RGPD para PYMEs: qué obligaciones tienes y cómo cumplirlas

El RGPD lleva en vigor desde 2018, pero la mayoría de PYMEs siguen cumpliendo a medias: tienen la política de privacidad copiada de otra web, el aviso de cookies que no funciona bien, y una carpeta en el ordenador llamada "GDPR" que nadie ha abierto en dos años. Esta guía explica qué obliga la normativa y cuáles son los pasos concretos para cumplir sin convertirlo en un proyecto interminable.

Qué obliga el RGPD en la práctica

El Reglamento General de Protección de Datos regula cómo las empresas recogen, almacenan y usan datos personales de personas físicas. Aplica a cualquier empresa que opere en la Unión Europea o que trate datos de ciudadanos europeos, independientemente de su tamaño.

En la práctica, para una PYME española, el RGPD obliga a tres cosas fundamentales:

Transparencia: las personas tienen que saber qué datos se recogen, para qué se usan, cuánto tiempo se guardan y con quién se comparten. Esta información tiene que estar disponible de forma clara antes de que cedan sus datos, no en letra pequeña al final de un formulario.

Legitimación: no se pueden tratar datos personales sin una razón legal válida. Las más comunes son el consentimiento expreso del usuario, la ejecución de un contrato, o el cumplimiento de una obligación legal. El consentimiento, cuando se usa, tiene que ser libre, específico e inequívoco, lo que significa que las casillas pre-marcadas no valen.

Derechos de los interesados: cualquier persona puede pedir que se le muestre qué datos tienes sobre ella, que se corrijan, que se eliminen, o que se deje de usarlos para marketing. Tienes un mes para responder.

Lo mínimo que necesita cualquier PYME con web o datos de clientes

Si tu empresa tiene una web con formulario de contacto, hace email marketing o guarda datos de clientes en un CRM, necesitas tener en orden estos elementos:

Política de privacidad actualizada en la web, que explique qué datos se recogen, con qué finalidad, durante cuánto tiempo y cuáles son los derechos del usuario. Tiene que ser específica para tu empresa: copiar la de otra web es un error frecuente que genera inconsistencias que se detectan fácilmente en una inspección.

Aviso de cookies conforme: el banner de cookies tiene que permitir rechazar todas las cookies no esenciales con la misma facilidad con la que se aceptan. Un botón de "aceptar" grande y un enlace de "gestionar preferencias" escondido no cumple.

Registro de actividades de tratamiento: un documento interno que lista todos los tratamientos de datos que realiza la empresa (quién, qué datos, para qué, cuánto tiempo, con qué base legal). No es obligatorio para empresas de menos de 250 empleados salvo excepciones, pero es el documento que demuestra que has pensado en esto si alguna vez hay una inspección.

Contratos con encargados de tratamiento: cualquier proveedor externo que acceda a datos de tus clientes (el proveedor de email marketing, el CRM en la nube, la gestoría que procesa nóminas) tiene que tener firmado un contrato de encargo de tratamiento. Muchos proveedores grandes como Mailchimp o HubSpot ya lo incluyen en sus términos de servicio, pero hay que verificarlo.

Procedimiento para atender derechos: un proceso documentado para responder cuando alguien pide acceso, rectificación o supresión de sus datos. No hace falta un sistema sofisticado; basta con tener claro quién responde, dónde están los datos y en qué plazo.

Las multas: cuánto pueden costar los incumplimientos

El RGPD establece dos niveles de sanción. Las infracciones más graves (tratar datos sin base legal, ceder datos a terceros sin autorización, ignorar sistemáticamente los derechos de los usuarios) pueden llegar hasta 20 millones de euros o el 4% de la facturación global anual. Las infracciones menos graves llegan hasta 10 millones o el 2%.

Para una PYME española, las sanciones reales de la Agencia Española de Protección de Datos (AEPD) suelen estar en rangos muy distintos. Algunos ejemplos recientes:

• Una empresa de telecomunicaciones: 900.000 € por usar datos de clientes para fines no autorizados.
• Una pequeña empresa de servicios: 6.000 € por no atender correctamente una solicitud de supresión de datos.
• Un comercio electrónico: 30.000 € por no tener aviso de cookies conforme y usar datos para marketing sin consentimiento válido.

Las sanciones a PYMEs suelen estar en el rango de los 3.000 € a los 50.000 €, pero el coste real a menudo no está en la multa sino en el daño reputacional y el tiempo dedicado a responder el procedimiento sancionador, que puede durar meses.

Por dónde empezar: el checklist básico de 6 puntos

Si partes prácticamente de cero, este es el orden recomendado:

1. Inventario de datos: anota qué datos personales trata la empresa, de quién (clientes, empleados, proveedores, suscriptores), dónde están almacenados y para qué se usan. Este ejercicio suele revelar datos que se llevan años guardando sin ningún propósito claro.

2. Revisa y actualiza la política de privacidad de tu web. Tiene que ser específica, estar en castellano claro y mencionar explícitamente todas las finalidades de tratamiento.

3. Audita el banner de cookies con una herramienta gratuita como CookieYes o Cookiebot para comprobar que no se carga ninguna cookie de seguimiento antes del consentimiento.

4. Firma los contratos de encargo con tus proveedores tecnológicos principales. Revisa los términos de tu CRM, plataforma de email y cualquier herramienta que procese datos de clientes.

5. Define quién responde a los derechos de los usuarios y cómo. Puede ser una dirección de email específica; lo importante es que haya un proceso claro y un responsable.

6. Documenta el registro de actividades, aunque no sea obligatorio para tu tamaño. Es el documento que demuestra una actitud proactiva ante cualquier reclamación o inspección.

Errores típicos de PYMEs al cumplir el RGPD

Copiar la política de privacidad de otra web. El error más frecuente y el más fácil de detectar. La política tiene que mencionar los tratamientos reales de tu empresa; si nombra "Google Analytics" pero tú no lo usas, queda en evidencia.

Recoger datos "por si acaso". Formularios que piden 15 campos cuando solo se usan 3. El principio de minimización obliga a recoger solo lo necesario para la finalidad declarada.

Guardar datos indefinidamente. Los datos personales tienen que borrarse o anonimizarse cuando ya no sirven para la finalidad para la que se recogieron. Un CRM con contactos de hace 10 años que nunca compraron es un problema.

Banner de cookies mal implementado. Cargar Google Analytics antes del consentimiento es la infracción más detectada automáticamente por la AEPD en sus inspecciones.

No tener previsto cómo gestionar una brecha de seguridad. Si hay un incidente y te enteras a los 5 días, ya has incumplido el plazo de 72 horas para notificar. Tiene que haber un protocolo mínimo para detectar y reaccionar rápido, algo que también cubren los básicos de seguridad informática para PYMEs.

Preguntas recurrentes sobre cumplimiento RGPD

¿El RGPD aplica a mi empresa si solo tenemos 5 empleados?

Sí. El RGPD aplica al tratamiento de datos, no al tamaño de la empresa. Un autónomo que tiene un formulario de contacto en su web ya está tratando datos personales y tiene que cumplirlo.

¿Necesito contratar un DPO (delegado de protección de datos)?

Solo en casos concretos: si tu actividad principal es observar a gran escala a personas, tratar datos especiales (salud, origen racial) a gran escala, o si eres autoridad u organismo público. La mayoría de PYMEs no están obligadas. Tener un DPO externo voluntariamente es siempre opcional.

¿Puedo seguir haciendo email marketing con mi base de datos actual?

Depende de cómo se recogieron esos contactos. Si tienes consentimiento expreso documentado para marketing, sí. Si son clientes actuales, puedes enviar información de productos similares (interés legítimo). Si son contactos recogidos sin consentimiento claro, no deberías usarlos para marketing.

¿Cuánto cuesta cumplir el RGPD si parto de cero?

Entre 500 y 3.000 € para una PYME estándar. Incluye revisión de política y cookies, registro de actividades, contratos con proveedores clave y un par de horas de formación al equipo. Si el caso es más complejo (sector sanitario, financiero, tratamiento de menores), sube.

¿La AEPD inspecciona a las PYMEs o solo a grandes empresas?

Las dos. La mayoría de procedimientos sancionadores empiezan por reclamaciones de usuarios, no por inspecciones de oficio. Si un usuario pide ejercer un derecho y no se le atiende bien, puede reclamar y arranca el procedimiento. Las inspecciones de oficio son menos frecuentes pero sí ocurren.

¿Qué pasa si un proveedor mío tiene una brecha y mis datos de clientes se filtran?

Tu empresa también es responsable. Por eso es tan importante firmar el contrato de encargado de tratamiento (incluye cláusulas de responsabilidad) y elegir proveedores con certificaciones serias. Si no hay contrato firmado, tu responsabilidad es mayor.

¿Puede mi gestoría encargarse del RGPD?

Algunas gestorías ofrecen servicio de cumplimiento, pero suele ser limitado (plantillas genéricas, poco seguimiento). Para una PYME con tratamientos habituales, una auditoría tecnológica con apartado RGPD cubre mejor los aspectos técnicos (cookies, seguridad, accesos) que suelen quedar fuera del alcance de una gestoría.

¿Cada cuánto hay que revisar el cumplimiento RGPD?

Revisión anual como mínimo, y siempre que haya cambios relevantes: nuevo proveedor tecnológico, nueva funcionalidad en la web que recoge datos, nuevo tratamiento. Si todo sigue igual durante el año, una revisión ligera de 1-2 horas basta.

El RGPD puede parecer burocracia costosa, pero bien gestionado se convierte en una forma de ganarse la confianza de los clientes en un entorno donde la privacidad importa cada vez más. Una auditoría tecnológica detecta los incumplimientos concretos y los prioriza por riesgo, de lo más urgente a lo menos urgente, sin que inviertas tiempo ni dinero donde no hace falta. Como lecturas relacionadas encajan bien seguridad informática para PYMEs y 5 señales de que tu empresa necesita una auditoría tecnológica; casi siempre los tres temas van juntos.