CC-01 · Cumplimiento normativo

RGPD LOPDGDD

Implantación y mantenimiento del marco de protección de datos — Reglamento General de Protección de Datos (UE) 2016/679 y Ley Orgánica 3/2018 (LOPDGDD) — con plantillas vivas, canal de brecha real y formación al equipo. Servicio operable desde el día 1, no un archivo de documentos que nadie vuelve a abrir.

Duración3 meses + mantenimiento
Equipoconsultor + DPO
Aplicable acualquier pyme

La diferencia entre una empresa que cumple con el RGPD y una que tiene papeles del RGPD se nota el día que hay una brecha. La primera tiene un procedimiento, un canal y una persona; la segunda tiene un email genérico y una carpeta sin tocar desde la auditoría inicial.

Trabajamos sobre el negocio real: mapeamos los tratamientos como ocurren, no como están escritos en la plantilla que vino con el software de gestión, y construimos el sistema sobre esa realidad. Lo que entregamos es un marco que vive con la empresa: documentos que cambian cuando cambian los procesos, formación periódica, simulacros de brecha y revisión continua — no un PDF firmado una vez y olvidado.

Cuando aparece la inspección de la AEPD o un cliente grande pide la auditoría de proveedores, ya está hecho el trabajo. Y cuando ocurre una brecha de seguridad — porque ocurre, tarde o temprano — sabes a quién llamar y en qué orden actuar.

El Reglamento General de Protección de Datos (UE) 2016/679 es de aplicación directa en toda la Unión Europea desde el 25 de mayo de 2018 y se aplica a cualquier organización, pública o privada, que trate datos personales de personas físicas, con independencia de su tamaño o facturación. No existe un umbral de empleados o de ingresos que exima del cumplimiento: un autónomo con tres clientes y una multinacional están sujetos al mismo texto legal, aunque la escala de las obligaciones —y el riesgo real— varíe mucho entre ambos.

La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), desarrolla el RGPD en el ordenamiento español: concreta los supuestos de designación obligatoria del DPO (art. 34), regula los tratamientos con fines de videovigilancia (art. 22), de sistemas de exclusión publicitaria, de datos de personas fallecidas y de derechos digitales en el ámbito laboral, y fija el régimen sancionador nacional (art. 70 a 78) alineado con los tramos del artículo 83 del RGPD. La Agencia Española de Protección de Datos (AEPD) es la autoridad de control competente en España y la que resuelve reclamaciones, abre procedimientos sancionadores y publica las guías de referencia del sector.

Para una pyme, cumplir el RGPD y la LOPDGDD significa en la práctica cinco cosas: saber qué datos personales trata y con qué base jurídica (art. 6), documentarlo en un registro de actividades (art. 30), informar correctamente a las personas (art. 13 y 14), tener controlados los contratos con los proveedores que acceden a esos datos (art. 28), y estar preparada para responder tanto a una solicitud de derechos como a una brecha de seguridad dentro de los plazos legales.

El RGPD no se resuelve con una única página ni con un único documento: es un sistema de gestión con piezas especializadas que se combinan según el riesgo y el sector de cada organización. Esta ficha es el punto de partida — el mapa de obligaciones — y desde aquí conectamos con los servicios que cubren cada frente concreto: el DPO externo cuando la designación es obligatoria o refuerza el sistema, la gestión de brechas de seguridad, la adecuación de la videovigilancia al artículo 22 de la LOPDGDD, el procedimiento de atención de derechos de los interesados, y las variantes sectoriales para sanidad, educación y administraciones locales.

No todas las organizaciones necesitan las mismas piezas del silo: una asesoría con cinco empleados probablemente resuelve su cumplimiento con la adecuación base y un canal de brechas; una clínica o un colegio, casi con toda seguridad, necesitan además un DPO externo registrado ante la AEPD; y un ayuntamiento o una empresa que instala cámaras en sus instalaciones añaden la pieza de videovigilancia. El diagnóstico inicial determina qué combinación aplica a tu caso concreto, sin vender servicios que no correspondan.

El régimen sancionador del artículo 83 del RGPD distingue dos tramos: hasta 10 millones de euros o el 2 % del volumen de negocio anual global para las infracciones menos graves (registro de actividades incompleto, contratos de encargado ausentes, falta de designación de DPO cuando es obligatoria), y hasta 20 millones de euros o el 4 % del volumen de negocio global para las más graves (falta de base jurídica, vulneración de los principios del tratamiento, incumplimiento sistemático de derechos). La LOPDGDD, en sus artículos 72 a 74, traslada estos tramos al ordenamiento español y añade plazos de prescripción según la gravedad de la infracción.

La AEPD no actúa solo de oficio: la mayoría de los procedimientos sancionadores se abren a partir de una reclamación de un particular o de la comunicación de una brecha de seguridad no gestionada correctamente. Tener el sistema documentado y operativo antes de que ocurra un incidente es, en la práctica, la diferencia entre una sanción y un expediente archivado.

24h
Notificación AEPD
0h

Detección de la brecha

Canal directo, no formulario. Persona humana en horario; guardia el resto.

+2h

Clasificación y contención

Equipo activa procedimiento documentado, contiene el incidente.

+12h

Análisis de impacto

¿Datos personales? ¿Cuántos afectados? ¿Categoría especial?

+24h

Decisión de notificación

Si procede: notificación a AEPD en 72h y a afectados sin demora.

El proceso de RGPD LOPDGDD.

El proceso · cuatro tiempos
01

Diagnóstico

Auditamos los tratamientos de datos personales como ocurren realmente en el día a día — no como están descritos en la documentación heredada — e identificamos brechas, riesgos y prioridades de actuación.

02

Diseño

Elaboramos el registro de actividades de tratamiento, las políticas de privacidad, las cláusulas informativas y los procedimientos de respuesta. Documentos vivos, redactados para el negocio real, no plantillas descargadas.

03

Implantación

Formación al equipo, simulacro de brecha de seguridad y plantillas operativas puestas a prueba antes de declarar el sistema activo: nada se entrega sin comprobar que funciona.

04

Mantenimiento

Revisión continua del registro y de los contratos con encargados, auditoría anual con acta, y respuesta inmediata ante cualquier incidente o requerimiento de la AEPD.

Qué incluye

Qué incluye RGPD LOPDGDD.

El detalle operativo: lo que entregamos como parte del trabajo y lo que mantenemos vivo después.

  • Registro de actividades de tratamiento

    Documento maestro del artículo 30 del RGPD: cada tratamiento de datos personales, su finalidad, base jurídica, categorías de datos, cesiones a terceros y plazos de conservación.

  • Política de privacidad y cláusulas contractuales

    Aviso legal, política de privacidad, cláusulas informativas para empleados, clientes y proveedores, redactadas para cumplir el deber de información de los artículos 13 y 14 del RGPD.

  • Contratos con encargados del tratamiento

    Revisión y redacción de los acuerdos exigidos por el artículo 28 del RGPD con cualquier proveedor que acceda a datos personales: software, gestoría, nube, mantenimiento informático.

  • EIPD · evaluación de impacto

    Para los tratamientos de alto riesgo según los criterios del Comité Europeo de Protección de Datos (art. 35 RGPD): videovigilancia extensa, perfilado automatizado, tratamiento a gran escala de categorías especiales.

  • Canal de gestión de brechas

    Procedimiento operativo de detección, contención, evaluación del riesgo y, si procede, notificación a la AEPD en 72 horas (art. 33) y comunicación a los afectados cuando el riesgo sea alto (art. 34).

  • Atención de los derechos de los interesados

    Procedimiento y modelos de respuesta para acceso, rectificación, supresión, oposición, portabilidad y limitación, dentro de los plazos del artículo 12 del RGPD.

  • Formación al equipo

    Sesiones adaptadas al puesto de cada persona, con material propio y test de evaluación. Bonificable a través de FUNDAE cuando la empresa cotiza formación.

  • Auditoría anual de cumplimiento

    Revisión completa una vez al año, con acta y plan de correcciones, para llegar a cualquier inspección o due diligence de cliente con el trabajo hecho.

Marco normativo

El marco regulatorio.

El RGPD europeo y la LOPDGDD española conviven y se complementan.

EU RGPD Aplicable en este servicio
ES LOPDGDD Aplicable en este servicio
AEPD Guías Aplicable en este servicio
CEPD Directrices Aplicable en este servicio

Preguntas frecuentes sobre RGPD LOPDGDD.

¿Están todas las empresas obligadas a cumplir el RGPD?

Sí. El RGPD se aplica a cualquier organización, pública o privada, grande o pequeña, que trate datos personales de personas físicas en la Unión Europea. No existe un umbral de facturación o de plantilla que exima del cumplimiento; sí varía la escala de las obligaciones concretas según el riesgo del tratamiento.

¿Cada cuánto hay que renovar el registro de actividades?

El registro de actividades no tiene fecha de caducidad, pero el artículo 30 del RGPD exige que esté actualizado. Lo revisamos anualmente y siempre que entra un tratamiento nuevo — un CRM distinto, un proveedor nuevo, un servicio online adicional.

¿Y si tenemos una brecha de seguridad?

Activamos el canal en menos de 24 horas. Te ayudamos a documentar el incidente, valorar si procede la notificación a la AEPD en el plazo de 72 horas del artículo 33 del RGPD y, si el riesgo es alto, comunicar a las personas afectadas conforme al artículo 34.

¿Necesitamos un DPO siendo pyme?

Depende del sector. En sanidad, educación, entidades religiosas y otros sectores del artículo 34 de la LOPDGDD, sí es obligatorio con independencia del tamaño. Fuera de esos supuestos, es recomendable pero no obligatorio. Lo aclaramos en el diagnóstico inicial y, si procede, lo cubrimos con nuestro servicio de DPO externo.

¿Qué diferencia hay entre el RGPD y la LOPDGDD?

El RGPD es un reglamento europeo de aplicación directa desde 2018; la LOPDGDD es la ley española que lo desarrolla, concreta los supuestos de DPO obligatorio, regula materias específicas como la videovigilancia laboral y fija el régimen sancionador nacional. Se aplican de forma conjunta, no alternativa.

¿Cuánto tiempo lleva adecuarse al RGPD?

Para una pyme de tamaño medio con tratamientos habituales (clientes, empleados, proveedores), el proceso de adecuación completa suele requerir entre cuatro y ocho semanas. En organizaciones con tratamientos más complejos —centros sanitarios, entidades educativas, empresas con gran volumen de datos— el plazo puede extenderse.

¿El RGPD aplica también a los datos de mis empleados?

Sí. El tratamiento de datos de personal (nóminas, control horario, videovigilancia laboral, correo corporativo) está sujeto al RGPD y, en el caso de la videovigilancia y del control horario, a normas específicas de la LOPDGDD sobre derechos digitales en el ámbito laboral.

¿Qué pasa si un cliente grande nos pide una auditoría de protección de datos?

Es una de las razones más habituales por las que una pyme acelera su adecuación: cada vez más empresas grandes exigen a sus proveedores acreditar el cumplimiento del RGPD antes de firmar o renovar un contrato. Con el sistema documentado, esa auditoría se resuelve en días, no en semanas.

¿Es lo mismo la adecuación RGPD que contratar un DPO externo?

No, son piezas distintas del mismo silo. La adecuación RGPD construye el sistema completo (registro, políticas, contratos, formación); el DPO externo es la figura de supervisión e interlocución con la AEPD que exige el artículo 37 del RGPD en determinados supuestos. Muchas organizaciones empiezan por la adecuación y añaden el DPO cuando su sector lo exige o cuando quieren reforzar el sistema.

¿Qué pasa con los datos que ya tratábamos antes de contratar el servicio?

Se incorporan al registro de actividades desde el diagnóstico inicial, igual que cualquier tratamiento nuevo. No hace falta empezar de cero: partimos de lo que la organización ya trata y lo documentamos y corregimos donde haga falta, sin detener la actividad mientras se ajusta.