RGPD para pymes: cómo cumplir la normativa de protección de datos paso a paso
El Reglamento General de Protección de Datos lleva vigente desde mayo de 2018. Casi ocho años después, sigo encontrándome pymes que lo cumplen a medias o no lo cumplen en absoluto. No es por mala fe. La norma intimida, los recursos escasean y el riesgo parece teórico hasta el día en que llega una reclamación de un cliente enfadado o un requerimiento de la Agencia Española de Protección de Datos. Ahí deja de ser teoría.
Y conviene saber una cosa de 2026: la AEPD ya no centra su actividad sancionadora en las grandes corporaciones. Las pymes están dentro del radar.
Esto no es un repaso académico al RGPD para pymes. Es lo que tienes que hacer, en qué orden y con qué herramientas, para dejar de estar expuesto.
¿Qué es el RGPD y a quién afecta?
El RGPD regula cómo las empresas recogen, almacenan, procesan y eliminan datos personales de ciudadanos de la UE. En España no va solo: se aplica junto a la LOPDGDD, la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales. Cuando alguien te diga "es que la ley española dice otra cosa", lo normal es que esté mezclando ambas. Funcionan en bloque.
¿Qué son datos personales?
Más de lo que la gente cree. Cualquier información que identifique a una persona, directa o indirectamente, entra: nombre, email, teléfono, dirección, DNI, datos bancarios, fotos, datos de salud, ubicación. También la dirección IP y las cookies de navegación, aunque a primera vista no parezcan "datos de nadie". Lo son.
¿A quién afecta?
A todas las empresas y autónomos que traten datos personales, sin importar el tamaño. No hay umbral mínimo, no hay excepción para "los pequeños". Si tienes una base de datos de clientes, mandas newsletters, usas formularios web, gestionas nóminas o tienes una cámara de vigilancia apuntando a la calle, el RGPD te aplica. Punto.
Las 8 obligaciones clave del RGPD para pymes
1. Registro de actividades de tratamiento
Es el documento que demuestra que sabes qué haces con los datos. Tienes que dejar por escrito todos tus tratamientos: qué datos recoges, para qué los usas, quién tiene acceso, cuánto tiempo los conservas y qué medidas de seguridad aplicas.
Mañana por la mañana, antes que nada: entra en FACILITA RGPD, la herramienta gratuita de la AEPD pensada para pymes. Te guía paso a paso para construir este registro sin necesidad de un jurista al lado.
2. Base legal para cada tratamiento
Aquí está uno de los errores más comunes que veo: tratar datos sin tener claro por qué se puede. Cada tratamiento necesita una base legal válida, y para una pyme casi siempre cae en una de estas cuatro.
El consentimiento es el más conocido: el usuario acepta de forma explícita, como cuando se suscribe a tu newsletter. La ejecución de un contrato cubre los datos que necesitas para prestar el servicio que te han contratado. La obligación legal aparece cuando es la propia ley la que te obliga a tratar esos datos, por ejemplo en facturación o en las altas en Seguridad Social. Y queda el interés legítimo: un interés razonable tuyo que no pisa los derechos del usuario, como hacer marketing directo a clientes que ya tienes. Si no sabes encajar un tratamiento en ninguna, probablemente no deberías estar haciéndolo.
3. Información y transparencia
El usuario tiene derecho a saber qué haces con sus datos, y tú la obligación de contárselo en cristiano. Esto se concreta en una política de privacidad accesible en tu web, en cláusulas informativas en cada formulario de contacto, registro o contratación, en una política de cookies con un sistema real de gestión del consentimiento (no un banner decorativo que solo dice "aceptar") y en la información correspondiente dentro de los contratos con clientes y proveedores.
4. Derechos de los interesados
Cualquier persona puede pedirte que actúes sobre sus datos, y tienes que estar listo para responder. Estos son los derechos que debes garantizar:
- Acceso: saber qué datos tienes sobre ella.
- Rectificación: corregir datos incorrectos.
- Supresión (derecho al olvido): pedir que elimines sus datos.
- Portabilidad: recibir sus datos en formato legible por máquina.
- Oposición: oponerse a determinados tratamientos, como el marketing.
- Limitación: restringir el uso de sus datos mientras se resuelve una reclamación.
El plazo no es orientativo: tienes un mes como máximo para responder. Si no tienes un procedimiento montado, ese mes se te echa encima.
5. Contratos con encargados de tratamiento
Cada vez que un tercero procesa datos por tu cuenta (la gestoría, tu herramienta de email marketing, el CRM en la nube, el proveedor de hosting), necesitas un contrato de encargado de tratamiento que les ate a cumplir el RGPD. Sin ese papel firmado, la responsabilidad sigue siendo tuya y solo tuya.
6. Medidas de seguridad
La norma no te da una lista cerrada, y eso despista a mucha gente. Lo que exige es que apliques medidas técnicas y organizativas proporcionadas al riesgo. En la práctica, para una pyme eso significa: control de acceso con contraseñas robustas y MFA, cifrado de los datos sensibles, copias de seguridad regulares, software y sistemas actualizados, un equipo formado en protección de datos y una política clara de uso de dispositivos y teletrabajo. Ninguna de estas medidas es exótica ni cara. La excusa del coste no se sostiene.
7. Notificación de brechas de seguridad
Si sufres una brecha de datos personales, el reloj empieza a correr en el momento en que la detectas. Tienes 72 horas para notificarla a la AEPD. Si esa brecha supone un alto riesgo para los afectados, además tienes que avisarles a ellos directamente. Y haya o no riesgo alto, debes documentarla internamente: la gravedad no exime de dejar constancia. El error típico aquí es perder los primeros días "investigando en silencio" y descubrir que el plazo ya ha vencido.
8. Delegado de Protección de Datos (DPO)
Buenas noticias: la mayoría de pymes no está obligada a nombrar DPO. Solo es obligatorio en tres supuestos: si tratas datos a gran escala de forma habitual y sistemática, si tratas a gran escala categorías especiales de datos (salud, religión, orientación sexual, datos biométricos) o si eres un organismo público.
Dicho esto, muchas pymes que no están obligadas contratan igualmente un DPO externo. No por miedo, sino por practicidad: te da un punto de contacto claro para gestionar las solicitudes de derechos y las consultas, y te quita ese trabajo de encima.
Plan de acción: cumple el RGPD en 6 pasos
Paso 1: Haz un inventario de datos (1-2 semanas)
No puedes proteger lo que no sabes que tienes. Localiza todos los datos personales que tratas: clientes, empleados, proveedores, visitantes web, suscriptores de newsletter, candidatos de procesos de selección. De cada grupo anota qué datos manejas, para qué, con qué base legal, quién accede y durante cuánto tiempo los conservas. Este inventario es la base de todo lo demás; si lo haces mal, arrastrarás el error hasta el final.
Paso 2: Actualiza tus textos legales (1 semana)
Toca poner al día la política de privacidad de la web, la política de cookies con su banner de consentimiento, las cláusulas en formularios de contacto y registro, y las cláusulas en los contratos con clientes y empleados. Parte de las plantillas que publica la AEPD, pero adáptalas a tu empresa de verdad. Una plantilla copiada tal cual, con el nombre de otra compañía olvidado dentro, es de los hallazgos más frecuentes en una inspección.
Paso 3: Firma contratos con encargados de tratamiento (1-2 semanas)
Vuelve a tu inventario y marca a cada proveedor que toque datos personales: hosting, email marketing, CRM, gestoría, herramientas cloud. Con cada uno, un contrato de encargado de tratamiento firmado. La buena noticia es que la mayoría de proveedores SaaS ya tienen el suyo publicado en su web; solo hay que localizarlo y aceptarlo formalmente.
Paso 4: Implementa medidas de seguridad (2-4 semanas)
Aquí es donde se ve si vas en serio. Activa la autenticación de dos factores en todas las herramientas, configura copias de seguridad automatizadas, actualiza sistemas y software, impón contraseñas robustas con un gestor para todo el equipo, cifra los portátiles y móviles, y forma a tu gente en protección de datos y phishing. El eslabón débil casi nunca es la tecnología: es la persona que pincha en un correo. La formación no es opcional.
Paso 5: Prepara procedimientos para ejercicio de derechos (1 semana)
Cuando llegue la solicitud de acceso o de supresión (llegará), no es momento de improvisar. Define ahora el proceso interno para responder a acceso, rectificación, supresión, portabilidad y oposición. Designa a un responsable concreto, con nombre, y deja el procedimiento documentado.
Paso 6: Documenta todo (continuo)
El RGPD se basa en el principio de accountability, y conviene entender qué significa: no basta con cumplir, tienes que poder demostrarlo. Si la AEPD pregunta, "lo hacemos pero no está escrito" equivale a no hacerlo. Mantén vivo el registro de actividades, las medidas de seguridad, los contratos, las evaluaciones de impacto y las respuestas a derechos. Esto no se termina nunca; es mantenimiento.
Sanciones por incumplimiento
Las cifras que circulan asustan, y conviene poner cada una en su sitio. El RGPD permite sanciones de hasta 10 millones de euros o el 2 % de la facturación en infracciones graves, y de hasta 20 millones de euros o el 4 % de la facturación en las muy graves.
Esos topes son para los grandes titulares. A una pyme, la AEPD le suele aplicar sanciones proporcionadas: la mayoría se mueve entre 1.000 y 60.000 euros. El problema es que esa proporcionalidad sigue doliendo. Una sanción de 10.000 euros, perfectamente normal, puede tumbar a una microempresa.
Y la multa rara vez viene sola. Una brecha de datos arrastra pérdida de confianza de los clientes, daño reputacional y costes legales que no figuran en ninguna resolución pero que pagas igual.
Herramientas para cumplir el RGPD
No necesitas un presupuesto de gran empresa. Esta es la caja de herramientas básica para una pyme, con su coste real:
| Necesidad | Herramienta | Coste |
|---|---|---|
| Registro de actividades | FACILITA RGPD (AEPD) | Gratuita |
| Política de cookies + banner | Cookiebot, CookieYes | 0-45 €/mes |
| Gestión de consentimientos | OneTrust, Iubenda | 30-100 €/mes |
| Textos legales web | Iubenda, Termly | 0-30 €/mes |
| Gestor de contraseñas | Bitwarden, 1Password | 0-8 €/usuario/mes |
| Cifrado de dispositivos | BitLocker (Windows), FileVault (Mac) | Incluido en SO |
| Formación en protección de datos | AEPD (recursos gratuitos), Incibe | Gratuita |
| Backup automatizado | Backblaze, IDrive | 7-15 €/mes |
Si sumas, buena parte del cumplimiento se cubre con herramientas gratuitas o de pocos euros al mes. Compáralo con una sanción de cinco cifras.
Por dónde empezar mañana
Si has llegado hasta aquí, ya tienes el mapa. Cumplir el RGPD siendo una pyme no es el laberinto que parece desde fuera: es un esfuerzo concentrado de organización y documentación que, bien planteado, se resuelve en pocas semanas. Lo caro nunca es cumplir; lo caro es el día que te toca explicar por qué no lo hiciste.
En Tangram Consulting trabajamos con pymes precisamente en esto: auditoría de cumplimiento, implementación de medidas técnicas, redacción de textos legales y formación del equipo, sin alarmismo y con un plan que se puede ejecutar. Si quieres poner tu empresa al día con la normativa de protección de datos, escríbenos a través del formulario de contacto y lo concretamos.