Si tu negocio opera en Europa o procesa datos de europeos, el GDPR aplica a tu VPS. Esta guía cubre lo esencial para cumplir sin complicarte.
Nota: Esto no es asesoramiento legal. Consulta con un profesional para tu caso específico.
GDPR básico para VPS
¿Qué es GDPR?
El Reglamento General de Protección de Datos de la UE regula cómo se recopilan, almacenan y procesan datos personales de ciudadanos europeos.
¿Aplica a mi VPS?
| Situación | ¿Aplica GDPR? |
|---|---|
| Empresa en UE | Sí |
| Clientes en UE | Sí |
| VPS en UE, empresa fuera | Probablemente sí |
| Datos anónimos sin PII | No |
Ubicación del servidor
Dentro de la UE (recomendado)
España, Alemania, Francia, Países Bajos...
✓ Cumple GDPR por defecto
✓ Sin transferencias internacionales
✓ Más simple legalmenteFuera de la UE
USA, UK, Singapur...
⚠ Requiere mecanismos adicionales:
- Cláusulas contractuales tipo (SCCs)
- Decisión de adecuación (si existe)
- Binding Corporate RulesRecomendación
Elige VPS en la UE si tu audiencia es europea. Evitas complejidad legal.
DPA: Acuerdo de Procesamiento
Qué es
Document Processing Agreement - contrato entre tú y tu proveedor de VPS que define responsabilidades sobre datos personales.
Qué debe incluir
- Naturaleza del procesamiento
- Tipos de datos procesados
- Categorías de personas afectadas
- Obligaciones del procesador
- Medidas de seguridad
- Subprocesadores
- Notificación de brechasCómo obtenerlo
La mayoría de proveedores serios ofrecen DPA:
- Algunos lo incluyen en TOS
- Otros requieren solicitud
- Busca “DPA” o “GDPR” en su web
Medidas técnicas requeridas
Cifrado en tránsito
# SSL/TLS obligatorio
sudo apt install certbot python3-certbot-nginx -y
sudo certbot --nginx -d tudominio.com
# Forzar HTTPS
# En Nginx
server {
listen 80;
return 301 https://$server_name$request_uri;
}Cifrado en reposo
# Cifrar disco (LUKS)
# Nota: configurar al instalar VPS
# O cifrar backups
gpg --symmetric --cipher-algo AES256 backup.tar.gzAcceso seguro
# SSH solo con claves
PasswordAuthentication no
# Firewall activo
sudo ufw enable
# Fail2ban
sudo apt install fail2ban -yLogs y retención
Qué loguear
# Logs de acceso (Nginx)
access_log /var/log/nginx/access.log;
# Logs de errores
error_log /var/log/nginx/error.log;
# Logs de sistema
/var/log/auth.log
/var/log/syslogRetención de logs
GDPR exige no retener datos más tiempo del necesario.
# Configurar logrotate
# /etc/logrotate.d/nginx
/var/log/nginx/*.log {
daily
missingok
rotate 30 # 30 días máximo
compress
delaycompress
notifempty
create 0640 www-data adm
sharedscripts
postrotate
[ -f /var/run/nginx.pid ] && kill -USR1 `cat /var/run/nginx.pid`
endscript
}Anonimizar IPs
# En nginx.conf
map $remote_addr $anonymized_ip {
~(?P<ip>\d+\.\d+\.\d+)\. $ip.0;
default 0.0.0.0;
}
log_format anonymized '$anonymized_ip - $remote_user [$time_local] '
'"$request" $status $body_bytes_sent '
'"$http_referer" "$http_user_agent"';
access_log /var/log/nginx/access.log anonymized;Derechos de usuarios
Implementar
| Derecho | Qué significa | Cómo cumplir |
|---|---|---|
| Acceso | Ver sus datos | Exportar datos del usuario |
| Rectificación | Corregir datos | Permitir edición |
| Supresión | Borrar datos | Eliminar de BD y backups |
| Portabilidad | Llevarse datos | Exportar en formato estándar |
Script de eliminación (ejemplo)
#!/bin/bash
# delete-user-data.sh
USER_EMAIL=$1
# BD
mysql -e "DELETE FROM users WHERE email='$USER_EMAIL';"
mysql -e "DELETE FROM orders WHERE user_email='$USER_EMAIL';"
# Archivos
rm -rf /var/www/uploads/users/$USER_EMAIL/
# Logs (anonimizar)
sed -i "s/$USER_EMAIL/[DELETED]/g" /var/log/app/*.log
echo "Datos de $USER_EMAIL eliminados"Notificación de brechas
Obligación
- Notificar a autoridad en 72 horas si hay brecha
- Notificar a afectados si riesgo alto
Preparación
□ Contacto de DPO/responsable
□ Plantilla de notificación
□ Proceso documentado
□ Registro de incidentesMonitorización
# Detectar accesos sospechosos
sudo apt install logwatch -y
# Alertas de intrusión
sudo apt install ossec-hids -y
# Revisar regularmente
grep "Failed password" /var/log/auth.logChecklist GDPR para VPS
□ VPS en la UE (o mecanismos para transferencia)
□ DPA firmado con proveedor
□ SSL/TLS en todo el sitio
□ Backups cifrados
□ SSH solo con claves
□ Firewall activo
□ Logs con retención limitada
□ Proceso para derechos de usuarios
□ Política de privacidad actualizada
□ Registro de actividades de tratamientoPreguntas frecuentes
¿Puedo usar VPS en USA si mis clientes son europeos?
Técnicamente sí, pero necesitas mecanismos adicionales como SCCs. Es más simple usar VPS en la UE y evitar la complejidad de transferencias internacionales.
¿Mi proveedor de VPS es responsable del GDPR?
Tu proveedor es 'procesador' y tú eres 'responsable'. Ambos tienen obligaciones. Tú eres responsable principal de cómo usas los datos.
¿Necesito DPO si tengo un VPS?
No necesariamente. El DPO es obligatorio solo para ciertas organizaciones (autoridades públicas, procesamiento a gran escala de datos sensibles). Consulta si aplica a tu caso.
¿Qué pasa si hay brecha de datos en mi VPS?
Debes notificar a la autoridad de protección de datos en 72 horas y potencialmente a los afectados. Ten un plan de respuesta preparado.
¿Los logs son datos personales?
Sí, si contienen IPs u otros identificadores. Debes tratarlos como datos personales: retención limitada, acceso controlado, y considerar anonimización.
Nuestra recomendación
Para cumplir GDPR con VPS:
- Elige proveedor en la UE
- Solicita DPA si no está incluido
- Implementa cifrado (SSL + backups)
- Configura retención de logs
- Documenta todo
No te obsesiones: Para la mayoría de pymes, las medidas básicas de seguridad + ubicación en UE + política de privacidad es suficiente.
¿Buscas VPS en Europa? Los VPS de Avantys están en datacenters europeos con DPA disponible.
Conclusión
El GDPR no es tan complicado como parece para un VPS típico. Ubicación en UE + medidas de seguridad básicas + documentación te cubren para la mayoría de casos.
Consulta con un profesional legal para situaciones específicas.
¿Quieres que lo hagamos por ti?
En Avantys gestionamos tu web, hosting y crecimiento digital de punta a punta. Tú a lo importante.
