El Reglamento General de Protección de Datos (UE) 2016/679, artículo 5, establece seis principios sobre los que descansa todo tratamiento lícito: licitud y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación y, el que más se incumple en la práctica, integridad y confidencialidad (RGPD, art. 5; EUR-Lex).
Los datos sobre el patrimonio de una persona física, posiciones en inversiones, inmobiliario o participadas, son datos personales a todos los efectos. No son categoría especial en el sentido del artículo 9, que reserva esa calificación para salud, biometría o ideología. Pero generan un perfil de riesgo elevado: revelan la situación financiera completa del interesado. La LOPDGDD (LO 3/2018) desarrolla el RGPD en el ámbito español sin añadir excepciones relevantes para este tipo de tratamiento (BOE consolidado LO 3/2018).
Cuándo se activa la DPIA
El artículo 35 del RGPD obliga a realizar una Evaluación de Impacto sobre la Protección de Datos (DPIA) cuando un tratamiento pueda entrañar un riesgo elevado. La AEPD ha publicado un listado con las categorías que exigen esta evaluación de forma automática. Figura expresamente el tratamiento de datos para "determinar la situación financiera o solvencia" de las personas (AEPD, listado DPIA, art. 35.4).
Un family office que consolida el patrimonio de varios miembros de una familia, o un holding que centraliza la posición financiera del grupo, encaja en ese perfil. Antes de implantar cualquier herramienta de consolidación, o antes de continuar usando la que ya se tiene, corresponde valorar si se ha realizado esa DPIA. No es burocracia opcional. Es una obligación del responsable.
Responsable vs encargado del tratamiento: quién responde ante la AEPD
El artículo 28 del RGPD establece una distinción que afecta directamente a la relación entre el family office o la empresa familiar y la plataforma que utiliza para consolidar su patrimonio. El primero es el responsable del tratamiento: quien decide los fines y los medios. La plataforma, en cuanto procesa datos por cuenta del responsable, es el encargado del tratamiento (AEPD, FAQ responsable/encargado).
Esta distinción tiene una consecuencia que suele sorprender. Subcontratar el tratamiento no transfiere la responsabilidad. El family office o la empresa familiar sigue respondiendo ante la AEPD y ante los interesados aunque sea un tercero quien procese los datos (Prodat, RGPD y SaaS). Si la plataforma sufre una brecha, es el responsable quien notifica a la autoridad de control y quien da explicaciones a las personas afectadas.
Qué cláusulas exigir en el contrato con la plataforma
El artículo 28 exige que la relación con el encargado se formalice mediante un contrato que incluya, como mínimo: objeto y duración del tratamiento, naturaleza y finalidad, tipo de datos personales y categorías de interesados, obligaciones y derechos del responsable, medidas de seguridad, régimen de subencargados (con autorización previa del responsable para cualquier subcesión), y procedimiento para la supresión o devolución de los datos al término del contrato (modelo de cláusulas AEPD, art. 28).
Si una plataforma no presenta ese contrato en el proceso de alta, es una señal de riesgo que el responsable debe documentar. No firmarlo no exime de responsabilidad: al contrario, la agrava.
Los derechos de los miembros de la familia como interesados
Los miembros de una familia cuyo patrimonio gestiona o consolida un family office o un holding son "interesados" en el sentido del RGPD. Esto les confiere un conjunto de derechos que el responsable debe atender en un plazo de un mes, prorrogable dos más en casos complejos (AEPD, derechos del interesado):
- Acceso: el interesado puede solicitar qué datos se tratan sobre él, con qué finalidad y a quién se han comunicado.
- Rectificación: si los datos son inexactos, tiene derecho a corregirlos.
- Supresión: bajo ciertas condiciones, puede exigir que se eliminen sus datos.
- Oposición y limitación: puede oponerse a determinados tratamientos o pedir que se restrinja su uso.
- Portabilidad: tiene derecho a recibir sus datos en formato estructurado y de uso común.
Merece detenerse en el derecho de supresión aplicado a un patrimonio gestionado con Excel. Demostrar que se ha eliminado toda referencia a un interesado en una maraña de hojas de cálculo distribuidas por email y guardadas en carpetas locales de distintos usuarios es, en la práctica, imposible. Un responsable que no puede acreditar una supresión está incumpliendo.
El riesgo real del statu quo: el Excel patrimonial por email
El Excel que se envía por correo al titular, a los distintos asesores o a los miembros del consejo familiar es el vector de riesgo de cumplimiento más habitual y menos señalado. No por malicia, sino porque es el flujo que siempre ha funcionado y nadie ha cuestionado bajo el RGPD.
Por qué puede ser una brecha notificable
El artículo 33 del RGPD obliga a notificar a la AEPD cualquier brecha de seguridad que afecte a datos personales en el plazo de 72 horas desde que se tiene constancia de ella. Enviar un Excel con posiciones patrimoniales a un destinatario equivocado, o perder un portátil donde estaba guardado sin cifrar, activa esa obligación. La sanción por no notificar puede alcanzar los 10 millones de euros o el 2% de la facturación global del ejercicio anterior, la cifra que resulte mayor (RGPD, art. 83; Autónomos y Emprendedor, 2026).
Los datos de la AEPD son elocuentes: en 2024 se notificaron 2.933 brechas de seguridad, un 46,27% más que las 2.005 notificadas en 2023, con predominio de brechas de confidencialidad. El riesgo no es teórico.
El sector financiero, el segundo más sancionado
En 2024 la AEPD marcó un récord de sanciones: 35,6 millones de euros en 281 resoluciones. El sector financiero fue el segundo más sancionado, con 5,35 millones de euros. Dos casos concretos ilustran que la autoridad actúa y que el tamaño no exime.
Un banco recibió una sanción de 3,5 millones de euros en diciembre de 2024 por una vulneración de los artículos 5.1(f) y 25 del RGPD: un fallo de diseño del sistema permitía a un cotitular ver datos del otro. No fue un hackeo. Fue diseño.
En otro caso, una entidad fue multada con 5 millones de euros por los artículos 6, 13 y 14 del RGPD, sanción confirmada por el Tribunal Supremo en noviembre de 2024.
Ambos casos corresponden a grandes entidades, no a family offices ni a holdings familiares. Pero el criterio de la AEPD queda claro: el incumplimiento se sanciona con independencia del volumen de negocio del infractor.
Las medidas del artículo 32 y la guía de cifrado de la AEPD
El artículo 32 del RGPD exige medidas técnicas y organizativas adecuadas al riesgo: pseudonimización y cifrado de los datos, capacidad de garantizar confidencialidad, integridad, disponibilidad y resiliencia, y mecanismos para restaurar el acceso tras un incidente (AEPD, seguridad del tratamiento).
En noviembre de 2025 la AEPD publicó una guía de cifrado que recomienda explícitamente AES-256 para datos en reposo y TLS 1.2 o superior para datos en tránsito, e incluye casos reales de brechas originadas por correos electrónicos sin cifrar (AEPD, guía de cifrado, nov-2025). Un matiz que la guía subraya: cifrar no basta. La minimización de datos, el control de accesos por rol, las auditorías de uso y la formación del personal son igualmente obligatorias.
Soberanía del dato: ¿dónde viven sus datos patrimoniales?
Más allá del cifrado y el contrato, hay una pregunta que los responsables del tratamiento pocas veces formulan: ¿bajo qué jurisdicción están mis datos? La respuesta tiene consecuencias jurídicas directas.
Schrems II y las Cláusulas Contractuales Tipo
En julio de 2020, el Tribunal de Justicia de la Unión Europea anuló el Privacy Shield (asunto C-311/18, Schrems II), el mecanismo que permitía transferir datos personales de la UE a Estados Unidos. El sustituto son las Cláusulas Contractuales Tipo (CCT), adoptadas mediante la Decisión (UE) 2021/914 de 4 de junio de 2021 (BOE, DOUE-L-2021-80739). En julio de 2023 entró en vigor el Data Privacy Framework UE-EEUU como nueva decisión de adecuación, aunque el Comité Europeo de Protección de Datos ha solicitado su reevaluación en tres años (AEPD, nota DPF, 2023).
Si la plataforma que gestiona datos patrimoniales está radicada en EEUU o tiene su matriz allí, la transferencia solo es lícita si existe una base jurídica válida, el DPF, las CCT o una decisión de adecuación vigente. Y esa responsabilidad es del responsable del tratamiento, no de la plataforma.
El CLOUD Act y la FISA 702
El conflicto de jurisdicciones no termina con los mecanismos de transferencia. La ley CLOUD Act de EEUU (2018) autoriza a las autoridades estadounidenses a exigir datos a empresas bajo su jurisdicción aunque esos datos estén alojados en servidores físicamente ubicados en la Unión Europea. La sección 702 de la FISA fue reautorizada en abril de 2024 (El Derecho, elderecho.com).
En términos prácticos: contratar a un proveedor con matriz en EEUU y servidores en la UE no garantiza que los datos estén fuera del alcance de las autoridades estadounidenses. El CLOUD Act y el RGPD están en tensión directa en este punto, y esa tensión no la resuelve el proveedor. La asume el responsable.
Qué significa soberanía del dato en la práctica
La soberanía del dato es la garantía de que los datos patrimoniales son tratados por una entidad radicada en la UE, en servidores ubicados en el Espacio Económico Europeo, sin que ninguna ley extraterritorial pueda reclamarlos. El artículo 44 y siguientes del RGPD regulan las transferencias internacionales, pero la forma más directa de cumplir es no realizarlas: elegir proveedores europeos, con infraestructura europea y jurisdicción europea.
Qué exigir a una plataforma en materia de cumplimiento
Antes de contratar cualquier herramienta de consolidación patrimonial, el responsable del tratamiento, el director del family office o el CFO del holding, debe verificar los siguientes puntos:
- Contrato de encargo del tratamiento (art. 28 RGPD): presentado en el proceso de alta, con todas las cláusulas mínimas.
- Política de subencargados: lista de proveedores terceros que tocan los datos y mecanismo de autorización previa para nuevos subencargados.
- Cifrado en tránsito y en reposo: TLS 1.2 o superior y AES-256, según las recomendaciones de la AEPD (guía de cifrado, nov-2025).
- Servidores en el EEE: garantía contractual de que los datos no salen del Espacio Económico Europeo.
- Declaración de jurisdicción: confirmar si la empresa matriz o los subencargados clave están sujetos al CLOUD Act o a la FISA 702.
- Acceso en solo lectura: la plataforma accede a los datos de las entidades financieras pero no los extrae ni los redistribuye en archivos que puedan circular.
- Procedimiento de derechos del interesado: mecanismo documentado para atender solicitudes de acceso, rectificación, supresión, oposición, portabilidad y limitación en el plazo legal.
- Registro de actividades (art. 30): la plataforma debe mantener y facilitar un registro de las actividades de tratamiento realizadas en nombre del responsable.
Cómo encaja VUMI
VUMI accede a los datos de las entidades financieras del cliente en modo de solo lectura. El dato no se extrae a archivos sueltos ni circula por correo electrónico: permanece en un entorno controlado y estructurado. Esto elimina de raíz el vector de riesgo más habitual, el Excel sin cifrar enviado por email.
VUMI opera con API de conexión propia a bancos y custodios, sin intermediarios adicionales. Menos entidades que tocan el dato significa una cadena de encargados más corta y un perímetro de riesgo más acotado. Además, VUMI no tiene incentivo comercial sobre los datos del cliente: no vende producto financiero, no cobra comisión por patrimonio gestionado. Esto encaja con el principio de limitación de la finalidad del artículo 5 del RGPD.
VUMI aloja su infraestructura en la Unión Europea, está certificada en ISO/IEC 27001 y facilita el contrato de encargo del tratamiento conforme al artículo 28 del RGPD desde el proceso de alta. Son tres de los puntos que cualquier responsable debe poder verificar por escrito antes de contratar, con independencia del proveedor: jurisdicción del dato, certificación de seguridad acreditada y formalización del encargo.
Para una evaluación técnica del ángulo operativo, cómo funciona la conexión bancaria en modo solo lectura y qué implica la arquitectura de no custodia, véase ¿Es seguro conectar mis bancos a una plataforma de consolidación?. Para el contexto general de selección de herramientas, Software de gestión patrimonial: cómo elegir la plataforma adecuada. Y para el marco en el que opera un holding familiar y sus necesidades de gestión patrimonial, Holding familiar: qué es, cómo funciona y cómo se gestiona su patrimonio.
Si su organización, un family office o una empresa familiar con holding, quiere revisar su situación de cumplimiento en este ámbito, el primer paso es mapear qué datos patrimoniales se tratan, sobre quién, con qué herramientas y en qué flujos circulan. Solo con ese mapa sobre la mesa tiene sentido evaluar qué plataforma reduce el riesgo de cumplimiento en lugar de incrementarlo.
Aviso legal. Este artículo tiene carácter exclusivamente informativo y no constituye asesoramiento jurídico. Los marcos normativos descritos (RGPD, LOPDGDD, CLOUD Act, FISA) pueden haber sido objeto de desarrollos posteriores a la fecha de publicación. Para una evaluación individualizada del cumplimiento del RGPD aplicable a su organización, consulte con un delegado de protección de datos o un asesor jurídico especializado.
Preguntas frecuentes
¿Están mis datos patrimoniales protegidos por el RGPD?
Sí. Los datos sobre posiciones financieras, inmobiliario o participadas de una persona física son datos personales en el sentido del RGPD (art. 4.1). No son categoría especial conforme al artículo 9, que reserva ese calificativo para datos de salud, biometría o ideología política, pero generan un perfil de riesgo elevado que activa obligaciones reforzadas en materia de seguridad y evaluación de impacto.
¿Quién es el responsable del tratamiento de los datos patrimoniales?
El family office o la empresa familiar que decide consolidar el patrimonio es el responsable del tratamiento: quien determina los fines y los medios del procesamiento. La plataforma de consolidación actúa como encargado del tratamiento (art. 28 RGPD). Esta distinción no transfiere la responsabilidad al encargado: el responsable sigue respondiendo ante la AEPD y ante los interesados aunque sea un tercero quien procese los datos.
¿Qué debe incluir el contrato con la plataforma de consolidación?
El artículo 28 del RGPD exige que conste por escrito y recoja, como mínimo: objeto y duración, naturaleza y finalidad del tratamiento, tipo de datos y categorías de interesados, obligaciones y derechos del responsable, medidas de seguridad técnicas y organizativas, régimen de subencargados (con autorización previa del responsable), y procedimiento de supresión o devolución de datos al término del contrato. Si la plataforma no presenta este contrato en el onboarding, es un indicio de incumplimiento.
¿Enviar un Excel patrimonial por email puede ser una brecha notificable?
Sí. Si ese Excel contiene datos patrimoniales de personas físicas identificables y se envía a un destinatario equivocado, se pierde el dispositivo donde está guardado sin cifrar, o es interceptado, se produce una brecha de seguridad en el sentido del artículo 4.12 del RGPD. La notificación a la AEPD es obligatoria en 72 horas (art. 33). La sanción por no notificar puede alcanzar los 10 millones de euros o el 2% de la facturación global (art. 83).
¿Qué ocurre si los servidores de la plataforma están fuera de la UE?
Las transferencias internacionales de datos están reguladas por los artículos 44 y siguientes del RGPD. Sin una base jurídica válida, como una decisión de adecuación, las Cláusulas Contractuales Tipo o el Data Privacy Framework UE-EEUU, la transferencia es ilícita y la responsabilidad recae sobre el responsable del tratamiento. Adicionalmente, un proveedor con matriz en EEUU está sujeto al CLOUD Act (2018) y a la FISA 702 (reautorizada en 2024), lo que puede generar conflicto con el RGPD incluso cuando los servidores estén físicamente en Europa.
¿Tienen los miembros de la familia derechos sobre sus datos patrimoniales?
Sí. Los miembros de la familia cuyos datos se consolidan son interesados en el sentido del RGPD y tienen derecho de acceso, rectificación, supresión, oposición, portabilidad y limitación del tratamiento. El responsable debe responder en el plazo de un mes. Un flujo de trabajo basado en Excel distribuido por email hace prácticamente imposible demostrar, por ejemplo, que se ha ejecutado correctamente una supresión.
¿Cuándo es obligatoria una Evaluación de Impacto (DPIA)?
El artículo 35 del RGPD obliga a realizarla cuando el tratamiento pueda entrañar un riesgo elevado para los derechos y libertades de las personas. La AEPD ha publicado un listado donde figura expresamente el tratamiento de datos para "determinar la situación financiera o solvencia" (AEPD, listado DPIA, art. 35.4). Un family office que consolida el patrimonio de múltiples miembros de la familia o un holding que centraliza la posición de varias sociedades encaja en ese perfil. La DPIA debe realizarse antes de iniciar el tratamiento, no a posteriori.
¿Qué es la soberanía del dato y por qué es relevante en gestión patrimonial?
La soberanía del dato es la garantía de que los datos patrimoniales son tratados por una entidad radicada en la UE, en servidores ubicados en el Espacio Económico Europeo, bajo jurisdicción europea, y sin que ninguna ley extraterritorial, como el CLOUD Act de EEUU, pueda reclamarlos a un proveedor por su mera vinculación con una matriz norteamericana. En gestión patrimonial, donde los datos revelan la posición financiera completa del titular y su familia, la soberanía del dato no es un criterio técnico secundario: es un requisito de cumplimiento que el responsable del tratamiento debe verificar antes de contratar cualquier herramienta.
Fuentes
- Bit Life Media, enero 2025
- Audidat / Law21, 2025
- Legal Army, dic-2024
- LegalToday, nov-2024

Especialista en consolidación patrimonial y reporting para family offices y empresas familiares en España.
LinkedIn¿Listo para ver tu patrimonio con claridad total?
Agendar una reunión →