What is a GDPR compliance audit?

A GDPR compliance audit is a systematic review of how your organization processes personal data, assessing compliance with GDPR requirements including Article 32 security measures, data subject rights, consent management, and data processing agreements.

How much does a security audit cost?

Our security audits start with a free initial assessment. Comprehensive GDPR compliance audits and penetration testing packages are priced based on scope, infrastructure size, and complexity. Contact us for a customized quote.

What is the GDPR fine for non-compliance?

GDPR fines can reach up to 4% of annual global turnover or €20 million, whichever is higher. Our compliance audits help identify and fix gaps before regulators do, protecting your business from these substantial penalties.

How long does a GDPR compliance audit take?

A standard GDPR compliance audit takes 2-4 weeks depending on the size and complexity of your organization. We provide a detailed report with findings, risk ratings, and remediation steps.

Do you offer ongoing security monitoring?

Yes, we provide 24/7 continuous security monitoring with real-time alerts for threats, vulnerabilities, and compliance drift. Our monitoring platform scans your infrastructure continuously and notifies you immediately of any issues.

Hub

Excelencia RGPD

Alineación con los requisitos de seguridad del Artículo 32

Lista de verificación de conformidad GA4

Sin rastreadores previos

Sin transmisión de datos

gtag.js cargado solo con consentimiento

Sin violación de AVV

Protocolo de auditoría Zero-State GA4

Metodología técnica para verificar que la puerta de consentimiento de cookies impide la recopilación no autorizada de datos. Incluye patrones de monitoreo de red, validación de consola y análisis de biblioteca.

Guía de monitoreo de red

Monitoree la pestaña Red en DevTools para solicitudes no autorizadas. Busque: collect?v=2, config/update, gtm.js antes del consentimiento, POST a google-analytics.com/g/collect, transmisión gtag. Antes del clic Aceptar es una violación RGPD.

La prueba Zero-State

Paso 1: Abrir ventana Incógnito/Privada. Paso 2: Borrar todos los datos del sitio. Paso 3: Deshabilitar todas las extensiones del navegador. Paso 4: Abrir pestaña Red de DevTools. Paso 5: Navegar a su sitio web. Paso 6: Verificar CERO solicitudes a google-analytics.com o googletagmanager.com. Paso 7: Verificar todos los subrecursos para scripts de seguimiento. Paso 8: Documentar estado inicial con captura de pantalla.

Comandos de consola

Comando 1: typeof gtag === undefined (debe ser true antes del consentimiento). Comando 2: typeof ga === undefined (debe ser true). Comando 3: window.dataLayer === undefined || window.dataLayer.length === 0 (debe estar vacío antes del consentimiento). Comando 4: Object.keys(window).filter(k => k.includes("tag")).length === 0 (sin objetos tag antes del consentimiento). Cualquier resultado false indica violaciones.

Análisis Biblioteca vs Beacon

CRÍTICO: Cargar gtag.js desde el CDN de Google transmite la dirección IP del cliente a Google sin consentimiento. Las solicitudes de fetch del script se realizan antes de que se ejecute cualquier lógica de consentimiento. Esto puede constituir una violación RGPD ya que las direcciones IP son datos personales según el considerando 26. Enfoque de cumplimiento: Utilice Google Analytics a través de Measurement Protocol (POST beacons) solo después del consentimiento explícito, o utilice alternativas que preserven la privacidad como Plausible, Matomo, o analytics autohospedados con anonimización de IP habilitada.

Evaluación de fuga de direcciones IP

Cargar scripts desde googletagmanager.com/gtag/js y google-analytics.com/analytics.js crea consultas DNS y handshakes TLS que revelan la IP del cliente a los servidores de Google. Incluso sin disparar eventos, la mera carga de recursos constituye transmisión de datos. Auditoría: Verifique las solicitudes iniciales de la pestaña Red para cargas de archivos gtag.js o analytics.js. Verifique el timing: si se carga antes de que aparezca el banner de cookies = violación. Verifique DNS: dominios pre-resueltos indican precarga.

Lista de verificación final de auditoría

Verificar: gtag.js NO presente en el DOM inicial; dataLayer es un array vacío []; Sin solicitudes a *.google-analytics.com en los primeros 5 segundos; Sin solicitudes a *.googletagmanager.com en los primeros 5 segundos; El banner de cookies es el PRIMER elemento interactivo; Sin llamadas gtag() en el código fuente antes del manejo de consentimiento; El callback de consentimiento realmente inyecta gtag.js (verificar timing); La opción Rechazar termina inmediatamente todas las conexiones GA; El rechazo de cookies borra todas las cookies establecidas; El AVV incluye a Google como procesador de datos; La dirección IP no se transmite en solicitudes pre-consentimiento; Los POST beacons solo se disparan después del opt-in explícito; Los datos medibles no contienen datos personales antes del consentimiento.

Leer Artículo 32