¿Qué es el RGPD y a quién obliga? Guía para empresas

·

Desde mayo de 2018, el Reglamento General de Protección de Datos —Reglamento (UE) 2016/679, conocido como RGPD— es la norma de referencia en materia de privacidad para todas las organizaciones que tratan datos personales de ciudadanos de la Unión Europea. En España se complementa con la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el Reglamento al ordenamiento jurídico nacional y añade disposiciones específicas sobre medios digitales, videovigilancia, laboral y menores. El organismo supervisor en España es la Agencia Española de Protección de Datos (AEPD).

Lo que más sorprende a muchas pymes cuando conocen el alcance real de estas normas es precisamente su amplitud: el RGPD no es solo para grandes corporaciones tecnológicas. Si tu empresa gestiona listas de clientes, envía boletines por correo electrónico, graba con cámaras el interior de un local o registra el control de presencia de los empleados, ya estás tratando datos personales y, por tanto, el Reglamento te aplica.

¿A quién obliga exactamente el RGPD?

El RGPD obliga a cualquier organización —empresa, autónomo, asociación, administración pública— que cumpla alguna de estas dos condiciones:

En la práctica, una ferretería de Burgos con CRM de clientes, una clínica dental de Las Palmas con expedientes de pacientes o un comercio electrónico de Salamanca con lista de suscriptores: todos quedan sujetos al RGPD. El tamaño de la empresa reduce ciertos requisitos formales (las microempresas con menos de 250 empleados quedan exentas de mantener el registro de actividades de tratamiento en algunos supuestos), pero no elimina la obligación de tratar los datos con licitud, transparencia y seguridad.

¿Qué es un dato personal según el RGPD?

El Reglamento define «dato personal» como cualquier información sobre una persona física identificada o identificable (art. 4.1 RGPD). Son datos personales, entre otros:

Los datos de personas jurídicas (empresas, sociedades) quedan fuera del ámbito del RGPD, aunque los datos de contacto de un autónomo o de un empleado de una empresa sí son datos personales.

¿Qué principios exige el RGPD al tratar datos?

El artículo 5 del RGPD establece los principios que rigen todo tratamiento legítimo. No basta con obtener el consentimiento: hay que cumplir todos ellos de forma simultánea:

Principio Qué significa en la práctica
Licitud, lealtad y transparencia Existe una base jurídica válida y el afectado sabe qué se hace con sus datos.
Limitación de la finalidad Los datos solo se usan para el fin declarado; no se reutilizan sin nueva base jurídica.
Minimización de datos Solo se recogen los datos estrictamente necesarios para la finalidad.
Exactitud Los datos deben mantenerse actualizados; los incorrectos han de rectificarse o suprimirse.
Limitación del plazo de conservación No se conservan más tiempo del necesario para la finalidad, salvo obligación legal.
Integridad y confidencialidad Se aplican medidas técnicas y organizativas adecuadas para proteger los datos.
Responsabilidad proactiva (accountability) El responsable puede demostrar que cumple todos los principios anteriores.

Bases jurídicas: ¿en qué me apoyo para tratar datos?

Tratar datos sin una base jurídica válida es una infracción grave. El artículo 6 del RGPD establece seis bases posibles. Las más habituales en el ámbito empresarial son:

Derechos de los ciudadanos que toda empresa debe garantizar

El RGPD reconoce a los afectados un catálogo de derechos que deben poder ejercerse de forma sencilla y gratuita:

Las empresas deben responder a estas solicitudes en el plazo de un mes, prorrogable a tres en casos complejos. No responder o denegar sin justificación es una infracción sancionable.

Brechas de seguridad: qué hacer y en qué plazo

Una brecha de seguridad es cualquier incidente que provoque la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales. El RGPD impone obligaciones concretas:

Toda brecha debe documentarse internamente, aunque no supere el umbral de notificación obligatoria (art. 33.5 RGPD). El registro interno permite demostrar ante la AEPD la diligencia aplicada.

Videovigilancia y cámaras en el entorno laboral

La videovigilancia es uno de los ámbitos donde más consultas reciben los servicios de adecuación RGPD para empresas. La normativa aplicable combina el RGPD con la LOPDGDD:

Cookies y la LSSI-CE

El uso de cookies se regula principalmente en el art. 22.2 de la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), que exige el consentimiento informado del usuario para instalar cookies no técnicas. La AEPD ha desarrollado la Guía sobre el uso de cookies (actualizada en 2023), de cumplimiento esencial en la práctica, que establece:

Para empresas con presencia online, la correcta configuración de una plataforma de gestión del consentimiento (CMP) es indisociable del cumplimiento RGPD + LSSI.

El Delegado de Protección de Datos (DPO): cuándo es obligatorio

Los artículos 37 a 39 del RGPD regulan la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés). Su designación es obligatoria en tres supuestos concretos (art. 37.1 RGPD):

  1. Autoridades u organismos públicos.
  2. Organizaciones cuya actividad principal consista en operaciones de tratamiento que, por su naturaleza, alcance o fines, requieran una observación habitual y sistemática a gran escala de interesados (p. ej., plataformas de publicidad comportamental, operadoras de telecomunicaciones).
  3. Organizaciones cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos (datos de salud, datos biométricos, datos sobre condenas penales, etc.).

Fuera de estos supuestos, la designación es voluntaria pero recomendable. El DPO actúa como punto de contacto con la AEPD, asesora internamente sobre cumplimiento y supervisa la aplicación del Reglamento. Puede ser interno o externo; en el caso de las pymes, la figura de DPO externo es la opción más eficiente en coste, ya que permite acceder a un experto cualificado sin necesidad de contratar a jornada completa.

¿Cuánto puede sancionar la AEPD?

El RGPD establece un régimen sancionador en dos tramos (art. 83):

La LOPDGDD matiza estos tramos para adaptarlos al tejido empresarial español e introduce la posibilidad de apercibimiento para pymes y autónomos en infracciones leves cuando concurren determinadas circunstancias atenuantes. Pero los importes máximos son los del Reglamento europeo, y la AEPD los aplica en casos de reincidencia o infracción deliberada con independencia del tamaño de la empresa.

Ningún servicio de consultoría puede garantizar la ausencia de sanciones —eso solo depende del cumplimiento real y de las circunstancias concretas de cada expediente—, pero el acompañamiento experto desde el inicio reduce significativamente tanto la probabilidad de abrir un expediente como la gravedad de las consecuencias si se abre.

¿Por dónde se empieza? Los pasos básicos de adecuación

Para una empresa que parte de cero o que lleva años con una adecuación superficial, el itinerario habitual de adecuación al RGPD comprende estos bloques:

  1. Inventario de tratamientos: identificar qué datos se tratan, con qué finalidad, en qué base jurídica, durante cuánto tiempo y quién tiene acceso. El resultado es el Registro de Actividades de Tratamiento (art. 30 RGPD).
  2. Análisis de riesgos: evaluar si los tratamientos implican riesgos para los afectados y, en su caso, realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD), obligatoria cuando el tratamiento puede entrañar un alto riesgo (art. 35 RGPD).
  3. Documentación: política de privacidad, cláusulas informativas, contratos con encargados del tratamiento (proveedores que acceden a datos), procedimiento de atención a derechos y gestión de brechas.
  4. Medidas técnicas y organizativas: control de accesos, cifrado, política de contraseñas, copias de seguridad, formación del personal.
  5. Designación del DPO si procede, o asignación de responsabilidades internas de supervisión.
  6. Revisión periódica: el cumplimiento no es un hito puntual; requiere revisión ante cambios en la actividad, nuevas herramientas digitales o modificaciones normativas.

Si quieres saber cómo iniciar este proceso con el apoyo de un equipo especializado, consulta nuestro servicio de adecuación RGPD para empresas en Castilla y León y Canarias. También puedes ampliar sobre aspectos concretos en nuestros artículos sobre la auditoría legal de tiendas online y la Evaluación de Impacto en Protección de Datos (EIPD).