Última actualización: 24/06/2026
Política de RGPD, seguridad y protección de los datos de los clientes
Esta política debe leerse junto con el Aviso de privacidad, los Términos del servicio, el Acuerdo de tratamiento de datos y la información sobre subencargados de Perkstar.
Resumen en lenguaje claro
El software de fidelización maneja datos reales de clientes.
Cuando un cliente se une a un programa de fidelización, el negocio suele recopilar información como nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, historial de visitas, actividad de compra, saldos de recompensas, actividad de los pases de wallet, preferencias de marketing y registros de consentimiento.
Esto significa que elegir un proveedor de fidelización no es solo una decisión de producto.
Es una decisión de protección de datos.
Los negocios también deberían entender si su proveedor realmente es propietario del software y lo controla, o si los datos de los clientes están pasando por una plataforma de marca blanca oculta o una cadena de encargados externos.
Perkstar está diseñado para ayudar a los negocios a gestionar sus programas de fidelización como es debido, con el cumplimiento del RGPD, la seguridad, el consentimiento de los clientes, los derechos sobre los datos, los controles de acceso del personal, los registros de auditoría y la rendición de cuentas integrados en la plataforma.
Cualquier proveedor puede decir que cumple el RGPD.
La verdadera pregunta es si puede demostrarlo.
Perkstar está pensado para dar a los negocios las herramientas, los controles y las pruebas operativas necesarias para gestionar los datos de los clientes de forma responsable.
1. Finalidad
Esta política explica cómo Perkstar protege los datos de los clientes y respalda una gestión de la fidelización conforme al RGPD.
Perkstar ofrece a los negocios herramientas para crear y gestionar tarjetas de fidelización digitales, pases de wallet, recompensas, comunicación con los clientes y flujos de trabajo con datos de clientes.
Como los programas de fidelización implican la recopilación y el tratamiento de datos personales, Perkstar se ha creado con el cumplimiento del RGPD, la privacidad, la gestión del consentimiento, la seguridad y la rendición de cuentas en el centro de la plataforma.
Esta política explica cómo Perkstar maneja los datos de los clientes y cómo se reparten las responsabilidades entre Perkstar y los negocios que utilizan la plataforma.
2. Ámbito de aplicación
Esta política se aplica a los datos personales tratados a través de la plataforma Perkstar, incluidos los datos relativos a los clientes que se unen a los programas de fidelización creados por los negocios que utilizan Perkstar.
Esto incluye los datos recopilados a través de:
formularios de alta de tarjetas de fidelización
pases de Apple Wallet y Google Wallet
actividad de recompensas y fidelización
perfiles de clientes
preferencias de comunicación
registros de consentimiento
flujos de trabajo de solicitudes de datos de clientes
herramientas de administración de la plataforma
integraciones habilitadas
importaciones de clientes
herramientas de informes y analítica
Esta política no sustituye a la política de privacidad propia del negocio, a sus políticas internas de protección de datos ni a sus obligaciones legales en virtud de la normativa de protección de datos aplicable.
3. Roles de responsable y encargado del tratamiento
En la mayoría de los programas de fidelización, el negocio que utiliza Perkstar es el responsable del tratamiento.
Esto significa que el negocio decide por qué se recopilan los datos personales, qué datos se recopilan, cómo se utilizan, qué base jurídica se aplica y cuánto tiempo se conservan los datos.
Perkstar actúa como encargado del tratamiento.
Esto significa que Perkstar trata los datos personales en nombre del negocio para prestar la plataforma de fidelización y los servicios relacionados.
Perkstar trata los datos de los clientes para:
crear y gestionar tarjetas de fidelización digitales
gestionar los pases de wallet
registrar la actividad de fidelización
gestionar los saldos de recompensas
dar soporte a la comunicación con los clientes
mantener los registros de consentimiento y preferencias
dar soporte a los flujos de trabajo de derechos sobre los datos de los clientes
proporcionar informes y analítica
mantener los registros de seguridad y auditoría
prestar soporte y administración de la plataforma
dar soporte a las integraciones habilitadas por el negocio
Los negocios que utilizan Perkstar siguen siendo responsables de garantizar que su propio uso de los datos de los clientes cumpla con la normativa de protección de datos aplicable.
4. Pruebas, no promesas
Cualquier proveedor de software puede afirmar que cumple el RGPD.
Puede decirlo en una web.
Puede escribirlo en un correo comercial.
Puede añadirlo a una propuesta.
Puede incluirlo en una tabla de precios.
La verdadera pregunta es si puede demostrarlo.
Un negocio no debería fiarse solo de una página comercial, de una garantía verbal o de una línea en una propuesta. Cuando hay datos de clientes de por medio, el proveedor debería poder mostrar cómo la plataforma protege los datos, registra el consentimiento, controla el acceso del personal, gestiona los derechos de los clientes, administra los subencargados y responde ante los incidentes de seguridad.
Perkstar está diseñado para respaldar ese nivel de prueba.
Perkstar mantiene controles y registros prácticos que abarcan:
gestión del consentimiento y las preferencias
flujos de trabajo de derechos sobre los datos de los clientes
controles de acceso
permisos basados en roles
registros de auditoría
registros de actividad del personal
conservación y anonimización
revisión de proveedores y subencargados
soporte del Acuerdo de tratamiento de datos
procedimientos de respuesta ante brechas
diseño de producto centrado en la privacidad
Esto ayuda a los negocios a llevar a cabo la debida diligencia antes de confiar los datos de sus clientes a una plataforma.
No te limites a preguntar a un proveedor de fidelización: «¿Cumplís el RGPD?».
Pregunta:
«¿Podéis demostrar cómo?»
5. Tipos de datos personales tratados
Los datos personales tratados a través de Perkstar dependen de cómo configure cada negocio su programa de fidelización.
Esto incluye datos como:
nombre del cliente
dirección de correo electrónico
número de teléfono
fecha de nacimiento
ID del cliente
identificadores de los pases de wallet
actividad de la tarjeta de fidelización
saldos de puntos, sellos o recompensas
actividad de compra o de visitas
estado de la membresía o del pase
preferencias de comunicación
registros de consentimiento de marketing
registros de baja
registros de solicitudes de datos de clientes
datos de clientes importados
registros operativos y de auditoría
En el Reino Unido y la UE, esta información se denomina generalmente datos personales. Algunos negocios también la llaman PII, o información de identificación personal.
Perkstar anima a los negocios a recopilar únicamente los datos de los clientes que necesitan para gestionar su programa de fidelización.
6. Consentimiento y preferencias de comunicación
Perkstar facilita una gestión clara del consentimiento y de las preferencias de comunicación.
No todas las comunicaciones con los clientes son iguales.
Algunas comunicaciones son transaccionales u operativas, como las actualizaciones de los pases de wallet, las actualizaciones de saldos de recompensas, las actualizaciones del estado de la tarjeta o los mensajes relacionados con el servicio.
Otras comunicaciones son comunicaciones de marketing, como las campañas promocionales, las ofertas, los mensajes de recuperación, el marketing por SMS, el marketing por correo electrónico o las notificaciones push promocionales.
Perkstar separa estas áreas para que se respeten las decisiones de los clientes.
Perkstar admite preferencias independientes para:
marketing por correo electrónico
marketing por SMS
marketing por push
actualizaciones transaccionales del wallet
seguimiento publicitario y analítico
preferencias generales de comunicación con los clientes
Que un cliente se una a un programa de fidelización no significa automáticamente que haya aceptado cualquier tipo de actividad de marketing, publicidad o seguimiento.
Los negocios siguen siendo responsables de elegir la base jurídica correcta para sus comunicaciones y de garantizar que sus avisos de privacidad y sus prácticas de marketing cumplen la normativa.
7. Consentimiento para publicidad, analítica y seguimiento
Perkstar admite controles de publicidad, analítica y seguimiento cuando el negocio habilita estas funciones.
Incluyen integraciones y eventos conectados a herramientas de analítica, plataformas publicitarias y sistemas de seguimiento de clientes.
Perkstar trata el seguimiento publicitario y analítico de forma independiente del funcionamiento básico de una tarjeta de fidelización.
Los clientes no se añaden a audiencias publicitarias, píxeles de seguimiento ni flujos de remarketing salvo que exista la base jurídica o el consentimiento correctos.
Los negocios que utilizan estas funciones siguen siendo responsables de garantizar que su actividad de seguimiento, analítica y publicidad cumple la normativa aplicable sobre privacidad, cookies y marketing electrónico.
8. Datos de clientes importados
Cuando un negocio importa datos de clientes a Perkstar, sigue siendo responsable de garantizar que esos datos se recopilaron de forma lícita.
Esto incluye los datos de clientes importados desde:
hojas de cálculo
proveedores de fidelización anteriores
sistemas TPV
sistemas de reservas
plataformas de comercio electrónico
sistemas CRM
listas de clientes manuales
formularios de alta físicos
Antes de importar datos, los negocios deberían confirmar que disponen de una base jurídica adecuada y, cuando sea necesario, de un consentimiento de marketing válido.
Perkstar protege y gestiona los datos una vez que están dentro de la plataforma, pero importar datos a un sistema conforme no hace que los datos recopilados de forma ilícita pasen a ser conformes.
Los negocios son responsables de garantizar que las listas importadas son exactas, lícitas y adecuadas para el uso previsto.
9. Derechos de los clientes sobre sus datos
Los clientes tienen derechos sobre sus datos personales en virtud de la normativa de protección de datos aplicable.
Estos incluyen el derecho a:
acceder a sus datos personales
solicitar una copia de sus datos personales
corregir datos inexactos
solicitar la supresión o la anonimización
limitar determinados tratamientos
oponerse a determinados tratamientos
retirar el consentimiento cuando el tratamiento se base en el consentimiento
Perkstar ofrece herramientas y flujos de trabajo para ayudar a los negocios a gestionar las solicitudes de datos de los clientes.
El negocio que utiliza Perkstar sigue siendo responsable de revisar y responder a las solicitudes de los clientes en su condición de responsable del tratamiento.
Perkstar ayuda al negocio a gestionar estas solicitudes cuando los datos solicitados se tratan a través de la plataforma Perkstar.
10. Acceso interno y fuga de datos
La protección de datos no consiste solo en detener los ataques externos.
Los datos de los clientes también pueden quedar expuestos por unos controles internos deficientes, permisos de personal excesivos, exportaciones sin gestionar, inicios de sesión compartidos, cuentas de personal antiguo o usuarios de soporte que acceden a más datos de los que necesitan.
Perkstar está diseñado para reducir este riesgo mediante el soporte de acceso controlado, permisos basados en roles, registros de auditoría y actividad del personal con rendición de cuentas.
Esto ayuda a reducir el riesgo de:
acceso innecesario a los datos de los clientes
divulgación accidental
uso indebido interno
exportaciones no autorizadas
que el personal antiguo conserve el acceso
cuentas de personal compartidas
que el personal modifique los registros de clientes sin rendición de cuentas
que los usuarios administradores accedan a más datos de los necesarios
que el acceso de soporte se utilice sin un control adecuado
que se consulten, modifiquen o exporten datos de clientes sin un registro claro
Los negocios deberían tratar el acceso interno como parte de su evaluación de riesgos del RGPD, sobre todo cuando el personal puede ver perfiles de clientes, exportar datos, enviar mensajes o modificar registros de clientes.
El acceso del personal debería revisarse con regularidad y retirarse en cuanto deje de ser necesario.
Una buena protección de datos incluye permisos, controles del personal, auditabilidad y limitar el acceso a lo estrictamente necesario.
11. Medidas de seguridad
Perkstar mantiene medidas técnicas y organizativas para proteger los datos personales tratados a través de la plataforma.
Entre ellas se incluyen:
acceso controlado a los datos de los clientes
controles de acceso basados en roles
registros de auditoría de las acciones clave
administración segura de la plataforma
restricciones de acceso a los datos
gestión de permisos del personal
monitorización operativa
revisión de proveedores y subencargados
prácticas de desarrollo centradas en la seguridad
procedimientos de respuesta ante incidentes
La seguridad forma parte de la protección de datos.
Una brecha de datos personales puede ser algo más que un ciberataque. También puede incluir una divulgación accidental, un acceso no autorizado, un uso compartido incorrecto, unos permisos mal configurados o la exposición de datos de clientes a la persona equivocada.
12. Registros de auditoría y rendición de cuentas
Perkstar respalda la rendición de cuentas manteniendo registros de las acciones clave en materia de privacidad, consentimiento, actividad de los clientes y administración.
Estos registros ayudan a los negocios a entender:
cuándo se unió un cliente a un programa de fidelización
qué consentimiento o preferencias se registraron
cuándo se actualizaron los datos de un cliente
cuándo se produjeron las acciones clave de los clientes
qué usuarios del personal realizaron determinadas acciones
cómo se gestionaron las solicitudes de datos de los clientes
qué preferencias de comunicación se aplicaron
cuándo se exportaron datos de clientes
cuándo se modificaron registros de clientes importantes
La auditabilidad es importante porque el cumplimiento del RGPD no consiste solo en tener políticas.
También consiste en poder demostrar cómo se manejaron los datos en la práctica.
13. Conservación y anonimización de datos
Los datos de los clientes no deberían conservarse indefinidamente sin un motivo válido.
Perkstar admite flujos de trabajo de conservación y anonimización para ayudar a los negocios a gestionar los datos de los clientes de forma responsable.
Las decisiones de conservación dependen de:
el tipo de programa de fidelización
las obligaciones legales del negocio
la actividad del cliente
si el cliente ha solicitado la supresión
si la cuenta del negocio está activa o cancelada
si los datos son necesarios para la auditoría, la prevención del fraude, las reclamaciones legales o los registros operativos
Los negocios siguen siendo responsables de decidir los plazos de conservación adecuados para sus propios datos de clientes.
Cuando un cliente solicita la supresión o la anonimización, Perkstar ayuda al negocio a ejecutar esa solicitud dentro de la plataforma, con sujeción a cualquier requisito legal u operativo de conservación.
14. Subencargados y proveedores
Perkstar recurre a proveedores y subencargados externos de confianza para prestar partes de la plataforma y los servicios relacionados.
Entre ellos hay proveedores de alojamiento, almacenamiento, comunicaciones, pagos, analítica, funcionalidad de los pases de wallet, herramientas de soporte y otros servicios operativos.
Perkstar revisa a los proveedores y subencargados que intervienen en el tratamiento de datos personales.
Perkstar pone a disposición de los clientes información sobre los subencargados pertinentes.
Los negocios deberían revisar el Acuerdo de tratamiento de datos y la información sobre subencargados de Perkstar cuando proceda.
15. Riesgo de las plataformas de marca blanca y los revendedores
Algunos proveedores de fidelización no son propietarios del software que venden ni lo controlan.
Revenden o comercializan en marca blanca la plataforma de otra empresa bajo su propia marca. Esto no está mal de por sí, pero debe ser transparente.
Si un proveedor de fidelización utiliza otro proveedor de software entre bastidores, ese proveedor subyacente también puede tratar los datos de los clientes. Esto significa que puede haber un encargado o subencargado adicional implicado en el tratamiento de los datos personales.
Los negocios deberían saber quién está tratando realmente los datos de sus clientes.
Un proveedor debería dejar claro:
si es propietario de la plataforma y la controla
si el software es de marca blanca o revendido
quién es el proveedor de software subyacente
si ese proveedor figura como subencargado
quién tiene acceso a los datos de los clientes
quién controla el alojamiento, la seguridad y la infraestructura
quién es responsable de la notificación de brechas
quién gestiona la supresión, la exportación y la conservación
con qué rapidez pueden resolverse los problemas de seguridad o cumplimiento
qué ocurre si finaliza la relación con el revendedor
La falta de transparencia es una señal de alarma.
Si un proveedor no puede explicar con claridad quién es el propietario del software, quién controla el sistema, quién puede acceder a los datos y quién es legalmente responsable de tratarlos, el negocio está asumiendo un riesgo innecesario.
Perkstar no opera como un revendedor de marca blanca oculto. Perkstar se ha creado, se opera y se controla como la plataforma con la que contratan los negocios, de modo que podemos mantener la responsabilidad directa sobre los controles, los flujos de trabajo, las medidas de seguridad y las pruebas de cumplimiento descritas en esta política.
16. Acuerdo de tratamiento de datos
Cuando Perkstar actúa como encargado del tratamiento, Perkstar proporciona a los clientes un Acuerdo de tratamiento de datos.
El Acuerdo de tratamiento de datos explica la relación de tratamiento entre el negocio y Perkstar, incluidos:
el objeto del tratamiento
la duración del tratamiento
la naturaleza y la finalidad del tratamiento
los tipos de datos personales tratados
las categorías de interesados
las responsabilidades de cada parte
los acuerdos sobre subencargados
las obligaciones de seguridad
la asistencia con las solicitudes de derechos de los clientes
las responsabilidades de notificación de brechas
las obligaciones de devolución, supresión y conservación de datos
Los negocios deberían revisar el Acuerdo de tratamiento de datos antes de utilizar Perkstar para tratar datos de clientes.
17. Respuesta ante brechas de datos personales
Perkstar mantiene procedimientos para identificar, revisar y responder ante posibles brechas de datos personales.
Una brecha de datos personales incluye:
acceso no autorizado a los datos de los clientes
divulgación accidental
pérdida de datos
uso compartido incorrecto de datos
permisos mal configurados
exportaciones no autorizadas
exposición causada por un proveedor o subencargado
Cuando Perkstar tiene conocimiento de una brecha de datos personales que afecta a datos de clientes tratados en nombre de un negocio, Perkstar investiga, responde y adopta las medidas correctoras adecuadas.
Cuando es necesario, Perkstar notifica a los negocios afectados de acuerdo con sus obligaciones legales y contractuales.
El negocio, como responsable del tratamiento, es responsable de evaluar si el incidente debe comunicarse a una autoridad de control o a las personas afectadas.
18. Registro en la ICO y responsabilidades regulatorias
Perkstar está registrado en la Information Commissioner's Office cuando es obligatorio y paga la tasa de protección de datos del Reino Unido cuando procede.
Los negocios que utilizan Perkstar también son responsables de evaluar si necesitan registrarse en la ICO o pagar la tasa de protección de datos en función de sus propias actividades de tratamiento.
Perkstar no afirma estar «aprobado» por la ICO.
La ICO no suele aprobar a los proveedores de SaaS habituales. El criterio correcto es si un proveedor mantiene unas prácticas de protección de datos adecuadas, paga la tasa de protección de datos cuando es obligatorio, dispone de la documentación apropiada, proporciona un Acuerdo de tratamiento de datos y puede demostrar cómo se manejan los datos de los clientes.
19. Responsabilidades del cliente
Los negocios que utilizan Perkstar son responsables de su propio cumplimiento de la normativa de protección de datos aplicable.
Esto incluye la responsabilidad de:
decidir qué datos de clientes recopilar
identificar la base jurídica del tratamiento
proporcionar avisos de privacidad adecuados
obtener un consentimiento válido cuando sea necesario
gestionar los permisos de marketing
gestionar las reclamaciones de los clientes
responder a las solicitudes de derechos sobre los datos de los clientes
decidir los plazos de conservación
gestionar el acceso del personal
garantizar que los datos de clientes importados se han recopilado de forma lícita
garantizar que las campañas cumplen la normativa de marketing
revisar el Acuerdo de tratamiento de datos
solicitar asesoramiento legal cuando sea necesario
Perkstar ofrece herramientas y flujos de trabajo para respaldar un funcionamiento conforme al RGPD, pero no sustituye a las responsabilidades legales propias del negocio.
20. Lo que Perkstar no sustituye
Perkstar ofrece herramientas, controles y flujos de trabajo para respaldar un funcionamiento responsable conforme al RGPD.
Perkstar no sustituye:
la política de privacidad propia del negocio
el asesoramiento legal independiente
las decisiones sobre la base jurídica
las decisiones de marketing
las políticas internas del personal
la formación interna en protección de datos
las normas de comunicación con los clientes propias del negocio
la responsabilidad del negocio sobre los datos importados
la responsabilidad del negocio sobre cómo utiliza los datos de los clientes
Los negocios siguen siendo responsables de qué datos recopilan, qué mensajes envían, en qué base jurídica se basan, cómo utiliza su personal la plataforma y de si sus propias prácticas cumplen la normativa aplicable.
Perkstar ofrece infraestructura, controles y flujos de trabajo centrados en el cumplimiento para respaldar un funcionamiento responsable, pero el software no elimina las responsabilidades legales propias del negocio.
21. Por qué es importante
Si los datos de los clientes se manejan de forma indebida, las consecuencias pueden ser graves.
Un negocio puede enfrentarse a reclamaciones de los clientes, pérdida de confianza, investigaciones regulatorias, medidas de ejecución, costes legales, interrupciones operativas y, en casos graves, sanciones económicas.
En caso de infracciones graves del RGPD, las sanciones pueden ser cuantiosas. El riesgo no es solo el importe de una posible multa. También es el daño que causa no poder demostrar que los datos de los clientes se manejaron correctamente.
Por eso los negocios no deberían elegir un software de fidelización basándose únicamente en las funciones o el precio.
Deberían elegir un proveedor que pueda mostrar cómo se protegen los datos de los clientes.
22. Preguntas que hacer a cualquier proveedor de fidelización
Antes de elegir una plataforma de fidelización, los negocios deberían preguntar:
¿Proporcionáis un Acuerdo de tratamiento de datos?
¿Podéis mostrar vuestro Acuerdo de tratamiento de datos actual y la lista de subencargados?
¿Estáis registrados en la ICO cuando es obligatorio, o estáis exentos?
¿Quiénes son vuestros subencargados?
¿Dónde se almacenan o tratan los datos de los clientes?
¿Cómo se registra el consentimiento de los clientes?
¿Pueden los clientes retirar el consentimiento de marketing?
¿Se separa el consentimiento de correo electrónico, SMS, push y seguimiento?
¿Cómo evitáis que el personal acceda a datos que no necesita?
¿Se auditan las acciones y las exportaciones del personal?
¿Puede retirarse rápidamente el acceso del personal antiguo?
¿Cómo gestionáis las solicitudes de acceso o supresión de datos de los clientes?
¿Cuánto tiempo se conservan los datos de los clientes?
¿Qué ocurre cuando se cancela una cuenta?
¿Cuál es vuestro proceso de respuesta ante brechas?
¿Podéis aportar pruebas de estos controles?
¿Sois propietarios de la plataforma de software y la controláis, o es de marca blanca de otro proveedor?
Si es de marca blanca, ¿quién es el proveedor de software subyacente?
¿Figura el proveedor subyacente como subencargado?
¿Quién tiene realmente acceso técnico a los datos de los clientes?
¿Quién es responsable de las correcciones de seguridad, la respuesta ante brechas y la supresión de datos?
¿Podéis aportar pruebas de los controles que opera la plataforma subyacente?
Si un proveedor no puede responder a estas preguntas con claridad, el negocio está asumiendo un riesgo innecesario.
Un proveedor de fidelización serio debería poder mostrar cómo se protegen los datos de los clientes, no solo afirmar que lo hace.
23. Pruebas y demostración del cumplimiento
El cumplimiento es algo más que una declaración.
Un proveedor de fidelización responsable debería poder explicar y demostrar cómo maneja los datos de los clientes.
Perkstar mantiene pruebas operativas relativas a:
gestión del consentimiento y las preferencias
flujos de trabajo de derechos sobre los datos de los clientes
controles de acceso
registros de auditoría
conservación y anonimización de datos
revisión de proveedores y subencargados
procedimientos de respuesta ante brechas
responsabilidades del encargado del tratamiento
controles de seguridad de la plataforma
diseño de producto centrado en la privacidad
Los negocios no deberían limitarse a preguntar si un proveedor cumple el RGPD.
Deberían preguntar cómo puede demostrarlo el proveedor.
Perkstar está diseñado para ayudar a aportar esa prueba.
24. Revisión de la política
Perkstar revisa y actualiza esta política para reflejar los cambios en la plataforma, los requisitos legales, las prácticas operativas y las directrices de protección de datos.
La última versión de esta política se aplica a partir de la fecha en que se publica o se pone a disposición de cualquier otro modo.
25. Aviso importante
Esta política explica el enfoque de Perkstar en materia de RGPD, seguridad y protección de los datos de los clientes.
Los negocios que utilizan Perkstar siguen siendo responsables de su propio cumplimiento en materia de protección de datos, avisos de privacidad, decisiones sobre la base jurídica, prácticas de marketing y manejo de los datos de los clientes.
Esta política es información general y no constituye asesoramiento legal. Los negocios deberían solicitar asesoramiento legal independiente cuando sea necesario.
26. Referencias útiles
Los negocios pueden encontrar útiles los siguientes recursos:
Guía sobre la tasa de protección de datos de la ICO: https://ico.org.uk/for-organisations/data-protection-fee/
Marco de auditoría de protección de datos de la ICO: https://ico.org.uk/for-organisations/advice-and-services/audits/data-protection-audit-framework/
Medidas de ejecución de la ICO: https://ico.org.uk/action-weve-taken/enforcement/
Sanciones del artículo 83 del RGPD: https://gdpr-info.eu/art-83-gdpr/