RGPD para PYMEs: Cumplimiento en 10 Pasos

Si tú es empresario o autónomo y la sola mención del RGPD le provoca dolor de cabeza, esta guía es para tú. No le vamos a explicar los 99 artículos del Reglamento: le vamos a dar los 10 pasos concretos que su PYME necesita completar para cumplir con la normativa de protección de datos y evitar sanciones. Sin jerga innecesaria, con ejemplos prácticos y con un checklist para verificar que no se deja nada.

Si necesita una visión más completa, consulta mia guía definitiva del RGPD para empresas.

Paso 1: haga inventario de sus tratamientos de datos

Antes de proteger los datos, necesita saber qué datos tiene, dónde están y para qué los usa. Haga una lista de todos los tratamientos de datos personales que realiza tu empresa. Los más habituales en PYMEs son la gestión de clientes y prospectos (nombres, emails, teléfonos, historial de compras), la gestión de empleados y nóminas (datos laborales, bancarios, sanitarios), la gestión contable y fiscal (datos de facturación), la gestión de proveedores (datos de contacto, datos bancarios), la web corporativa (formularios de contacto, cookies, newsletter), las cámaras de videovigilancia (si las tiene), y las comunicaciones comerciales (newsletters, campañas de email marketing).

Para cada tratamiento, anote qué datos recoge, de quién, para qué finalidad, durante cuánto tiempo los conserva, quién tiene acceso, si los comparte con terceros y qué medidas de seguridad aplica.

Paso 2: identifica la base legal de cada tratamiento

Cada tratamiento necesita una justificación legal. Las más habituales en PYMEs son la ejecución de un contrato (para los datos necesarios para prestar tu servicio o vender tu producto al cliente), el cumplimiento de una obligación legal (para las obligaciones fiscales, laborales y contables), el consentimiento (para las comunicaciones comerciales y las cookies no esenciales) y el interés legítimo (para determinados tratamientos comerciales B2B, con ponderación previa).

Paso 3: redacta las cláusulas informativas

En todos los puntos donde recoja datos personales debe informar al interesado de quién es el responsable del tratamiento, la finalidad y base legal, los destinatarios de los datos, el plazo de conservación, los derechos que puede ejercer y cómo hacerlo, y si la comunicación de datos es un requisito legal o contractual.

Los puntos más comunes donde necesita cláusulas informativas son su página web (política de privacidad, política de cookies, formularios de contacto), los presupuestos y contratos con clientes, los contratos laborales, los contratos con proveedores y los rótulos informativos de videovigilancia si tiene cámaras.

Paso 4: gestione correctamente el consentimiento

El consentimiento debe ser libre (sin condicionarlo al servicio), específico (para cada finalidad distinta), informado (con la cláusula informativa leída) e inequívoco (con una acción afirmativa clara, como marcar una casilla no premarcada). Debe poder demostrar que obtuvo el consentimiento (conserve el registro), y debe facilitar su revocación en cualquier momento (con un enlace de baja en cada comunicación comercial, por ejemplo).

Paso 5: formalice los contratos con encargados del tratamiento

Todo tercero que trate datos personales por cuenta de tu empresa (la gestoría, el proveedor de hosting, el servicio de email marketing, la empresa de nóminas, el servicio cloud) es un encargado del tratamiento y necesita un contrato que regule el tratamiento conforme al artículo 28 del RGPD. Este contrato debe incluir el objeto y duración del tratamiento, la naturaleza y finalidad, los tipos de datos y categorías de interesados, las obligaciones y derechos del responsable, y las medidas de seguridad que aplica el encargado.

Paso 6: elabore el Registro de Actividades de Tratamiento

Documente todo lo anterior en un Registro de Actividades de Tratamiento (RAT). No es un documento complejo: puede ser una tabla con una fila por cada tratamiento y las columnas correspondientes a los campos exigidos por el RGPD.

Paso 7: implemente medidas de seguridad proporcionadas

Las medidas deben ser proporcionadas al riesgo. Para la mayoría de PYMEs, las medidas esenciales son las contraseñas robustas y únicas con gestión centralizada, la autenticación multifactor en todas las cuentas con acceso a datos personales, el cifrado de dispositivos portátiles, las copias de seguridad periódicas y verificadas, la formación básica del personal en protección de datos, el control de acceso basado en necesidad de conocer, y la política de escritorio limpio y bloqueo automático de pantalla.

Paso 8: evalúa los riesgos de sus tratamientos

Realiza un análisis de riesgos simplificado para sus tratamientos de datos. La AEPD ofrece la herramienta Gestiona RGPD, gratuita, que le guía paso a paso en el análisis de riesgos y le indica si necesita una Evaluación de Impacto de Protección de Datos (EIPD).

Paso 9: establece procedimientos para atender derechos

Define un procedimiento interno para recibir y atender las solicitudes de ejercicio de derechos de los interesados. Designe una persona responsable de gestionarlas, establece un canal de comunicación accesible (email, formulario web), documente un procedimiento con plazos (máximo un mes para responder), y registre todas las solicitudes y respuestas.

Paso 10: prepárese para las brechas de seguridad

Tenga documentado un procedimiento de actuación para el caso de que se produzca una brecha de seguridad que afecte a datos personales. El procedimiento debe incluir cómo detectar una brecha, quién evalúa su gravedad, cuándo y cómo se notifica a la AEPD (herramienta Comunica-Brecha), cuándo se comunica a los interesados, y cómo se documenta el incidente y las medidas adoptadas.

Errores que la AEPD sanciona con más frecuencia en PYMEs

Los errores más sancionados son el envío de comunicaciones comerciales sin consentimiento o sin opción de baja, la ausencia de política de privacidad en la web o una política desactualizada, las cámaras de videovigilancia sin cartel informativo o con captación de espacios públicos, la falta de contrato con encargados del tratamiento, y la atención tardía o incorrecta de solicitudes de derechos.

Si necesita profundizar en evaluaciones de impacto, consulta mio artículo sobre EIPD.

[[CTA-CONTACT]] ¿Necesita poner en orden el cumplimiento RGPD de su PYME? Hablamos para una auditoría rápida de protección de datos que le diga exactamente qué le falta y cómo solucionarlo.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.