La protección de datos en empresas es hoy una obligación legal ineludible para cualquier organización que trate información personal de clientes, empleados o proveedores. Y, sin embargo, sigue siendo una de las áreas peor resueltas del cumplimiento normativo.
La primera vez que una empresa recibe una queja formal ante la AEPD, casi siempre pasa lo mismo: el responsable mira a su alrededor, busca al abogado de guardia y pregunta «¿pero es que no teníamos algo firmado sobre esto?». La respuesta, con demasiada frecuencia, es que sí tenían algo firmado (una política de privacidad copiada de otra web, un aviso legal con fecha de 2018), pero no tenían nada funcionando de verdad.
La protección de datos en empresas no es un trámite que se despacha con una plantilla. Es una disciplina jurídica viva, y en 2026, con el RGPD ya con ocho años de recorrido y la AEPD cada vez más activa en la resolución de expedientes sancionadores, ignorarla sale caro. No solo en multas, que las hay y grandes, sino en reputación, en confianza de clientes y, en muchos sectores, en viabilidad del negocio.
Esta guía no pretende sustituir el asesoramiento jurídico especializado. Pretende lo contrario: que cuando llegues a ese asesoramiento, sepas de qué está hablando tu abogado.
El RGPD en pocas palabras: qué es y a quién obliga
El Reglamento General de Protección de Datos (Reglamento (UE) 2016/679, para los más puristas) entró en aplicación el 25 de mayo de 2018 y desde entonces es la norma de referencia en toda la Unión Europea para el tratamiento de datos personales. En España se complementa con la Ley Orgánica 3/2018, conocida como LOPDGDD, que adapta el RGPD al ordenamiento nacional y añade algunas especificidades propias.
La pregunta que más escucho es: «¿me aplica a mí si soy una empresa pequeña?». La respuesta es sí, con muy pocas excepciones. Si tu negocio trata datos de personas físicas (clientes, empleados, proveedores), el RGPD te aplica. El tamaño importa para algunas obligaciones específicas, como veremos, pero no para la obligación principal de tratar los datos de manera lícita y respetuosa.
Y si operas fuera de la UE pero vendes a consumidores europeos, también. El RGPD tiene extraterritorialidad. Una empresa de Ciudad de México que hace e-commerce en España está tan sujeta al reglamento como una empresa madrileña.
Los seis principios: la columna vertebral de todo lo demás
El artículo 5 del RGPD recoge seis principios que deben presidir cualquier tratamiento de datos. No son sugerencias. Son la base sobre la que los reguladores, y los tribunales, evalúan si una empresa está o no cumpliendo.
El primero es la licitud, lealtad y transparencia. El tratamiento tiene que tener una base jurídica válida y el afectado tiene que saber qué se hace con sus datos. Nada de letras pequeñas que nadie lee ni formularios que mezclan consentimientos.
El segundo, limitación de la finalidad. Los datos se recogen para un propósito concreto y no se reutilizan para otros fines incompatibles. Si alguien te da su email para recibir una factura, no puedes empezar a enviarle newsletters comerciales sin su consentimiento explícito para eso.
El tercero es la minimización de datos. Solo recoge lo que necesitas. Si para dar acceso a un foro solo necesitas un nombre de usuario y una contraseña, no pidas también fecha de nacimiento, teléfono y DNI. Más datos recogidos significa más riesgo y más responsabilidad.
El cuarto, exactitud. Los datos tienen que mantenerse actualizados. Parece obvio, pero muchas empresas acumulan bases de datos con información de hace diez años que nunca se depura.
El quinto es la limitación del plazo de conservación. Los datos no pueden guardarse indefinidamente. Hay que establecer políticas de retención y eliminación de datos basadas en la finalidad del tratamiento y en las obligaciones legales de conservación que existan (mercantiles, fiscales, laborales). Pasado ese plazo, los datos se suprimen o se anonimizan.
Y el sexto, integridad y confidencialidad. Debes aplicar medidas técnicas y organizativas adecuadas para evitar accesos no autorizados, pérdidas o destrucciones. Esto incluye desde cifrado y control de accesos hasta formación de empleados y políticas internas de seguridad.
La responsabilidad proactiva, el séptimo principio que subyace a todos los demás, exige que puedas demostrar que cumples. No basta con cumplir: hay que poder acreditarlo.
Las seis bases legales: ¿por qué puedes tratar esos datos?
Aquí es donde muchas empresas cometen el primer error gordo: asumir que para cualquier tratamiento de datos hace falta el consentimiento del usuario. No es así. El RGPD establece seis bases jurídicas distintas que legitiman el tratamiento, y el consentimiento es solo una de ellas.
La primera es precisamente el consentimiento (libre, específico, informado e inequívoco). Es la base adecuada para, por ejemplo, el envío de newsletters o la instalación de cookies no esenciales. Ojo: las casillas premarcadas no valen. El consentimiento tiene que ser una acción afirmativa clara.
La segunda es la ejecución de un contrato. Si necesitas los datos para cumplir un contrato con el interesado (o para aplicar medidas precontractuales a su solicitud), no necesitas pedir consentimiento. El tratamiento ya está justificado por la relación contractual.
La tercera es el cumplimiento de una obligación legal. Si la ley te obliga a tratar ciertos datos (piensa en datos de empleados para cotización a la Seguridad Social, o datos de facturación para Hacienda), el tratamiento es lícito por esa misma obligación.
La cuarta, la protección de intereses vitales. Es una base residual para situaciones de emergencia (piensa en un accidente) donde hay que tratar datos para proteger la vida de alguien. Raro en el contexto empresarial ordinario, pero existe.
La quinta es el interés público o ejercicio de poderes públicos. Relevante sobre todo para administraciones y organismos con funciones públicas delegadas.
Y la sexta, la que más controversia genera: el interés legítimo. El responsable puede tratar datos si tiene un interés legítimo que prevalece sobre los derechos del interesado. Requiere hacer una ponderación (el llamado test de equilibrio) y documentarla. Es útil, por ejemplo, para algunas actividades de marketing directo a clientes existentes, para la prevención del fraude, o para la gestión de la seguridad de los sistemas. Pero su uso como comodín para todo lo que no encaja en otra base es un error frecuente que la AEPD corrige con regularidad.
Los derechos de los interesados: lo que tu empresa tiene que gestionar
El RGPD reconoce siete derechos a las personas cuyos datos tratas. Gestionar estos derechos correctamente, con plazos, con procedimientos y con registros, es una de las obligaciones prácticas más visibles para cualquier empresa.
El derecho de acceso permite al interesado obtener confirmación de si se están tratando sus datos y, si es así, recibir una copia. El plazo para responder es de un mes, prorrogable a tres en casos complejos.
El derecho de rectificación permite corregir datos inexactos o completar los incompletos. Simple, pero hay que tenerlo canalizado.
El derecho de supresión, también conocido como derecho al olvido, está recogido en el artículo 17 del RGPD. Permite al interesado solicitar que sus datos sean eliminados cuando ya no son necesarios para la finalidad para la que se recogieron, cuando retira el consentimiento sobre el que se basaba el tratamiento, o cuando se han tratado ilícitamente. No es absoluto: existen excepciones, especialmente cuando hay una obligación legal de conservar los datos o cuando el tratamiento responde al interés público. Pero las empresas deben tener un procedimiento para atender estas solicitudes.
El derecho de limitación del tratamiento permite al interesado solicitar que sus datos se «congelen» temporalmente mientras se resuelve alguna controversia (por ejemplo, mientras se verifica la exactitud de los datos o se evalúa si el interés legítimo del responsable prevalece sobre los derechos del interesado).
El derecho a la portabilidad permite recibir los datos en un formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable. Aplica solo cuando el tratamiento se basa en el consentimiento o en la ejecución de un contrato, y se realiza por medios automatizados.
El derecho de oposición permite al interesado oponerse al tratamiento en cualquier momento, especialmente cuando se basa en el interés legítimo o en el interés público. En el caso del marketing directo, la oposición es absoluta: no hay que hacer ninguna ponderación.
Y finalmente, los derechos relacionados con decisiones automatizadas y elaboración de perfiles, incluyendo la posibilidad de no ser objeto de decisiones basadas únicamente en el tratamiento automatizado que produzcan efectos jurídicos significativos.
Consejo práctico: Habilita un canal claro para recibir solicitudes de derechos (un email específico, un formulario en la web) y forma a las personas que los atienden. El RGPD exige responder en plazo. Un mes sin respuesta no es un olvido: es una infracción.
El Delegado de Protección de Datos (DPO): cuándo es obligatorio y qué hace
El DPO (Data Protection Officer, o Delegado de Protección de Datos en castellano) es una figura que el RGPD crea específicamente para garantizar que las organizaciones cumplan con la normativa. No es un abogado de guardia ni un informático con buena voluntad: es un rol con funciones, responsabilidades y garantías de independencia muy concretas.
¿Cuándo es obligatorio nombrarlo? El RGPD lo exige en tres supuestos. Primero, cuando el tratamiento lo lleva a cabo una autoridad u organismo público (con algunas excepciones para los tribunales en ejercicio de sus funciones judiciales). Segundo, cuando las actividades principales del responsable o del encargado del tratamiento consisten en operaciones que requieren una observación habitual y sistemática de interesados a gran escala (piensa en una plataforma de publicidad digital que monitoriza el comportamiento de millones de usuarios). Y tercero, cuando las actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos (salud, datos biométricos, ideología política, afiliación sindical, religión, vida sexual) o de datos relativos a condenas e infracciones penales.
La pregunta que inevitablemente surge es qué significa «a gran escala». El Grupo de Trabajo del Artículo 29 (hoy Comité Europeo de Protección de Datos) publicó orientaciones que apuntan a factores como el número de personas afectadas, el volumen de datos, la extensión geográfica del tratamiento y su duración. No hay un umbral numérico exacto, lo que genera incertidumbre, especialmente para empresas medianas en sectores sensibles como salud, seguros o recursos humanos.
Aunque no sea obligatorio, muchas empresas nombran un DPO voluntariamente. Tiene sentido: el DPO actúa como punto de contacto con la autoridad de control, asesora internamente, supervisa el cumplimiento y gestiona las solicitudes de derechos. En organizaciones con volumen significativo de tratamiento de datos, es una inversión que se amortiza rápido.
El DPO puede ser un empleado interno o un externo (muchos despachos y consultoras ofrecen el servicio de DPO externalizado). Lo que no puede ser, según el RGPD, es alguien que reciba instrucciones sobre cómo ejercer sus funciones. Su independencia es condición de su eficacia.
El Registro de Actividades de Tratamiento: el documento que nadie quiere hacer y todos necesitan
Si hay un documento que estructura todo el cumplimiento normativo en materia de protección de datos, es el Registro de Actividades de Tratamiento (RAT). El artículo 30 del RGPD lo exige para la mayoría de empresas, con una excepción limitada para las que tienen menos de 250 empleados y no realizan tratamientos de riesgo, aunque en la práctica esta excepción es más estrecha de lo que parece.
El RAT es básicamente un inventario: qué datos tratas, para qué, con qué base legal, quién tiene acceso, con qué terceros los compartes, cuánto tiempo los conservas y qué medidas de seguridad aplicas. No tiene un formato obligatorio (puede ser un documento Word, una hoja de cálculo o una herramienta especializada), pero sí tiene que contener los elementos que exige el artículo 30.
Es el punto de partida de cualquier auditoría, de cualquier evaluación de impacto y de cualquier respuesta a una inspección de la AEPD. Sin él, no hay cumplimiento real: solo apariencia de cumplimiento.
Brechas de seguridad: el protocolo de las 72 horas
Una brecha de seguridad es cualquier incidente que suponga la destrucción, pérdida, alteración, divulgación no autorizada o acceso indebido a datos personales. Puede ser un ataque de ransomware, un portátil robado, un correo enviado al destinatario equivocado o una base de datos expuesta accidentalmente en internet.
Cuando ocurre una brecha, el responsable del tratamiento tiene 72 horas para notificarlo a la autoridad de control (en España, la AEPD) si la brecha puede suponer un riesgo para los derechos y libertades de las personas afectadas. No es un plazo para tener todo resuelto: es un plazo para informar de lo que se sabe hasta ese momento, con el compromiso de ampliar la información después.
Si la brecha puede suponer un alto riesgo para los afectados (robo de datos bancarios, datos de salud expuestos, información que podría usarse para discriminar o extorsionar), hay que informar también a los propios afectados, sin dilación indebida.
No tener un protocolo de gestión de brechas es uno de los incumplimientos más frecuentes que detecta la AEPD en sus inspecciones. Y no notificar una brecha en plazo es, casi siempre, una infracción grave.
Las multas: cuánto puede costar no cumplir
El RGPD establece un régimen sancionador en dos tramos. Las infracciones menos graves (incumplir obligaciones de responsables y encargados, no designar DPO cuando es obligatorio, no mantener el RAT) pueden llegar a 10 millones de euros o el 2% de la facturación global anual del ejercicio anterior, aplicándose la cifra mayor.
Las infracciones más graves (tratar datos sin base jurídica válida, vulnerar los principios básicos del RGPD, transferir datos internacionalmente sin garantías adecuadas) pueden alcanzar los 20 millones de euros o el 4% del volumen de negocio mundial.
¿Significa esto que una pequeña empresa puede recibir una multa de 20 millones? En teoría sí, aunque la AEPD aplica criterios de proporcionalidad y el volumen de negocio como referencia alternativa. Pero los casos reales muestran que las multas significativas no se limitan a las grandes corporaciones. El año 2025 trajo varias resoluciones sancionadoras de la AEPD contra pymes y microempresas con cifras entre 3.000 y 50.000 euros, perfectamente capaces de dejar fuera de juego a un negocio pequeño.
Más allá de las multas, las sanciones pueden incluir la limitación o prohibición temporal del tratamiento, lo que en muchos negocios digitales equivale a paralizarlos.
La AEPD: cómo actúa y qué busca
La Agencia Española de Protección de Datos es la autoridad de control competente en España. Actúa de oficio (por iniciativa propia), a través de denuncias de particulares y en coordinación con otras autoridades europeas a través del Comité Europeo de Protección de Datos.
En los últimos años, la AEPD ha priorizado varios ámbitos: el uso de cookies sin consentimiento válido, las transferencias internacionales de datos sin garantías adecuadas (especialmente tras la invalidación del Privacy Shield en 2020, aunque las Cláusulas Contractuales Tipo siguen vigentes), el uso ilícito de datos para publicidad comportamental y las brechas de seguridad no notificadas.
La AEPD publica sus resoluciones, lo que permite hacer un seguimiento de las tendencias sancionadoras. Leerlas de vez en cuando no es solo entretenimiento jurídico: es inteligencia competitiva sobre qué está mirando el regulador.
Por dónde empezar: un mapa mental para empresas
Si tu empresa aún no tiene un programa de protección de datos en marcha, o si lo que tienes es más simbólico que real, el punto de partida no es contratar el software más caro del mercado. Es entender qué datos tratas y por qué.
El primer paso es el inventario: identificar todos los tratamientos que realiza la empresa, desde la nómina hasta la base de datos de clientes, pasando por las cámaras de videovigilancia si las hay o el sistema de control de accesos. Ese inventario da forma al RAT.
El segundo paso es la base jurídica: para cada tratamiento identificado, determinar sobre qué base legal se sustenta. Si no hay una base clara, el tratamiento no puede realizarse.
El tercer paso es la información: revisar todos los textos informativos (política de privacidad, avisos en formularios, cláusulas en contratos) para asegurarse de que cumplen con los requisitos de transparencia del RGPD.
Y el cuarto paso, que muchas empresas saltan demasiado pronto, es la seguridad: implementar medidas técnicas y organizativas adecuadas al riesgo, incluyendo la formación de empleados, que siguen siendo el eslabón más vulnerable en la mayoría de las brechas de seguridad.
Transferencias internacionales: el capítulo que más sorpresas da
Uno de los aspectos más frecuentemente ignorados en la protección de datos empresarial es el de las transferencias internacionales. Si tu empresa usa servicios en la nube de proveedores estadounidenses (y casi todas las empresas lo hacen), es probable que estés transfiriendo datos personales fuera del Espacio Económico Europeo.
El RGPD no prohíbe estas transferencias, pero las condiciona a que existan garantías adecuadas. Los mecanismos más habituales son las Decisiones de Adecuación de la Comisión Europea (que reconocen que un país tercero ofrece un nivel de protección equivalente al europeo) y las Cláusulas Contractuales Tipo, que son los contratos estándar aprobados por la Comisión que se incorporan a los acuerdos con los proveedores.
Desde la aprobación del EU-US Data Privacy Framework en 2023, las transferencias hacia empresas estadounidenses certificadas vuelven a tener un cauce más directo, aunque su solidez jurídica sigue siendo debatida en algunos círculos académicos y sigue teniendo impugnaciones pendientes.
Preguntas que nos hacen cada semana
¿Mi pyme de tres personas tiene que cumplir el RGPD?
Sí. El tamaño no importa. Si tratáis datos personales de clientes, proveedores o empleados, estáis obligados. Ahora bien, las medidas deben ser proporcionales. Un autónomo no necesita la misma infraestructura que un banco, pero necesita saber qué datos tiene, por qué los tiene y cómo los protege.
¿Cuánto cuesta no cumplir?
Entre 20 millones de euros o el 4% de la facturación anual mundial para infracciones graves. En España hemos visto sanciones de 30.000 euros a pymes por enviar mails sin consentimiento, y de varios millones a grandes operadores por filtraciones masivas. El coste del cumplimiento suele ser una fracción ínfima del coste de la sanción.
¿Puedo seguir usando Google Analytics?
Podéis usarlo, pero con matices. Desde la anulación del Privacy Shield por el TJUE en 2020, las transferencias de datos personales a EE.UU. requieren garantías adicionales. Google ofrece Cláusulas Contractuales Tipo, pero debéis evaluar si la configuración de vuestra propiedad cumple con el principio de minimización. Algunas empresas están migrando a alternativas europeas como Matomo por precaución.
¿Qué es el registro de actividades y por qué me da pereza?
Es el documento donde explicáis qué datos tratáis, con qué finalidad, durante cuánto tiempo y con qué base legal. La pereza es comprensible, pero es vuestra mejor defensa ante una inspección. Si tenéis el registro ordenado, demostráis que pensáis en protección de datos, no que os ha pillado el toro.
¿Necesito un delegado de protección de datos?
Solo si sois autoridad pública, tratáis datos a gran escala de forma sistemática, o tratáis categorías especiales de datos (salud, ideología, etc.). Si no es vuestro caso, no es obligatorio, aunque contratar asesoramiento externo puntual suele ser una inversión inteligente.
¿Cómo empiezo sin abrumarme?
Haced un inventario de los datos que tenéis. Eso ya es el 50% del trabajo. Luego identificad quién tiene acceso, por qué lo tiene, y si realmente lo necesita. El resto son medidas técnicas que se implementan poco a poco. No tenéis que hacerlo todo en un día, pero sí tenéis que empezar.
Una última reflexión
La protección de datos no es un capricho burocrático. Es la respuesta legal a un problema real: nuestra información personal vale dinero, y hay quien la explota sin escrúpulos. El RGPD intenta devolver el control a las personas, y eso incluye a vuestros clientes.
Cumplir no es solo evitar multas. Es construir confianza. Un cliente que sabe que cuidáis sus datos es un cliente que vuelve. Y en un mercado donde la diferencia entre tú y tu competidor a veces es solo una cuestión de percepción, la confianza es un activo.
En Laworatory no vendemos miedo. Os ayudamos a entender qué os aplica, qué no, y cómo implementarlo sin que vuestra empresa se convierta en una oficina de papeleo. Contactadnos y empezamos con una auditoría básica. No es tan dramático como parece.
Este artículo tiene fines informativos y no constituye asesoramiento legal. Cada caso requiere análisis individualizado por un profesional cualificado.
