Prueba gratis

Normativa

LOPDGDD: lo que toda pyme tiene que tener atado en protección de datos

Registro de actividades, contratos con encargados de tratamiento y derecho de acceso. La protección de datos no es solo el aviso de cookies.

Saúl García · Cofundador y co-CEO 7 min de lectura

El cumplimiento de protección de datos en España se asienta sobre dos textos: el Reglamento (UE) 2016/679 (RGPD), directamente aplicable desde mayo de 2018, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), que adapta el RGPD al ordenamiento español. Si tu pyme tiene una sola persona empleada, una base de clientes o una web con formulario, la norma te aplica desde el minuto uno.

El error más caro que comete una pyme es pensar que "como soy pequeño, la AEPD no me mira". En 2025 la Agencia Española de Protección de Datos impuso 299 sanciones económicas por valor cercano a 40 millones de euros, un 14% más que en 2024. Las sanciones a pymes y autónomos no son anecdóticas: el grueso de las multas se concentra en empresas con menos de 50 empleados, por temas tan cotidianos como una cámara mal orientada, un email sin copia oculta o un formulario web sin información clara.

Esta guía recoge lo mínimo no negociable para que una pyme española esté en regla en 2025-2026: registro de actividades, encargados de tratamiento, brechas de seguridad, atención de derechos, sanciones reales y el papel de Beply como herramienta de cumplimiento.

El RGPD fija los principios y los derechos. La LOPDGDD aterriza ciertos artículos al contexto español (videovigilancia, datos de menores, denunciantes, cláusula laboral, etc.). Y el Esquema Nacional de Seguridad (ENS), regulado por el RD 311/2022, aplica si trabajas con administraciones públicas o gestionas información considerada sensible: te obliga a categorizar sistemas y aplicar medidas técnicas concretas.

El Registro de Actividades de Tratamiento (RAT)

El artículo 30 del RGPD obliga a llevar un Registro de Actividades de Tratamiento a todo responsable o encargado, con la única excepción de empresas de menos de 250 empleados que no traten datos sensibles ni realicen tratamientos habituales. Esta excepción casi nunca se cumple en una pyme real: tener nóminas, una base de clientes o una web ya descarta la excepción.

Qué debe contener el RAT

  • Identificación y datos de contacto del responsable (y del DPD si aplica).
  • Finalidades del tratamiento (RRHH, clientes, prospección, videovigilancia, etc.).
  • Categorías de interesados y de datos personales.
  • Categorías de destinatarios (incluyendo terceros países si los hay).
  • Plazos de conservación previstos.
  • Medidas técnicas y organizativas de seguridad.

No tener RAT actualizado se considera infracción grave (art. 73 LOPDGDD) y la AEPD lo pide en cualquier inspección.

Encargados de tratamiento: el contrato del artículo 28

Cualquier proveedor que acceda a datos personales por cuenta de tu empresa es encargado de tratamiento: la asesoría que lleva tu contabilidad, el proveedor de email marketing, el SaaS de gestión, la plataforma de nóminas, el call center... Y todos ellos requieren un contrato escrito ex artículo 28 RGPD que recoja:

  • Objeto, duración, naturaleza y finalidad del tratamiento.
  • Categorías de datos y de interesados.
  • Obligaciones del encargado (confidencialidad, seguridad, suprimir o devolver al final, asistencia al responsable).
  • Régimen de subencargados (autorización previa expresa o general).
  • Régimen de transferencias internacionales si las hubiera.

Sin ese contrato, la AEPD considera que has cedido datos sin base legal y la sanción cae sobre el responsable.

Brechas de seguridad: 72 horas para notificar

El artículo 33 del RGPD obliga al responsable a notificar a la AEPD cualquier brecha de datos personales sin dilación indebida y, a más tardar, en un plazo de 72 horas desde que se tiene conocimiento, salvo que sea improbable que la brecha implique riesgo. La notificación se hace a través de la sede electrónica de la AEPD (formulario "NBS - Notificación de Brechas de Seguridad").

Qué debe contener la notificación

  1. Naturaleza de la brecha y categorías y número aproximado de afectados.
  2. Datos de contacto del DPD o persona responsable.
  3. Consecuencias probables.
  4. Medidas adoptadas o propuestas para resolver y mitigar la brecha.

Si la brecha implica riesgo alto para los derechos de los afectados (por ejemplo, filtración de contraseñas o datos bancarios), también hay que comunicarlo a los propios interesados (art. 34 RGPD) en lenguaje claro y comprensible.

Errores comunes en brechas

  • No tener registro interno de incidentes (es obligatorio aunque no notifiques).
  • Tardar 72 horas en darse cuenta porque nadie estaba mirando los logs.
  • Notificar tarde "porque no estábamos seguros del alcance"; la AEPD permite notificar por fases.

Evaluación de Impacto (EIPD) y Delegado de Protección de Datos (DPD)

Cuando el tratamiento implique alto riesgo (perfilado masivo, datos de salud, datos biométricos, videovigilancia extensa, etc.) hay que hacer una Evaluación de Impacto en Protección de Datos antes de empezar. La AEPD publica una lista de tratamientos que la requieren obligatoriamente.

El nombramiento de un Delegado de Protección de Datos (DPD) es obligatorio en sectores como sanidad, seguros, banca, formación, agencias de publicidad con perfilado o cualquier autoridad pública (art. 34 LOPDGDD). El DPD puede ser interno o externo y se comunica a la AEPD a través de la sede.

Derechos ARCO-POL: cómo responder en plazo

Cualquier interesado puede ejercer ante tu empresa los siguientes derechos: Acceso, Rectificación, Cancelación (Supresión), Oposición, Portabilidad, Olvido y Limitación. Tienes un mes para responder, prorrogable a dos meses en casos complejos. La respuesta debe ser por escrito y motivada, incluso si es para denegar.

El silencio o la denegación injustificada es una de las causas más frecuentes de denuncia ante la AEPD. Documenta cada solicitud con fecha de entrada, identificación del solicitante, derecho ejercido y respuesta. Es la única forma de defender que actuaste correctamente.

Sanciones: cuantías y casuística

El régimen sancionador del RGPD y la LOPDGDD distingue tres niveles:

  • Infracciones leves (art. 74 LOPDGDD): hasta 40.000 €. Por ejemplo, no atender un derecho ARCO-POL, errores formales en cláusulas informativas.
  • Infracciones graves (art. 73): de 40.001 € a 300.000 €. Tratar datos sin base jurídica, no llevar RAT, no firmar contratos con encargados.
  • Infracciones muy graves (art. 72): de 300.001 € hasta 20 millones de euros o el 4% del volumen de negocio anual global del grupo, lo que sea mayor.

La AEPD aplica el principio de proporcionalidad: para una pyme, las multas se modulan según el volumen de negocio, la intencionalidad, la reincidencia y la cooperación con la autoridad. Las multas tipo en pymes oscilan entre 5.000 € y 60.000 €. Sanciones recientes muy citadas: comunidades de propietarios con cámaras mal señalizadas (2.000-6.000 €), pequeñas asesorías que envían emails masivos sin copia oculta (5.000-10.000 €), e-commerce con cookies sin consentimiento granular (20.000-100.000 €).

Checklist mínimo para una pyme española

  1. Registro de Actividades de Tratamiento (RAT) escrito y revisado anualmente.
  2. Política de privacidad y avisos en formularios web, contratos y emails.
  3. Cláusulas informativas en contratos laborales y de prestación de servicios.
  4. Contratos artículo 28 firmados con todos los proveedores que tratan datos.
  5. Procedimiento escrito para atender derechos ARCO-POL en menos de un mes.
  6. Procedimiento de gestión y notificación de brechas en 72 horas.
  7. Política de contraseñas, copias de seguridad y cifrado de dispositivos.
  8. Formación inicial y reciclaje anual al personal con acceso a datos.
  9. Control de cámaras: cartel informativo visible, grabaciones máximo 30 días.
  10. Consentimiento granular en cookies (analítica, marketing, terceros).

Cómo lo resuelve Beply

Beply ayuda al cumplimiento desde varios frentes: el módulo de facturación guarda las facturas con cifrado en reposo y trazabilidad de cambios, el módulo de gestión documental almacena los contratos del artículo 28 firmados electrónicamente con cada proveedor o asesoría, y el módulo de asesorías permite controlar quién accede a qué datos del cliente con registro de auditoría.

Adicionalmente, Beply firma contrato de encargado de tratamiento con cada cliente desde el alta y mantiene certificaciones de seguridad (ISO 27001 / ENS Medio en proceso). Si trabajas con administración pública, eso es un plus tangible.

Si tu pyme aún no tiene el RAT o no sabes si los contratos con tus proveedores son válidos, te recomendamos hacer una auditoría rápida. Reserva una demo en /contacto o consulta planes en /precios. Para asesorías que gestionan a varios clientes, mira nuestro plan específico en /asesorias.

#lopdgdd#rgpd#proteccion-datos#cumplimiento
Compartir:

¿Te ha resultado útil esta página?

¿Aún tienes dudas?

Habla con nuestro equipo y te resolvemos cualquier duda al instante.