El Reglamento (UE) 2016/679 —conocido como RGPD— lleva en aplicación desde mayo de 2018, pero a día de hoy muchas pymes españolas todavía operan con políticas de privacidad copiadas de internet, formularios sin base jurídica clara y sistemas de videovigilancia sin cartel informativo. La Ley Orgánica 3/2018 (LOPDGDD) adapta el reglamento europeo al ordenamiento español y atribuye a la Agencia Española de Protección de Datos (AEPD) la función de supervisión y sanción. El marco sancionador del artículo 83 del RGPD prevé multas de hasta 20 millones de euros o el 4% del volumen de negocio anual global, lo que en el caso de una pyme puede traducirse en importes que amenazan su viabilidad.
Esta guía no sustituye el asesoramiento jurídico especializado ni el acompañamiento de un equipo de protección de datos, pero sí ofrece un mapa del proceso de adecuación estructurado en fases lógicas y ordenadas, con referencias normativas verificables. El objetivo es que el responsable de la empresa sepa qué tiene que hacer, en qué orden y cuándo necesita ayuda externa.
¿Qué significa realmente cumplir el RGPD?
Cumplir el RGPD no equivale a publicar una política de privacidad en la web. La adecuación implica un conjunto de medidas organizativas y técnicas que afectan a los procesos internos de la empresa: cómo se recogen los datos, con qué finalidad, cuánto tiempo se conservan, quién puede acceder a ellos y cómo se protegen. El principio de responsabilidad proactiva (accountability, art. 5.2 RGPD) exige que el responsable del tratamiento pueda demostrar en todo momento que cumple con el reglamento, no solo que afirme cumplirlo.
El punto de partida es siempre un diagnóstico: saber qué datos trata la empresa, para qué y sobre qué base jurídica. Sin ese mapa, cualquier medida técnica es papel mojado.
Fase 1: inventario de tratamientos y Registro de Actividades
El artículo 30 del RGPD obliga a los responsables del tratamiento a mantener un Registro de Actividades de Tratamiento (RAT). Este documento no es un formulario único: es un inventario vivo que recoge, para cada tratamiento que realice la empresa, al menos:
- El nombre y los datos de contacto del responsable (y del DPO, si existe).
- La finalidad del tratamiento.
- La categoría de interesados y de datos personales afectados.
- Los destinatarios o categorías de destinatarios (incluidos los encargados del tratamiento: gestoría, plataforma CRM, proveedor de email marketing...).
- Los plazos previstos de supresión de los datos.
- Una descripción general de las medidas de seguridad técnicas y organizativas.
Para elaborar el RAT, el primer paso es identificar todos los flujos de datos de la empresa: candidatos que envían su CV, clientes que rellenan un formulario de contacto, empleados cuyas nóminas se gestionan con una gestoría, imágenes captadas por cámaras de seguridad, suscriptores de una newsletter. Cada uno de estos flujos es un tratamiento que debe estar documentado.
Fase 2: base jurídica para cada tratamiento
El RGPD no permite tratar datos personales sin una base jurídica válida (art. 6). Las seis bases legales son: consentimiento, ejecución de un contrato, cumplimiento de una obligación legal, protección de intereses vitales, misión de interés público e interés legítimo del responsable. Para la mayoría de las pymes, los tratamientos más habituales descansan sobre tres de ellas:
- Consentimiento: válido solo si es libre, específico, informado e inequívoco (art. 7 RGPD). Las casillas premarcadas no constituyen consentimiento válido. Es la base adecuada para suscripciones a newsletter, comunicaciones comerciales o tratamientos que van más allá de la relación contractual.
- Ejecución del contrato: los datos necesarios para prestar el servicio o gestionar la relación comercial (nombre, dirección de facturación, datos bancarios para el cobro). No requiere consentimiento adicional.
- Obligación legal: datos que la empresa está obligada a tratar por ley, como los necesarios para cumplir obligaciones laborales, fiscales o de prevención de blanqueo de capitales.
Asignar la base jurídica correcta a cada tratamiento es fundamental, porque de ella depende qué derechos pueden ejercer los interesados y cómo debe responder la empresa a las solicitudes de acceso, rectificación o supresión.
Fase 3: información y transparencia hacia los interesados
El deber de información (arts. 13 y 14 RGPD) exige que los interesados reciban, en el momento en que se recogen sus datos, información clara sobre quién trata sus datos, con qué finalidad, sobre qué base jurídica, cuánto tiempo se conservan y qué derechos tienen. Esta información debe ser concisa, transparente y presentada en un lenguaje accesible: no vale un bloque de texto legal ilegible.
En la práctica, esto afecta a los formularios web, las cláusulas en contratos con clientes, los avisos en formularios de recogida de CVs, los carteles informativos en los accesos donde hay cámaras y las cláusulas informativas en los contratos de trabajo. Cada punto de recogida de datos debe ir acompañado de su correspondiente información.
Fase 4: videovigilancia y cámaras en el entorno laboral
La instalación de sistemas de videovigilancia está regulada por el artículo 22 de la LOPDGDD, que establece la obligación de colocar un cartel informativo en lugar visible que indique la existencia de cámaras, la identidad del responsable y la posibilidad de ejercer derechos. El plazo máximo de conservación de las imágenes es de treinta días, salvo que sirvan como prueba de hechos que deban ponerse en conocimiento de la policía o de los tribunales.
Cuando las cámaras se instalan en el ámbito laboral, entra en juego también el artículo 89 de la LOPDGDD (control de los trabajadores), que permite el uso de cámaras para controlar el cumplimiento de las obligaciones laborales, pero exige informar previamente a los trabajadores y a sus representantes legales de forma expresa, clara e inequívoca. La videovigilancia encubierta en el entorno de trabajo, salvo situaciones muy excepcionales acreditadas, constituye una infracción grave.
Fase 5: política de cookies y cumplimiento de la LSSI-CE
Las cookies que no sean estrictamente necesarias para el funcionamiento del sitio requieren el consentimiento previo del usuario, de acuerdo con el artículo 22.2 de la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE) y la Guía sobre el uso de las cookies de la AEPD (actualizada en 2023). Los requisitos son exigentes:
- El banner de cookies debe permitir rechazar las cookies no necesarias con la misma facilidad con que se aceptan. Un botón de «Aceptar todo» destacado frente a un enlace de «Configurar» poco visible no cumple.
- No se pueden marcar casillas de consentimiento de forma predeterminada.
- El usuario debe poder revocar el consentimiento en cualquier momento con la misma facilidad con que lo prestó.
- La política de cookies debe detallar qué cookies se instalan, cuál es su finalidad, su duración y quién las gestiona (incluyendo terceros como Google Analytics o Meta Pixel).
La AEPD ha sancionado ya a varias empresas por banners de cookies que no cumplían estos requisitos. La revisión del sistema de gestión de cookies del sitio web es una de las acciones con mayor visibilidad externa y menor coste de corrección.
Fase 6: contratos con encargados del tratamiento
Toda empresa que contrate servicios a terceros que impliquen el acceso a datos personales —una gestoría que gestiona las nóminas, una plataforma de email marketing, un proveedor de CRM en la nube, un servicio de videovigilancia externo— debe suscribir con esos proveedores un contrato de encargo del tratamiento (art. 28 RGPD). Este contrato debe recoger, entre otros aspectos, que el encargado solo tratará los datos conforme a las instrucciones del responsable, que aplicará las medidas de seguridad adecuadas y que, al finalizar la prestación del servicio, suprimirá o devolverá los datos.
La ausencia de este contrato es una de las deficiencias más frecuentes detectadas en las inspecciones de la AEPD y puede derivar en responsabilidad compartida entre responsable y encargado.
Fase 7: gestión de brechas de seguridad
El RGPD obliga a los responsables del tratamiento a notificar a la AEPD cualquier brecha de seguridad que suponga un riesgo para los derechos y libertades de los afectados en un plazo máximo de 72 horas desde que se tenga conocimiento de ella (art. 33 RGPD). Si la notificación no puede ser completa en ese plazo, se puede enviar en fases, indicando los motivos del retraso.
Además, cuando la brecha sea susceptible de entrañar un alto riesgo para los derechos y libertades de los afectados, el responsable deberá comunicarla también a los propios interesados sin dilación indebida (art. 34 RGPD), salvo que se hayan aplicado medidas técnicas como el cifrado que hagan que los datos resulten ininteligibles para quienes no estén autorizados a acceder a ellos.
Para gestionar correctamente una brecha, la empresa debe contar de antemano con un protocolo interno que establezca quién notifica, cómo se documenta el incidente y cuáles son los canales de comunicación. El canal de notificación a la AEPD es la sede electrónica de la AEPD.
Fase 8: ¿cuándo es obligatorio designar un Delegado de Protección de Datos?
El Delegado de Protección de Datos (DPO) es obligatorio en los supuestos del artículo 37 del RGPD: cuando el tratamiento lo lleve a cabo una autoridad u organismo público, cuando las actividades principales requieran una observación habitual y sistemática de interesados a gran escala, o cuando se traten a gran escala categorías especiales de datos (salud, origen étnico, orientación sexual, datos biométricos, entre otros). La LOPDGDD añade supuestos adicionales en su artículo 34 para el contexto español.
Aunque no sea obligatorio, muchas empresas optan por designar un DPO externo como figura de asesoramiento permanente. Las funciones del DPO (arts. 38-39 RGPD) incluyen informar y asesorar al responsable, supervisar el cumplimiento, cooperar con la AEPD y actuar como punto de contacto para los interesados. El DPO debe actuar con independencia y no puede recibir instrucciones en el ejercicio de sus funciones.
Fase 9: medidas técnicas y organizativas de seguridad
El principio de seguridad (art. 32 RGPD) exige implementar medidas técnicas y organizativas apropiadas al nivel de riesgo del tratamiento. No existe un catálogo cerrado de medidas obligatorias: la norma exige un análisis previo de los riesgos y la aplicación de las medidas adecuadas para mitigarlos. Entre las más habituales para pymes:
- Control de accesos basado en roles: cada usuario solo accede a los datos que necesita para su función.
- Cifrado de datos sensibles en reposo y en tránsito.
- Política de contraseñas robusta y autenticación en dos factores para accesos críticos.
- Copias de seguridad periódicas y verificadas.
- Formación básica del personal en materia de protección de datos y phishing.
- Procedimiento documentado para la gestión de incidentes de seguridad.
Cuándo es necesaria una Evaluación de Impacto (EIPD)
Cuando el tratamiento de datos previsto suponga un alto riesgo para los derechos y libertades de las personas, el RGPD exige realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de iniciar el tratamiento (art. 35 RGPD). La AEPD ha publicado listas de los tipos de tratamiento que requieren EIPD y de los que no la requieren. Si tienes dudas sobre si tu empresa necesita una, puedes consultar nuestro artículo específico sobre cuándo es obligatoria la EIPD.
Preguntas frecuentes
¿Es lo mismo el RGPD que la LOPDGDD?
No. El Reglamento (UE) 2016/679 (RGPD) es una norma europea de aplicación directa en todos los estados miembros. La Ley Orgánica 3/2018 (LOPDGDD) es la norma española que adapta y complementa el RGPD al contexto nacional, añadiendo especificidades como los supuestos de designación obligatoria del DPO en España o el régimen de videovigilancia laboral. Ambas normas conviven y son aplicables simultáneamente.
¿Qué pasa si sufro una brecha de seguridad y no la notifico a la AEPD?
No notificar una brecha que debía ser notificada constituye una infracción del artículo 33 del RGPD. El marco sancionador del artículo 83 contempla multas de hasta 10 millones de euros o el 2% del volumen de negocio anual global para este tipo de incumplimiento (nivel inferior), y de hasta 20 millones o el 4% para las infracciones más graves. Además de la sanción económica, la falta de notificación puede agravar la responsabilidad frente a los afectados.
¿La política de privacidad en la web es suficiente para cumplir el RGPD?
No. La política de privacidad es un elemento de transparencia, pero el cumplimiento del RGPD es mucho más amplio: requiere un Registro de Actividades, bases jurídicas documentadas, contratos con encargados, medidas de seguridad técnicas y organizativas, protocolos de gestión de brechas y, en su caso, DPO y EIPD. La política de privacidad es solo la capa visible de un sistema de cumplimiento que debe estar construido de puertas adentro.
¿Cuánto tiempo lleva adaptar una pyme al RGPD?
Depende de la complejidad de los tratamientos y del punto de partida de la empresa. En una pyme de menos de 20 empleados con tratamientos habituales (clientes, proveedores, empleados, web), un proceso de adecuación guiado puede completarse en cuatro a doce semanas. El coste y el plazo varían en función del volumen de datos, la variedad de tratamientos y el estado previo de la documentación. Para una estimación orientativa sin compromiso, puedes consultar a nuestro equipo de protección de datos.
¿En qué se diferencia este proceso del que ya hice en 2018?
La adecuación inicial de 2018 fue, en muchos casos, un ejercicio documental acelerado. Desde entonces, la AEPD ha publicado nuevas guías (cookies, inteligencia artificial, videovigilancia laboral), el Tribunal de Justicia de la UE ha dictado sentencias que afectan a las transferencias internacionales, y las propias empresas han incorporado nuevas herramientas digitales que generan nuevos tratamientos. La adecuación al RGPD no es un proyecto que se hace una vez: es un sistema de gestión vivo que debe revisarse periódicamente.