El RGPD (Reglamento UE 2016/679) obliga a empresas españolas a proteger datos personales, con sanciones de hasta 20 M€ o 4% de facturación.
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) no son una formalidad burocrática: son la norma que protege el derecho fundamental a la privacidad de las personas y cuyo incumplimiento puede costar a tu empresa hasta 20 millones de euros o el 4% de su facturación global. La Agencia Española de Protección de Datos (AEPD) ha demostrado con creces su capacidad sancionadora: en los últimos años ha impuesto multas millonarias a empresas de todos los tamaños, desde grandes corporaciones hasta PYMEs y autónomos. Esta guía le proporciona una visión completa y práctica de todo lo que necesita hacer para cumplir con el RGPD y proteger tu negocio.
Los siete principios del RGPD
El RGPD se construye sobre siete principios que deben guiar cualquier tratamiento de datos personales. El principio de licitud, lealtad y transparencia exige que los datos se traten de forma lícita, con una base legal válida, y con total transparencia hacia el interesado. El de limitación de la finalidad establece que los datos solo pueden recogerse para fines determinados, explícitos y legítimos. El de minimización de datos exige que solo se recojan los datos estrictamente necesarios. El de exactitud requiere que los datos estén actualizados y sean correctos. El de limitación del plazo de conservación establece que los datos no se mantengan más tiempo del necesario. El de integridad y confidencialidad exige medidas de seguridad adecuadas. Y el de responsabilidad proactiva obliga a la empresa a poder demostrar en todo momento que cumple con todos los anteriores.
Las bases de legitimación: ¿por qué puede tratar datos?
No puede tratar datos personales porque sí. Necesita una base legal válida de las seis que el RGPD reconoce. El consentimiento del interesado, que debe ser libre, específico, informado e inequívoco (y revocable en cualquier momento). La ejecución de un contrato, que justifica el tratamiento de datos necesarios para cumplir un contrato con el interesado. El cumplimiento de una obligación legal, como las obligaciones fiscales o laborales. La protección de intereses vitales, limitada a situaciones de emergencia. El interés público o ejercicio de poderes públicos. Y el interés legítimo, que requiere un equilibrio entre el interés de la empresa y los derechos del interesado.
La base legal correcta debe determinarse antes de iniciar el tratamiento y documentarse en el Registro de Actividades de Tratamiento.
El Registro de Actividades de Tratamiento (RAT)
El RAT es el documento central de su cumplimiento del RGPD. Debe contener, para cada tratamiento de datos que realiza, el nombre y datos de contacto del responsable (y del DPO si aplica), la finalidad del tratamiento, la base legal, las categorías de interesados y de datos personales, los destinatarios de los datos (incluyendo encargados del tratamiento y transferencias internacionales), los plazos de conservación, y una descripción general de las medidas de seguridad.
El RAT no es un documento estático: debe actualizarse cada vez que se inicia un nuevo tratamiento, cambia la finalidad de uno existente o se modifica alguno de sus elementos.
Derechos de los interesados: obligaciones prácticas
El RGPD reconoce ocho derechos que tu empresa debe poder atender en un plazo máximo de un mes. El derecho de acceso permite al interesado obtener una copia de tus datos y la información de cómo se tratan. El de rectificación le permite corregir datos inexactos. El de supresión (derecho al olvido) le permite solicitar la eliminación de tus datos. El de limitación le permite restringir el tratamiento en determinadas circunstancias. El de portabilidad le permite recibir tus datos en formato estructurado y transferirlos a otro responsable. El de oposición le permite oponerse al tratamiento. El derecho a no ser objeto de decisiones automatizadas protege frente a decisiones basadas únicamente en tratamiento automatizado. Y el derecho a retirar el consentimiento puede ejercerse en cualquier momento.
Tu empresa debe tener procedimientos documentados para atender cada uno de estos derechos, un canal de comunicación accesible (dirección de email, formulario web, dirección postal) y un registro de las solicitudes recibidas y atendidas.
Brechas de seguridad: la obligación de notificación
Cuando se produce una brecha de seguridad que afecta a datos personales (acceso no autorizado, pérdida, destrucción o alteración), debe evaluar el riesgo para los derechos y libertades de los interesados y actuar en consecuencia.
Si existe riesgo, debe notificar a la AEPD en un plazo máximo de 72 horas desde que tuvo conocimiento de la brecha. Si el riesgo es alto, debe además comunicar la brecha a los interesados afectados sin dilación.
La notificación a la AEPD debe incluir la naturaleza de la brecha, las categorías y número aproximado de interesados afectados, los datos de contacto del DPO o punto de contacto, las consecuencias probables de la brecha y las medidas adoptadas para mitigar los efectos.
La AEPD ha desarrollado la herramienta Comunica-Brecha para facilitar la evaluación y notificación de brechas de seguridad. No espere a sufrir una brecha para familiarizarse con ella.
Sanciones de la AEPD: ejemplos reales
Las sanciones del RGPD se dividen en dos niveles. Las infracciones de nivel inferior pueden sancionarse con hasta 10 millones de euros o el 2% de la facturación global. Las infracciones de nivel superior alcanzan los 20 millones de euros o el 4% de la facturación global.
En la práctica española, la AEPD ha impuesto sanciones significativas a empresas de todos los tamaños. Las sanciones a PYMEs suelen oscilar entre 1.000 y 60.000 euros por infracciones como el envío de comunicaciones comerciales sin consentimiento, la ausencia de cláusulas informativas, la falta de contrato con encargados del tratamiento o la atención tardía o incorrecta de derechos.
Medidas técnicas y organizativas de seguridad
El artículo 32 del RGPD exige medidas de seguridad proporcionales al riesgo. No establece una lista cerrada, sino que cada empresa debe evaluar qué medidas son adecuadas considerando el estado de la técnica, los costes de aplicación, la naturaleza y alcance del tratamiento, y los riesgos para los derechos de los interesados.
Las medidas más habituales incluyen el control de acceso basado en roles y autenticación multifactor, el cifrado de datos en tránsito y en reposo, las copias de seguridad periódicas con verificación de restauración, la formación del personal en protección de datos, los procedimientos de gestión de incidentes, la política de escritorio limpio y bloqueo de pantalla, y el registro de accesos a datos personales.
La certificación ISO 27001 es la evidencia más sólida de que tu empresa aplica medidas de seguridad adecuadas, y es aceptada por la AEPD como demostración de la responsabilidad proactiva.
Consulta mia guía de ISO 27001 para entender cómo un SGSI certificado refuerza su cumplimiento del RGPD.
Checklist de cumplimiento RGPD para PYMEs
Verifica que tiene el Registro de Actividades de Tratamiento completo y actualizado, las cláusulas informativas en todos los puntos de recogida de datos (web, formularios, contratos), los contratos con todos los encargados del tratamiento, los procedimientos documentados para atender los derechos de los interesados, la política de privacidad actualizada en su web, la gestión del consentimiento para comunicaciones comerciales, el análisis de riesgos del tratamiento de datos, las medidas de seguridad implementadas y documentadas, el procedimiento de notificación de brechas, y la designación del DPO si es obligatorio. Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.
Consulta mio artículo sobre RGPD para PYMEs en 10 pasos para una guía simplificada de cumplimiento.
¿Necesita poner al día el cumplimiento RGPD de tu empresa? Hablamos para una auditoría de protección de datos que identifica sus brechas de cumplimiento y le proporcione un plan de acción priorizado.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.
Preguntas frecuentes en profundidad
¿Qué empresas están obligadas al RGPD?
Toda empresa, autónomo, asociación o entidad que trate datos personales de personas físicas residentes en la UE, con independencia de su tamaño o sector. No existe umbral mínimo: una microempresa con 2 empleados y un cliente está sujeta al RGPD.
Las sanciones publicadas por la AEPD incluyen autónomos, asociaciones vecinales, clínicas dentales, restaurantes y comercios pequeños. El falso mito 'soy demasiado pequeño para que vengan a por mí' no aguanta el dato: las multas a microempresas son rutinarias.
¿Cuándo es obligatorio nombrar DPO?
Cuando se cumple una de tres condiciones del artículo 37 RGPD: 1) eres administración pública u órgano público, 2) tu actividad principal consiste en tratamientos que requieren observación habitual y sistemática a gran escala (telemedicina, control de empleados a gran escala, marketing online masivo), 3) tu actividad principal es el tratamiento a gran escala de datos especialmente protegidos (salud, biometría, datos penales, etc.).
Para la mayoría de PYMEs no es obligatorio nombrar DPO, aunque sí es recomendable designar un responsable interno de protección de datos. La AEPD acepta DPO externo, que es la fórmula habitual en PYMEs cuando es obligatorio.
¿Cómo se notifica una brecha de seguridad a la AEPD?
Plazo: 72 horas desde que se tiene conocimiento de la brecha (no desde que ocurre). Canal: la sede electrónica de la AEPD tiene un formulario específico llamado Comunica-Brecha. Hay que aportar naturaleza de la brecha, categorías y número aproximado de afectados, datos de contacto del DPO o responsable, consecuencias probables y medidas adoptadas.
Si el riesgo para los afectados es alto, hay que comunicar también a los interesados sin dilación (no esperar a las 72 horas). La AEPD valora favorablemente la notificación rápida y bien hecha: reduce significativamente la posible sanción.
¿Cuánto cuesta implantar el RGPD en una PYME?
Para una PYME de 10-50 empleados: implantación inicial 2.500-12.000 € (auditoría, RAT, política de privacidad, procedimientos, contratos con encargados, formación). Mantenimiento anual: 1.500-6.000 € (actualización RAT, formación recurrente, asesoramiento). Si requiere DPO externo, sumar 150-400 €/mes.
El Kit Consulting incluye categoría de protección de datos para PYMEs y autónomos. Conviene aprovecharlo antes de un proyecto de implantación.
¿Qué documentos son imprescindibles para el cumplimiento?
Seis documentos forman el mínimo viable: 1) Registro de Actividades de Tratamiento (RAT) con cada tratamiento documentado, 2) política de privacidad publicada en web, 3) cláusulas informativas en formularios de recogida de datos, 4) contratos con encargados del tratamiento (artículo 28), 5) procedimientos para atender derechos de los interesados, 6) registro de brechas de seguridad.
Si se hace tratamientos de alto riesgo, se añade Evaluación de Impacto (EIPD). Si hay transferencias internacionales fuera de UE/EEE, las cláusulas tipo y evaluación de transferencia.
¿Cuánto puede sancionar la AEPD a una PYME?
El máximo teórico es 20 M€ o 4 % del volumen global anual. En la práctica las sanciones a PYMEs oscilan entre 1.000 y 60.000 € según la infracción: envío de comunicaciones comerciales sin consentimiento, atención tardía o incorrecta de derechos, falta de cláusulas informativas, ausencia de contrato con encargados, no notificación de brechas en plazo.
La AEPD publica todas las sanciones en su web, lo que genera daño reputacional adicional. Para una PYME con marca local, una multa publicada puede ser más cara en facturación perdida que en multa pagada.
¿Necesitas ayuda con esto?
Trabaja conmigo en Auditoría y plan de ciberseguridad
Consultoría a medida en ciberseguridad para PYMEs. Primera sesión sin coste.
Agendar sesión →