El RGPD no es solo cosa de grandes empresas
Si tu negocio trata datos personales de clientes, empleados, proveedores o usuarios de una web, el Reglamento General de Protección de Datos (RGPD) te afecta. Y las sanciones por incumplimiento pueden llegar hasta los 20 millones de euros o el 4% de tu facturación anual, lo que sea mayor.
Lo bueno: cumplir con el RGPD no tiene por qué ser complicado ni costoso si tienes un plan claro. Esta guía te explica exactamente qué necesitas hacer.
¿A quién afecta el RGPD?
El RGPD se aplica a cualquier organización que trate datos personales de personas residentes en la Unión Europea, independientemente de dónde esté ubicada la empresa. Esto significa que:
- ✅ Tu tienda online que recoge nombres y direcciones de envío
- ✅ Tu clínica que guarda historiales médicos
- ✅ Tu gestoría que procesa nóminas de empleados
- ✅ Tu web con formularios de contacto o cookies
- ✅ Tu sistema de videovigilancia en el local
Las 6 obligaciones clave que debes cumplir
- Registro de actividades de tratamiento — Documenta qué datos recoges, para qué y durante cuánto tiempo.
- Base legal para el tratamiento — Cada dato que procesas debe tener una justificación legal: consentimiento, contrato, obligación legal…
- Consentimiento informado — El consentimiento debe ser específico, informado, inequívoco y libre. Nada de casillas pre-marcadas.
- Derechos de los interesados — Acceso, rectificación, supresión, portabilidad y oposición. Debes poder atenderlos en 30 días.
- Medidas de seguridad técnicas y organizativas — Cifrado, acceso restringido, formación del personal, evaluaciones de impacto.
- Notificación de brechas de seguridad — Tienes 72 horas para notificar una brecha a la AEPD si supone un riesgo para los afectados.
¿Necesito un Delegado de Protección de Datos (DPO)?
El DPO es obligatorio si:
- 🏛️ Eres una administración pública
- 🏥 Realizas un tratamiento a gran escala de datos de salud, genéticos o biométricos
- 👥 Monitorizas sistemáticamente a los empleados a gran escala
- 📡 Realizas perfiles automatizados que producen efectos jurídicos
Para la mayoría de pymes, no es obligatorio, pero sí es muy recomendable designar a alguien (interno o externo) que supervise el cumplimiento.
Sanciones: Lo que te puede pasar si no cumples
Las multas del RGPD se escalan en dos niveles:
Nivel 1
10 millones€
o el 2% de la facturación anual global
Documentación deficiente, no designar DPO cuando es obligatorio, no notificar brechas.
Nivel 2
20 millones€
o el 4% de la facturación anual global
Tratamiento ilegal de datos, violación de derechos fundamentales, transferencias internacionales no autorizadas.
Pasos prácticos para ponerte en cumplimiento
- Inventario de datos — Identifica qué datos personales tratas y dónde se almacenan.
- Análisis de riesgos — Evalúa el riesgo de cada tratamiento y prioriza.
- Actualiza tu política de privacidad — Debe ser clara, accesible y cumplir todos los requisitos.
- Implementa el consentimiento correcto — Revisa formularios, cookies y contratos.
- Medidas de seguridad — Cifrado, accesos controlados, copias de seguridad, formación.
- Registro de actividades — Documenta todo de forma ordenada.
- Protocolo de brechas — Prepara un procedimiento para actuar rápido ante incidentes.
Conclusión
El RGPD puede parecer abrumador, pero en realidad es una oportunidad para profesionalizar la gestión de datos de tu empresa y generar confianza en tus clientes. El cumplimiento no es un destino, es un proceso continuo que requiere mantenimiento regular.
En InformaticoBCN incluimos la evaluación de cumplimiento RGPD dentro de nuestra auditoría técnica gratuita. Contacta con nosotros y descubre en qué punto se encuentra tu negocio respecto a la normativa.