Las PYMEs cumplen RGPD documentando registro de actividades, cláusulas informativas, contratos con encargados y medidas técnicas en 10 pasos clave.

Si tú es empresario o autónomo y la sola mención del RGPD le provoca dolor de cabeza, esta guía es para tú. No le vamos a explicar los 99 artículos del Reglamento: le vamos a dar los 10 pasos concretos que su PYME necesita completar para cumplir con la normativa de protección de datos y evitar sanciones. Sin jerga innecesaria, con ejemplos prácticos y con un checklist para verificar que no se deja nada.

Si necesita una visión más completa, consulta mia guía definitiva del RGPD para empresas.

Paso 1: haga inventario de sus tratamientos de datos

Antes de proteger los datos, necesita saber qué datos tiene, dónde están y para qué los usa. Haga una lista de todos los tratamientos de datos personales que realiza tu empresa. Los más habituales en PYMEs son la gestión de clientes y prospectos (nombres, emails, teléfonos, historial de compras), la gestión de empleados y nóminas (datos laborales, bancarios, sanitarios), la gestión contable y fiscal (datos de facturación), la gestión de proveedores (datos de contacto, datos bancarios), la web corporativa (formularios de contacto, cookies, newsletter), las cámaras de videovigilancia (si las tiene), y las comunicaciones comerciales (newsletters, campañas de email marketing).

Para cada tratamiento, anote qué datos recoge, de quién, para qué finalidad, durante cuánto tiempo los conserva, quién tiene acceso, si los comparte con terceros y qué medidas de seguridad aplica.

Cada tratamiento necesita una justificación legal. Las más habituales en PYMEs son la ejecución de un contrato (para los datos necesarios para prestar tu servicio o vender tu producto al cliente), el cumplimiento de una obligación legal (para las obligaciones fiscales, laborales y contables), el consentimiento (para las comunicaciones comerciales y las cookies no esenciales) y el interés legítimo (para determinados tratamientos comerciales B2B, con ponderación previa).

Paso 3: redacta las cláusulas informativas

En todos los puntos donde recoja datos personales debe informar al interesado de quién es el responsable del tratamiento, la finalidad y base legal, los destinatarios de los datos, el plazo de conservación, los derechos que puede ejercer y cómo hacerlo, y si la comunicación de datos es un requisito legal o contractual.

Los puntos más comunes donde necesita cláusulas informativas son su página web (política de privacidad, política de cookies, formularios de contacto), los presupuestos y contratos con clientes, los contratos laborales, los contratos con proveedores y los rótulos informativos de videovigilancia si tiene cámaras.

Paso 4: gestione correctamente el consentimiento

El consentimiento debe ser libre (sin condicionarlo al servicio), específico (para cada finalidad distinta), informado (con la cláusula informativa leída) e inequívoco (con una acción afirmativa clara, como marcar una casilla no premarcada). Debe poder demostrar que obtuvo el consentimiento (conserve el registro), y debe facilitar su revocación en cualquier momento (con un enlace de baja en cada comunicación comercial, por ejemplo).

Paso 5: formalice los contratos con encargados del tratamiento

Todo tercero que trate datos personales por cuenta de tu empresa (la gestoría, el proveedor de hosting, el servicio de email marketing, la empresa de nóminas, el servicio cloud) es un encargado del tratamiento y necesita un contrato que regule el tratamiento conforme al artículo 28 del RGPD. Este contrato debe incluir el objeto y duración del tratamiento, la naturaleza y finalidad, los tipos de datos y categorías de interesados, las obligaciones y derechos del responsable, y las medidas de seguridad que aplica el encargado.

Paso 6: elabore el Registro de Actividades de Tratamiento

Documente todo lo anterior en un Registro de Actividades de Tratamiento (RAT). No es un documento complejo: puede ser una tabla con una fila por cada tratamiento y las columnas correspondientes a los campos exigidos por el RGPD.

Paso 7: implemente medidas de seguridad proporcionadas

Las medidas deben ser proporcionadas al riesgo. Para la mayoría de PYMEs, las medidas esenciales son las contraseñas robustas y únicas con gestión centralizada, la autenticación multifactor en todas las cuentas con acceso a datos personales, el cifrado de dispositivos portátiles, las copias de seguridad periódicas y verificadas, la formación básica del personal en protección de datos, el control de acceso basado en necesidad de conocer, y la política de escritorio limpio y bloqueo automático de pantalla.

Paso 8: evalúa los riesgos de sus tratamientos

Realiza un análisis de riesgos simplificado para sus tratamientos de datos. La AEPD ofrece la herramienta Gestiona RGPD, gratuita, que le guía paso a paso en el análisis de riesgos y le indica si necesita una Evaluación de Impacto de Protección de Datos (EIPD).

Paso 9: establece procedimientos para atender derechos

Define un procedimiento interno para recibir y atender las solicitudes de ejercicio de derechos de los interesados. Designe una persona responsable de gestionarlas, establece un canal de comunicación accesible (email, formulario web), documente un procedimiento con plazos (máximo un mes para responder), y registre todas las solicitudes y respuestas.

Paso 10: prepárese para las brechas de seguridad

Tenga documentado un procedimiento de actuación para el caso de que se produzca una brecha de seguridad que afecte a datos personales. El procedimiento debe incluir cómo detectar una brecha, quién evalúa su gravedad, cuándo y cómo se notifica a la AEPD (herramienta Comunica-Brecha), cuándo se comunica a los interesados, y cómo se documenta el incidente y las medidas adoptadas.

Errores que la AEPD sanciona con más frecuencia en PYMEs

Los errores más sancionados son el envío de comunicaciones comerciales sin consentimiento o sin opción de baja, la ausencia de política de privacidad en la web o una política desactualizada, las cámaras de videovigilancia sin cartel informativo o con captación de espacios públicos, la falta de contrato con encargados del tratamiento, y la atención tardía o incorrecta de solicitudes de derechos.

Si necesita profundizar en evaluaciones de impacto, consulta mio artículo sobre EIPD.

¿Necesita poner en orden el cumplimiento RGPD de su PYME? Hablamos para una auditoría rápida de protección de datos que le diga exactamente qué le falta y cómo solucionarlo.

Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.

Preguntas frecuentes en profundidad

¿Por dónde empieza una PYME a cumplir el RGPD?

Por inventariar qué datos personales trata y para qué. Es la base del Registro de Actividades de Tratamiento (RAT). Sin RAT no se puede tomar ninguna otra decisión correcta: ni base legal, ni medidas de seguridad, ni cláusulas informativas.

El RAT no tiene que ser un documento complejo: un Excel con columnas (tratamiento, finalidad, base legal, categorías de datos, encargados, plazos de conservación, medidas de seguridad) es suficiente para empezar.

¿Qué es la herramienta Facilita RGPD de la AEPD?

Es una herramienta gratuita publicada por la AEPD que guía a microempresas y autónomos con tratamientos de riesgo bajo a través de un cuestionario y entrega documentación adaptada (RAT, política de privacidad, cláusulas, contrato encargado). Está disponible en www.aepd.es.

No exime de cumplir el RGPD, pero permite a una microempresa con un único tratamiento típico (clientes, proveedores, empleados) tener cubierto el mínimo en menos de 2 horas. Para PYMEs medianas o tratamientos complejos, la herramienta se queda corta y conviene asesoramiento.

¿Qué medidas técnicas mínimas debo tener?

Cinco mínimas según buenas prácticas habituales: 1) control de acceso con contraseñas y, donde aplique, MFA, 2) cifrado de dispositivos portátiles que contengan datos personales, 3) copia de seguridad automática con verificación periódica, 4) software actualizado en todos los equipos, 5) destrucción segura de soportes desechados.

Si la PYME maneja datos especialmente protegidos (salud, datos especiales) o gran volumen, las medidas suben en exigencia. La proporcionalidad del artículo 32 RGPD se evalúa por riesgo, no por talla única.

¿Necesito DPO si soy una PYME?

Normalmente no, salvo que entres en alguno de los tres supuestos del artículo 37 RGPD (administración pública, observación sistemática a gran escala, tratamiento a gran escala de categorías especiales). Una PYME comercial estándar no necesita DPO.

Aunque no sea obligatorio, designar internamente un responsable de protección de datos es buena práctica: alguien tiene que mantener el RAT, atender derechos y coordinar respuesta a brechas. Si no se nombra, lo hace el gerente por defecto.

¿Qué pasa si alguien me reclama sus datos?

Tienes un mes para responder, ampliable a dos meses más si la solicitud es compleja (debes comunicar la ampliación al solicitante). La respuesta debe ser gratuita salvo solicitudes manifiestamente infundadas o excesivas. Debes registrar la solicitud y la respuesta en tu sistema.

Una mala atención de derechos es una de las causas más frecuentes de denuncia ante la AEPD. Conviene tener una plantilla de respuesta lista y un procedimiento claro de quién atiende cada tipo de derecho.

¿Cuánto cuesta para una pyme pequeña cumplir el RGPD?

Para una pyme de 3-10 empleados con tratamientos típicos (clientes, proveedores, empleados, sin datos especiales), la implantación cuesta 1.500-4.000 € (consultoría + documentación + formación) y el mantenimiento anual 500-1.500 €. La herramienta Facilita reduce esos costes si se hace internamente.

Para PYMEs medianas (10-50 empleados) o con tratamientos complejos, la implantación sube a 4.000-12.000 € iniciales y mantenimiento de 1.500-4.500 € anuales. El Kit Consulting subvenciona parte.

Sigue leyendo en Ciberseguridad

¿Necesitas ayuda con esto?

Trabaja conmigo en Auditoría y plan de ciberseguridad

Consultoría a medida en ciberseguridad para PYMEs. Primera sesión sin coste.

Agendar sesión →