible en cloud gestionado, pero un requisito formal), los datos están encriptados.

• Si se intercepta tráfico de red, no puede leer los datos sin las claves criptográficas.

• Las claves de cifrado se gestionan mediante HSM (Hardware Security Modules), separadas del software de aplicación.

​

Esto es un estándar exigido por la AEPD para cumplir el artículo 32 del RGPD: integridad y confidencialidad mediante medidas técnicas adecuadas.

​

​

Control de accesos basado en roles (RBAC)

​

El error clásico del Excel compartido es que «todos ven todo». En un SaaS profesional como Kiwatio, el RBAC (Role-Based Access Control) permite definir permisos granulares:

​

• Administrador: Acceso total (datos de clientes, configuración, liquidaciones, documentos sensibles).

• Comercial Externo: Solo ve sus propios leads y contratos asignados. No puede descargar masivamente CUPS ni acceder a datos bancarios.

• Backoffice: Puede gestionar contratación y documentos, pero no tiene visibilidad sobre comisiones ni sobre la red comercial.

• Gestor de Comisiones: Ve liquidaciones y jerarquías comerciales, pero no tiene acceso a datos de clientes finales.

​

Cada acción queda registrada en un log de auditoría inmutable: quién accedió a qué ficha, cuándo, desde qué IP. Esto no solo protege ante accesos indebidos, sino que es una evidencia clave ante una auditoría de la AEPD.

​

​

Autenticación multifactor (MFA) y expiración de sesiones

​

La AEPD ha sancionado empresas por credenciales débiles o cuentas compartidas. Las medidas básicas incluyen:

​

• MFA obligatorio para accesos administrativos (código TOTP desde aplicación móvil).

• Expiración automática de sesiones tras inactividad (15 minutos es el estándar).

• Prohibición de cuentas genéricas: cada usuario debe tener acceso nominativo y rastreado.

​

Estos controles están nativos en plataformas cloud modernas, pero imposibles de implementar en un Excel compartido o en carpetas sincronizadas sin gestión de identidades.

​

​

Pseudonimización y minimización

​

El RGPD fomenta la pseudonimización: separar datos identificativos de datos operativos. Por ejemplo:

​

• El módulo de análisis de rentabilidad no necesita acceder a nombres ni IBAN; trabaja con IDs internos.

• Las curvas de carga para optimización de tarifas pueden procesarse sin asociar directamente al titular (separación técnica entre CUPS y datos de contacto).

​

Una arquitectura modular como la de Kiwatio facilita esta segmentación: el Comparador no accede a la base de datos del Módulo de Facturación, y viceversa, salvo mediante APIs internas con permisos limitados.

​

---

​

​

Gestión segura de mandatos SEPA y contratos firmados

​

El tercer pilar es la gestión documental y financiera de datos especialmente sensibles: mandatos bancarios para domiciliaciones (SEPA Core/B2B) y contratos con firma electrónica o escaneados con DNI adjunto.

​

​

Mandatos SEPA: PSD2, tokenización y acceso restringido

​

Los mandatos SEPA contienen IBAN completos, que son datos financieros personales bajo RGPD. Las obligaciones incluyen:

​

• Base jurídica clara: ejecución del contrato de prestación de servicios (facturación recurrente de fees).

• Conservación limitada: los mandatos deben eliminarse una vez concluida la relación contractual (salvo obligación legal de archivo contable, que no justifica acceso operativo).

• Tokenización recomendada: en lugar de almacenar IBAN en texto claro, algunas plataformas financieras integradas usan tokens que representan la cuenta bancaria sin exponer el número real.

​

El Módulo de Facturación de Kiwatio gestiona remesas SEPA generando ficheros XML firmados (según norma ISO 20022) sin que los usuarios operativos vean los IBAN completos salvo en la generación del mandato inicial. Además, los ficheros XML de remesa se encriptan antes de enviarse al banco mediante canal SFTP o EBICS (protocolos bancarios seguros).

​

​

Cláusulas contractuales y encargos del tratamiento (Art. 28 RGPD)

​

Si subcontratas la generación de remesas a un proveedor externo (pasarela de pagos, gestoría), debes firmar un contrato de encargo del tratamiento que obligue a:

​

• Implementar medidas de seguridad equivalentes.

• No tratar datos para fines propios.

• Notificar brechas inmediatamente.

• Eliminar/devolver datos al finalizar el servicio.

​

Muchas asesorías ignoran este requisito legal y trabajan con proveedores sin garantías formales. Eso te convierte en responsable solidario ante la AEPD si el proveedor sufre una brecha.

​

​

Contratos firmados y almacenamiento documental

​

Los contratos energéticos incluyen firma del titular, DNI/CIF, CUPS y datos de pago. Almacenarlos en carpetas sin control supone un tratamiento de categorías especiales (si el DNI incluye foto o datos biométricos en DNI electrónico, aunque no sea tu caso habitual, el nombre+DNI ya es identificación directa).

​

La gestión profesional requiere:

​

• Almacenamiento cifrado en gestor documental vinculado a la ficha del cliente (módulo CRM de Kiwatio).

• Acceso restringido por roles: solo backoffice o administración puede ver documentos completos; los comerciales solo ven estado de validación.

• Firma electrónica cualificada (eIDAS) para contratos digitales: Kiwatio puede integrarse con proveedores de firma electrónica (ej. Uanataca, Viafirma) para que el proceso sea trazable y legalmente vinculante.

• Política de retención: los contratos deben conservarse durante el plazo legal (prescripción de acciones: 4-5 años según Código de Comercio), pero después deben eliminarse, no acumular carpetas infinitas.

​

​

Protección ante reclamaciones y auditorías

​

Un sistema centralizado y trazable te protege en dos escenarios críticos:

​

1. Reclamación de un cliente: «No he firmado ese contrato, quiero que eliminen mis datos». Con un gestor documental profesional, puedes demostrar la fecha de firma, el IP de origen, el consentimiento explícito y exportar el documento certificado.

​

2. Auditoría de la AEPD: Si la Agencia requiere evidencias de cumplimiento (registro de actividades, DPO, EIPD, contratos de encargo, logs de acceso), un sistema como Kiwatio genera informes automáticos de actividad. Un Excel no puede demostrar nada.

​

​

Integración con DPO y procedimiento de brechas

​

El RGPD obliga a muchas asesorías a designar un Delegado de Protección de Datos (DPO), propio o externalizado. La plataforma debe permitir:

​

• Exportación masiva de datos de un interesado (derecho de portabilidad) en formato estructurado (JSON, CSV).

• Eliminación técnica completa (derecho al olvido): no basta con marcar «inactivo»; debe eliminarse de bases de datos y backups tras el plazo de retención.

• Registro de actividades de tratamiento (Art. 30 RGPD): un SaaS puede autogenerar este registro desde la configuración de módulos y permisos.

​

---

​

​

La seguridad como propuesta de valor diferencial

​

Más allá del cumplimiento obligatorio, la seguridad de datos es un argumento comercial de primer nivel. Cuando un gran cliente (franquicia, cadena hotelera) te pide que gestiones 200 puntos de suministro, lo primero que preguntará su departamento legal es: «¿Cómo garantizáis la protección de nuestros datos? ¿Tenéis certificación ISO 27001? ¿Firmáis contrato de encargo RGPD?».

​

Si tu respuesta es «los tenemos en Google Drive y Excel», ese cliente se irá a la competencia. Si tu respuesta es «usamos una plataforma SaaS con cifrado AES-256, accesos por roles, trazabilidad completa y contrato de encargo bajo RGPD», acabas de ganar confianza y cerrar el contrato.

​

La modularidad de Kiwatio permite además que el cliente acceda a su Portal de Marca Blanca donde ve solo sus documentos, facturas y contratos, sin tener visibilidad sobre tu operativa interna ni sobre otros clientes. Eso cumple con el principio de minimización y mejora la experiencia de cliente.

​

---

​

El RGPD no es una amenaza burocrática; es el marco que obliga a las asesorías energéticas a profesionalizarse. Las tres áreas críticas—eliminación de archivos locales dispersos, arquitectura de cifrado y RBAC, y gestión documental trazable—son técnicamente imposibles de implementar con Excel y carpetas compartidas.

​

La inversión en una plataforma SaaS especializada no es un gasto de TI; es una póliza de seguro contra sanciones, una garantía de confianza para grandes clientes y un activo competitivo en un sector donde la reputación se destruye con una sola filtración de datos. Si aún gestionas CUPS en local, no estás «ahorrando en software»; estás acumulando un pasivo legal que, tarde o temprano, pasará factura.

​

¿Quieres auditar el nivel de cumplimiento RGPD de tu operativa actual? Solicita una demo de Kiwatio y descubre cómo una arquitectura diseñada para el sector energético resuelve estos r