CodigoNext.
Seguridad

ERPNext y RGPD: cumplimiento práctico paso a paso

El RGPD no se cumple sólo con un producto. Esta guía explica las piezas técnicas y procedimentales que tu empresa debe cubrir para que su instalación de ERPNext cumpla en serio: registro de tratamientos, derechos ARSULIPO, DPA con hosting, borrado seguro y plan de respuesta a brechas.

Carlos Martínez·Director Técnico
6 de mayo de 2026
9 min de lectura

¿ERPNext cumple el RGPD por sí solo?

No, y ningún software lo hace por sí solo. ERPNext aporta las piezas técnicas necesarias para el cumplimiento: control de accesos por rol, audit log, exportación de datos por usuario, borrado lógico/físico, cifrado HTTPS, política de contraseñas, 2FA. El cumplimiento real depende de cómo lo uses, qué procedimientos documentes y cómo gestiones derechos y brechas.

Lo que aporta ERPNext + un buen partner es la pieza técnica + el acompañamiento práctico para cerrar el cumplimiento.

Roles RGPD definidos

Antes de tocar el ERP hay que tener clara la estructura de responsabilidades:

  • **Responsable del tratamiento**: tu empresa.
  • **Encargado del tratamiento**: hosting + el partner técnico (con DPA firmado).
  • **DPO designado** si la organización lo exige (sector salud, +250 empleados, tratamientos a gran escala).

Registro de actividades de tratamiento

El RGPD exige tener un documento (no necesariamente publicado) que enumera qué tratamientos hace tu empresa, su finalidad, su base legal, los datos tratados, los destinatarios y los plazos de conservación.

Para una empresa con ERPNext, el registro suele cubrir al menos:

  • **Inventario** de qué datos personales trata ERPNext: clientes, contactos, leads, empleados, candidatos, proveedores, usuarios del sistema.
  • **Finalidad** de cada tratamiento, base legal y plazo de conservación.
  • **Categorías de destinatarios** y transferencias internacionales si las hay.
  • Documento mantenido y revisado al menos anualmente por el DPO o responsable.

La AEPD lo pide en cualquier inspección. Sin él, tienes una sanción base por falta documental, antes de mirar nada más.

Derechos ARSULIPO operativos

Cómo se cubren los derechos del titular en ERPNext:

DerechoImplementación en ERPNext
**Acceso**Exportación de datos personales por usuario (CSV/JSON desde ERPNext).
**Rectificación**Edición controlada en ERPNext con audit log.
**Supresión**Borrado seguro tras retención legal; tombstone en logs.
**Limitación**Roles que bloquean operaciones sin borrar.
**Portabilidad**Export estándar JSON/CSV.
**Oposición y decisiones automatizadas**Documentación de qué workflows toman decisiones automáticas.

Cómo gestionar una solicitud de derecho de acceso

ERPNext permite exportar todos los datos asociados a un usuario o un cliente vía búsqueda + export en CSV/JSON. Para una solicitud de acceso completa (todos los datos personales del titular, no solo los maestros):

  • Export del DocType principal (Customer, Contact, Lead, Employee).
  • Búsqueda en logs de actividad (Activity Log + Communication).
  • Export de adjuntos relacionados.
  • Consolidación en un único entregable al titular.

Un script bench reutilizable que automatice la operación a partir del email del titular es lo más eficiente cuando se reciben solicitudes de forma recurrente.

Plazos de retención típicos en España

DatosPlazo legal
Contables y fiscales6 años (Código de Comercio)
Tributarios4 años (LGT)
Nóminas y cotizaciones4 años después de la baja del empleado
Historiales clínicos5+ años según comunidad autónoma

Después del plazo, los datos personales que no sean estrictamente necesarios se deben borrar o anonimizar. ERPNext permite anonimización con scripts custom (sustituir nombre/email por valores genéricos manteniendo integridad referencial) o borrado físico cuando se puede.

Seguridad técnica y organizativa

  • **Cifrado en tránsito** (TLS 1.2+) y **en reposo** si la criticidad lo exige.
  • **Control de accesos** basado en roles; principio de mínimo privilegio.
  • **Auditoría** de accesos y modificaciones (Activity Log).
  • **Backups cifrados** con rotación y prueba de restore.
  • **Plan de respuesta a brechas** con notificación a la AEPD en 72 h.
  • **Formación periódica** al equipo en protección de datos.

Lo que se nos olvida más a menudo

El registro de actividades de tratamiento

La AEPD lo pide en cualquier inspección. Sin él, hay sanción base por falta documental.

Los DPA con encargados

Si tu hosting, tu pasarela de pago o cualquier proveedor toca datos personales bajo tu responsabilidad, tienes que firmar un DPA con cada uno. Es habitual encontrar empresas que llevan años con un proveedor sin DPA firmado: cuando se hace la auditoría aparece el agujero.

El plan de respuesta a brechas

Si hay una brecha de seguridad con riesgo para los derechos de los titulares, hay que notificar a la AEPD en 72 horas y, si el riesgo es alto, también a los afectados. Tener este procedimiento por escrito antes de necesitarlo marca la diferencia entre una sanción asumible y una catástrofe.

Empleados: cuidado especial

Los datos de empleados son una categoría sensible: nóminas, horarios, evaluaciones, datos de salud (bajas), datos sindicales si aplican. Aplican plazos de retención del Estatuto de los Trabajadores (4 años después de la baja para nóminas y cotizaciones, otros plazos para historiales clínicos).

Configuramos roles HR con acceso limitado (manager solo a su equipo) y procedimientos específicos para baja de empleado: bloqueo, anonimización progresiva tras retención.

Conclusión

El RGPD aplicado a ERPNext es la combinación de buena configuración técnica + procedimientos documentados + DPAs con encargados + formación. ¿Quieres una auditoría RGPD de tu ERPNext? [Contáctanos](/contacto): cubrimos registro de tratamientos, DPAs, roles, derechos ARSULIPO y plan de respuesta a brechas.

Sigue leyendo

También te puede interesar

Seguridad11 min

Seguridad de ERPNext: guía para producción real

ERPNext mal configurado es vulnerable, igual que cualquier ERP. Bien configurado y mantenido es una plataforma sólida con 2FA, SSO, RBAC granular, audit log, RGPD compatible y copia de seguridad nativa. Esta guía explica las piezas que tienes que cuidar para una instalación productiva real.

6 de mayo de 2026Leer
Seguridad10 min

Hardening de ERPNext y Frappe Bench: checklist por capas

Sistema operativo, red, Nginx, MariaDB, Redis, Bench y aplicación. La seguridad real de ERPNext en producción depende de las capas que la rodean tanto como del propio producto. Este es el orden en que las endurecemos en proyectos reales, con ejemplos concretos de configuración.

6 de mayo de 2026Leer
Seguridad10 min

OWASP Top 10 aplicado a ERPNext y Frappe Framework

Cómo se mitiga cada vector del OWASP Top 10 en una instalación ERPNext real, qué hace el producto por defecto y qué tienes que asegurar tú o tu partner. Guía técnica para CTOs y equipos de seguridad que tienen ERPNext en producción.

6 de mayo de 2026Leer
Ver todos los recursos
Empezar · Respuesta en 24h

¿Tienes dudas sobre ERPNext?

Contacta con nosotros para una consulta gratuita. Te ayudamos a evaluar si ERPNext es la solución adecuada para tu empresa.

Demo personalizada
Sin compromiso
Equipo en España