Desde mayo de 2018, el Reglamento General de Protección de Datos —Reglamento (UE) 2016/679, conocido como RGPD— es la norma de referencia en materia de privacidad para todas las organizaciones que tratan datos personales de ciudadanos de la Unión Europea. En España se complementa con la Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el Reglamento al ordenamiento jurídico nacional y añade disposiciones específicas sobre medios digitales, videovigilancia, laboral y menores. El organismo supervisor en España es la Agencia Española de Protección de Datos (AEPD).
Lo que más sorprende a muchas pymes cuando conocen el alcance real de estas normas es precisamente su amplitud: el RGPD no es solo para grandes corporaciones tecnológicas. Si tu empresa gestiona listas de clientes, envía boletines por correo electrónico, graba con cámaras el interior de un local o registra el control de presencia de los empleados, ya estás tratando datos personales y, por tanto, el Reglamento te aplica.
¿A quién obliga exactamente el RGPD?
El RGPD obliga a cualquier organización —empresa, autónomo, asociación, administración pública— que cumpla alguna de estas dos condiciones:
- Está establecida en la Unión Europea y trata datos personales en el contexto de esa actividad, independientemente de dónde se realice el tratamiento.
- No está establecida en la UE pero ofrece bienes o servicios a personas en la UE, o monitoriza el comportamiento de personas que se encuentran en la UE (art. 3 RGPD).
En la práctica, una ferretería de Burgos con CRM de clientes, una clínica dental de Las Palmas con expedientes de pacientes o un comercio electrónico de Salamanca con lista de suscriptores: todos quedan sujetos al RGPD. El tamaño de la empresa reduce ciertos requisitos formales (las microempresas con menos de 250 empleados quedan exentas de mantener el registro de actividades de tratamiento en algunos supuestos), pero no elimina la obligación de tratar los datos con licitud, transparencia y seguridad.
¿Qué es un dato personal según el RGPD?
El Reglamento define «dato personal» como cualquier información sobre una persona física identificada o identificable (art. 4.1 RGPD). Son datos personales, entre otros:
- Nombre, apellidos, DNI o NIF de una persona física.
- Dirección de correo electrónico, número de teléfono, dirección postal.
- Número de IP, identificadores de dispositivo, cookies de seguimiento.
- Imágenes captadas por videovigilancia cuando permiten identificar a una persona.
- Datos de localización GPS.
- Expedientes médicos o datos de salud (categoría especial, art. 9 RGPD).
- Datos sobre afiliación sindical, ideología, religión o vida sexual (categorías especiales).
Los datos de personas jurídicas (empresas, sociedades) quedan fuera del ámbito del RGPD, aunque los datos de contacto de un autónomo o de un empleado de una empresa sí son datos personales.
¿Qué principios exige el RGPD al tratar datos?
El artículo 5 del RGPD establece los principios que rigen todo tratamiento legítimo. No basta con obtener el consentimiento: hay que cumplir todos ellos de forma simultánea:
| Principio | Qué significa en la práctica |
|---|---|
| Licitud, lealtad y transparencia | Existe una base jurídica válida y el afectado sabe qué se hace con sus datos. |
| Limitación de la finalidad | Los datos solo se usan para el fin declarado; no se reutilizan sin nueva base jurídica. |
| Minimización de datos | Solo se recogen los datos estrictamente necesarios para la finalidad. |
| Exactitud | Los datos deben mantenerse actualizados; los incorrectos han de rectificarse o suprimirse. |
| Limitación del plazo de conservación | No se conservan más tiempo del necesario para la finalidad, salvo obligación legal. |
| Integridad y confidencialidad | Se aplican medidas técnicas y organizativas adecuadas para proteger los datos. |
| Responsabilidad proactiva (accountability) | El responsable puede demostrar que cumple todos los principios anteriores. |
Bases jurídicas: ¿en qué me apoyo para tratar datos?
Tratar datos sin una base jurídica válida es una infracción grave. El artículo 6 del RGPD establece seis bases posibles. Las más habituales en el ámbito empresarial son:
- Consentimiento (art. 6.1.a): libre, específico, informado e inequívoco. Las casillas premarcadas no son consentimiento válido. El consentimiento puede retirarse en cualquier momento.
- Ejecución de un contrato (art. 6.1.b): el tratamiento es necesario para cumplir el contrato suscrito con el afectado (p. ej., enviar un pedido a la dirección de entrega del cliente).
- Obligación legal (art. 6.1.c): la ley obliga al responsable a tratar esos datos (p. ej., conservar facturas durante el plazo fiscal, registrar la jornada laboral).
- Interés legítimo (art. 6.1.f): requiere un test de ponderación documentado que acredite que el interés del responsable no vulnera los derechos del afectado. No es una cláusula de escape genérica.
Derechos de los ciudadanos que toda empresa debe garantizar
El RGPD reconoce a los afectados un catálogo de derechos que deben poder ejercerse de forma sencilla y gratuita:
- Acceso (art. 15): el afectado puede solicitar qué datos se tienen de él y con qué finalidad.
- Rectificación (art. 16): corrección de datos inexactos o incompletos.
- Supresión o «derecho al olvido» (art. 17): borrado de datos cuando ya no son necesarios o se retira el consentimiento.
- Oposición (art. 21): el afectado puede oponerse al tratamiento, especialmente al basado en interés legítimo o con fines de marketing directo.
- Portabilidad (art. 20): recibir los datos en formato estructurado y legible por máquina para trasladarlos a otro responsable.
- Limitación del tratamiento (art. 18): restringir el uso de los datos en determinadas circunstancias.
Las empresas deben responder a estas solicitudes en el plazo de un mes, prorrogable a tres en casos complejos. No responder o denegar sin justificación es una infracción sancionable.
Brechas de seguridad: qué hacer y en qué plazo
Una brecha de seguridad es cualquier incidente que provoque la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales. El RGPD impone obligaciones concretas:
- Notificación a la AEPD (art. 33 RGPD): si la brecha entraña riesgo para los derechos y libertades de las personas, debe notificarse a la autoridad de control en el plazo de 72 horas desde que el responsable tiene constancia de ella. Si no es posible en ese plazo, se notifica sin dilación indebida con la información disponible y se completa posteriormente.
- Comunicación a los afectados (art. 34 RGPD): cuando la brecha implique un alto riesgo para los derechos y libertades de los afectados, el responsable debe comunicárselo directamente a ellos sin dilación indebida, en lenguaje claro y sencillo, indicando la naturaleza de la brecha y las medidas adoptadas.
Toda brecha debe documentarse internamente, aunque no supere el umbral de notificación obligatoria (art. 33.5 RGPD). El registro interno permite demostrar ante la AEPD la diligencia aplicada.
Videovigilancia y cámaras en el entorno laboral
La videovigilancia es uno de los ámbitos donde más consultas reciben los servicios de adecuación RGPD para empresas. La normativa aplicable combina el RGPD con la LOPDGDD:
- Art. 22 LOPDGDD (videovigilancia general): las personas físicas o jurídicas pueden tratar imágenes captadas por cámaras de videovigilancia para preservar la seguridad de personas e instalaciones. Es obligatorio colocar un cartel informativo en lugar visible que informe del tratamiento (zona videovigilada), con indicación del responsable y cómo ejercer los derechos. Las imágenes deben suprimirse en el plazo máximo de 30 días, salvo que deban conservarse para acreditar la comisión de actos ilícitos o para su entrega a las Fuerzas y Cuerpos de Seguridad.
- Art. 89 LOPDGDD (cámaras en el ámbito laboral): el empleador puede tratar las imágenes obtenidas mediante cámaras de videovigilancia para el control de los trabajadores en el ejercicio de sus funciones, siempre que los trabajadores o sus representantes hayan sido informados con carácter previo y de forma expresa, clara y concisa. No puede instalarse cámaras en zonas de descanso, vestuarios o aseos.
Cookies y la LSSI-CE
El uso de cookies se regula principalmente en el art. 22.2 de la Ley 34/2002, de Servicios de la Sociedad de la Información y de Comercio Electrónico (LSSI-CE), que exige el consentimiento informado del usuario para instalar cookies no técnicas. La AEPD ha desarrollado la Guía sobre el uso de cookies (actualizada en 2023), de cumplimiento esencial en la práctica, que establece:
- El banner de cookies debe permitir rechazar tan fácilmente como aceptar; los botones de «Aceptar» y «Rechazar» deben tener igual prominencia.
- No se admiten casillas premarcadas ni opciones que presionen al usuario hacia la aceptación (dark patterns).
- Las cookies no esenciales no pueden instalarse antes de que el usuario haya dado su consentimiento.
- El usuario debe poder retirar el consentimiento con la misma facilidad con que lo otorgó.
Para empresas con presencia online, la correcta configuración de una plataforma de gestión del consentimiento (CMP) es indisociable del cumplimiento RGPD + LSSI.
El Delegado de Protección de Datos (DPO): cuándo es obligatorio
Los artículos 37 a 39 del RGPD regulan la figura del Delegado de Protección de Datos (DPO, por sus siglas en inglés). Su designación es obligatoria en tres supuestos concretos (art. 37.1 RGPD):
- Autoridades u organismos públicos.
- Organizaciones cuya actividad principal consista en operaciones de tratamiento que, por su naturaleza, alcance o fines, requieran una observación habitual y sistemática a gran escala de interesados (p. ej., plataformas de publicidad comportamental, operadoras de telecomunicaciones).
- Organizaciones cuya actividad principal consista en el tratamiento a gran escala de categorías especiales de datos (datos de salud, datos biométricos, datos sobre condenas penales, etc.).
Fuera de estos supuestos, la designación es voluntaria pero recomendable. El DPO actúa como punto de contacto con la AEPD, asesora internamente sobre cumplimiento y supervisa la aplicación del Reglamento. Puede ser interno o externo; en el caso de las pymes, la figura de DPO externo es la opción más eficiente en coste, ya que permite acceder a un experto cualificado sin necesidad de contratar a jornada completa.
¿Cuánto puede sancionar la AEPD?
El RGPD establece un régimen sancionador en dos tramos (art. 83):
- Infracciones graves: multas de hasta 10.000.000 EUR o el 2 % del volumen de negocio anual global del ejercicio anterior (el importe que sea mayor).
- Infracciones muy graves: multas de hasta 20.000.000 EUR o el 4 % del volumen de negocio anual global (el importe que sea mayor).
La LOPDGDD matiza estos tramos para adaptarlos al tejido empresarial español e introduce la posibilidad de apercibimiento para pymes y autónomos en infracciones leves cuando concurren determinadas circunstancias atenuantes. Pero los importes máximos son los del Reglamento europeo, y la AEPD los aplica en casos de reincidencia o infracción deliberada con independencia del tamaño de la empresa.
Ningún servicio de consultoría puede garantizar la ausencia de sanciones —eso solo depende del cumplimiento real y de las circunstancias concretas de cada expediente—, pero el acompañamiento experto desde el inicio reduce significativamente tanto la probabilidad de abrir un expediente como la gravedad de las consecuencias si se abre.
¿Por dónde se empieza? Los pasos básicos de adecuación
Para una empresa que parte de cero o que lleva años con una adecuación superficial, el itinerario habitual de adecuación al RGPD comprende estos bloques:
- Inventario de tratamientos: identificar qué datos se tratan, con qué finalidad, en qué base jurídica, durante cuánto tiempo y quién tiene acceso. El resultado es el Registro de Actividades de Tratamiento (art. 30 RGPD).
- Análisis de riesgos: evaluar si los tratamientos implican riesgos para los afectados y, en su caso, realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD), obligatoria cuando el tratamiento puede entrañar un alto riesgo (art. 35 RGPD).
- Documentación: política de privacidad, cláusulas informativas, contratos con encargados del tratamiento (proveedores que acceden a datos), procedimiento de atención a derechos y gestión de brechas.
- Medidas técnicas y organizativas: control de accesos, cifrado, política de contraseñas, copias de seguridad, formación del personal.
- Designación del DPO si procede, o asignación de responsabilidades internas de supervisión.
- Revisión periódica: el cumplimiento no es un hito puntual; requiere revisión ante cambios en la actividad, nuevas herramientas digitales o modificaciones normativas.
Si quieres saber cómo iniciar este proceso con el apoyo de un equipo especializado, consulta nuestro servicio de adecuación RGPD para empresas en Castilla y León y Canarias. También puedes ampliar sobre aspectos concretos en nuestros artículos sobre la auditoría legal de tiendas online y la Evaluación de Impacto en Protección de Datos (EIPD).