Q: ¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos (DPO)?

El GDPR (art. 37) establece tres supuestos en que el DPO es obligatorio: (1) Autoridades u organismos públicos. (2) Empresas que realizan tratamientos a gran escala de datos de categorías especiales (salud, datos biométricos, opiniones políticas) — ej.: hospitales, aseguradoras, centros de salud. (3) Empresas cuya actividad principal consiste en la observación habitual y sistemática a gran escala de interesados — ej.: empresas de adtech, aplicaciones de tracking, operadores de cámaras de vigilancia masiva. En la práctica, la mayoría de PYMEs NO están obligadas a nombrar DPO. Sin embargo, la LOPDGDD española (art. 34) amplía los supuestos obligatorios en España respecto al GDPR base, incluyendo colegios profesionales, centros docentes, entidades de servicios de inversión, aseguradoras, entidades de crédito y empresas de publicidad. La AEPD tiene un canal de contacto de DPOs donde las empresas obligadas deben registrar los datos del DPO.

Q: ¿Qué es una brecha de seguridad de datos y cuándo hay que notificarla?

Una brecha de seguridad de datos (data breach) es cualquier incidente de seguridad que provoque la destrucción accidental o ilícita, pérdida, alteración, comunicación no autorizada o acceso no autorizado a datos personales. Ejemplos: ataque de ransomware que cifra la base de datos de clientes, envío de email con datos de clientes a un destinatario erróneo, robo de un portátil con datos sin cifrar, empleado que accede a datos de clientes sin autorización. La notificación a la AEPD (art. 33 GDPR) es obligatoria cuando la brecha pueda entrañar riesgo para los derechos y libertades de las personas físicas. El plazo es de 72 horas desde que la empresa tiene conocimiento de la brecha. Si la brecha supone riesgo ALTO para los interesados (robo de contraseñas, datos de salud, datos financieros), también hay que notificar a los afectados directamente sin dilación indebida (art. 34 GDPR). Las brechas que no suponen riesgo (ej.: un papel con datos de un empleado que se tiró a la papelera y no era reciclaje) deben documentarse internamente pero no notificarse.

Q: ¿Cuáles son los derechos de los interesados bajo el GDPR y cómo gestionarlos?

El GDPR reconoce 8 derechos a las personas cuyos datos trata tu empresa: (1) Derecho de acceso (art. 15): el interesado puede solicitar qué datos tienes de él, para qué, con quién se comparten. Plazo: 1 mes. (2) Derecho de rectificación (art. 16): corrección de datos inexactos o incompletos. Plazo: 1 mes. (3) Derecho de supresión o "derecho al olvido" (art. 17): eliminar los datos cuando ya no son necesarios para el fin para el que se recogieron. (4) Derecho de limitación del tratamiento (art. 18): en determinados casos el interesado puede pedir que se "congelen" sus datos sin eliminarlos. (5) Derecho de portabilidad (art. 20): recibir los datos en formato estructurado y de uso común para transmitirlos a otro responsable. Solo aplica para tratamientos automatizados con base legal de consentimiento o contrato. (6) Derecho de oposición (art. 21): oponerse a tratamientos basados en interés legítimo. (7) Derechos relativos a decisiones automatizadas (art. 22): no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos significativos. (8) Derecho a retirar el consentimiento en cualquier momento. Las empresas tienen 1 mes para responder a cada solicitud (prorrogable a 3 meses en casos complejos).

Q: ¿Cuáles son las multas del GDPR y cómo las aplica la AEPD en España?

El GDPR (art. 83) establece dos niveles de multas: Infracciones graves: hasta €10.000.000 o el 2% del volumen de negocios anual global del ejercicio anterior (lo que sea mayor). Incluyen: incumplimiento de los principios de protección de datos (art. 5), ausencia de base legal para el tratamiento (art. 6), no cumplir los derechos de los interesados, no notificar brechas. Infracciones muy graves: hasta €20.000.000 o el 4% del volumen de negocios anual global (lo que sea mayor). Incluyen: infracción de los principios del consentimiento, violación de derechos de protección de datos especiales, transferencias internacionales ilícitas. En España, la AEPD aplica las multas de forma escalonada. Para empresas pequeñas, las multas son significativamente menores en valores absolutos. La AEPD tiene un procedimiento de apercibimiento para PYMEs en primera infracción sin intencionalidad. En 2025, la AEPD impuso multas por valor total de €180M, con casos relevantes en sector salud (€300k por venta de datos sin consentimiento), telecomunicaciones y sector financiero.

Q: ¿Qué es el Registro de Actividades de Tratamiento (RoPA) y cuándo es obligatorio?

El Registro de Actividades de Tratamiento (RoPA, art. 30 GDPR) es un inventario interno de todos los tratamientos de datos personales que realiza la empresa. Para cada tratamiento debe constar: nombre y datos de contacto del responsable, finalidad del tratamiento, descripción de los interesados y categorías de datos, destinatarios de los datos (quién los recibe), transferencias internacionales, plazos de supresión previstos, medidas de seguridad generales. Las empresas con MENOS de 250 empleados están exentas de mantener el RoPA si: el tratamiento no es habitual, no supone riesgo para los interesados, y no trata categorías especiales de datos. Pero en la práctica, casi todas las empresas (incluso pequeñas) tratan datos de forma habitual (empleados, clientes, proveedores), por lo que la exención raramente aplica. La AEPD puede solicitar el RoPA en cualquier inspección. No tenerlo cuando es obligatorio es una infracción sancionable.

Q: ¿Necesita mi PYME un DPO o es suficiente con una consultoría externa de GDPR?

Depende de si el DPO es obligatorio para tu empresa. Si no es obligatorio, puedes optar por: (1) Consultoría externa de GDPR (la opción más común para PYMEs): una consultora redacta los documentos (política de privacidad, cláusulas contractuales, RoPA) y hace una auditoría anual. Coste: €2.000-€10.000/año. Desventaja: los documentos se quedan obsoletos rápidamente y la empresa no tiene capacidad interna para mantenerlos actualizados. (2) Herramientas de cumplimiento GDPR (tipo IgeraRegtech): la empresa gestiona el cumplimiento internamente con asistencia de IA. El sistema consulta la norma actualizada, genera alertas de cambios legislativos y mantiene el RoPA actualizado. (3) DPO externo compartido: si la empresa necesita DPO pero no justifica uno a tiempo completo, puede contratar un DPO externo compartido por varias empresas (práctica permitida por el GDPR). Coste: €1.500-€5.000/mes. Para la mayoría de PYMEs sin tratamientos de alto riesgo, la combinación de una consultoría inicial de adaptación + herramienta de mantenimiento continuo es la solución más eficiente en coste.

Q: ¿Cómo afecta el GDPR al uso de Google Analytics, cookies y marketing digital?

El GDPR ha transformado el marketing digital de las empresas: (1) Cookies y consentimiento: desde la Sentencia Planet49 del TJUE (2019) y la Guía sobre el uso de cookies de la AEPD (2020), las cookies de análisis y marketing requieren consentimiento informado, previo, libre y específico. No basta con que el banner aparezca — el usuario debe hacer clic activo en "Aceptar". Las cookies técnicas (sesión, carrito de compra) no requieren consentimiento. (2) Google Analytics: los datos de los usuarios de tu web se transfieren a servidores de Google en EEUU, lo que requiere justificación bajo el Marco de Protección de Datos UE-EEUU (Privacy Framework, vigente desde 2023). Si Google está adherido al Privacy Framework (sí lo está), la transferencia es lícita. Pero si usas GA sin avisar al usuario, es infracción GDPR. (3) Email marketing: el envío de correos comerciales a personas físicas requiere consentimiento expreso (opt-in) y el derecho a darse de baja de forma sencilla en cada email. (4) Retargeting y anuncios personalizados: la publicidad basada en perfiles de comportamiento requiere consentimiento. La retirada del consentimiento debe ser tan fácil como otorgarlo.

Question 1

¿Qué es el GDPR/RGPD y a qué empresas aplica en España?

Accepted Answer

El GDPR (General Data Protection Regulation) o RGPD en español (Reglamento General de Protección de Datos) es el Reglamento (UE) 2016/679 del Parlamento Europeo, aplicable desde el 25 de mayo de 2018. En España se complementa con la Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD). Aplica a CUALQUIER organización que trate datos personales de personas físicas en la UE, sin importar su tamaño. Una PYME de 5 empleados que tiene la agenda de clientes en Excel está sujeta al GDPR. Aplica también a empresas fuera de la UE si ofrecen bienes o servicios a personas en la UE o monitorizan su comportamiento (principio de extraterritorialidad). Lo que varía según el tamaño de la empresa no es si aplica el GDPR, sino qué obligaciones son más relevantes: las empresas con menos de 250 empleados tienen algunas excepciones en el Registro de Actividades de Tratamiento, pero no están exentas del GDPR.

Question 2

¿Qué datos personales protege el GDPR?

Accepted Answer

El GDPR protege los datos personales, definidos como "toda información sobre una persona física identificada o identificable". Esto incluye: Datos básicos: nombre, apellidos, DNI/NIF, dirección, email, teléfono, fecha de nacimiento. Datos online: dirección IP, cookies de seguimiento, identificadores de dispositivo, datos de geolocalización. Datos laborales: nóminas, expediente laboral, evaluaciones de rendimiento. Datos económicos: número de cuenta, historial de crédito. Datos de salud: historiales médicos, bajas laborales, discapacidades. Datos biométricos: huella dactilar, reconocimiento facial. Opiniones políticas, religiosas o sindicales: datos de "categoría especial" con protección reforzada. Registros fotográficos y de vídeo: grabaciones de seguridad, fotos de empleados. Cualquier dato que permita identificar directa o indirectamente a una persona es dato personal. Los datos de empresas (razón social, CIF) NO son datos personales bajo el GDPR — son datos de la empresa. Sí son personales los datos del autónomo o del representante de la empresa como persona física.

Question 3

¿Cuáles son las principales obligaciones de una PYME bajo el GDPR?

Accepted Answer

Las obligaciones principales de una PYME bajo el GDPR son: (1) Base legal para cada tratamiento: debe haber una base legal para tratar cada tipo de dato (consentimiento, contrato, obligación legal, interés legítimo). No puedes usar datos sin justificación. (2) Principios de protección de datos: minimización (solo recoger los datos necesarios), limitación del plazo de conservación (no guardar eternamente), integridad y confidencialidad. (3) Información a los interesados: cuando recoges datos personales debes informar de quién los recoge, para qué, cuánto tiempo se conservan, con quién se comparten y qué derechos tiene el interesado (cláusulas de privacidad en formularios, aviso legal web). (4) Registro de Actividades de Tratamiento (RoPA): inventario de todos los tratamientos de datos que realiza la empresa. Las empresas con <250 empleados están exentas si los tratamientos no implican datos especiales, no son habituales o no entrañan riesgo. (5) Medidas de seguridad técnicas y organizativas: cifrado, controles de acceso, copias de seguridad, formación del personal. (6) Gestión de brechas de seguridad: notificar a la AEPD en 72 horas si hay una brecha que suponga riesgo para los interesados.

Question 4

¿Cuándo es obligatorio nombrar un Delegado de Protección de Datos (DPO)?

Accepted Answer

El GDPR (art. 37) establece tres supuestos en que el DPO es obligatorio: (1) Autoridades u organismos públicos. (2) Empresas que realizan tratamientos a gran escala de datos de categorías especiales (salud, datos biométricos, opiniones políticas) — ej.: hospitales, aseguradoras, centros de salud. (3) Empresas cuya actividad principal consiste en la observación habitual y sistemática a gran escala de interesados — ej.: empresas de adtech, aplicaciones de tracking, operadores de cámaras de vigilancia masiva. En la práctica, la mayoría de PYMEs NO están obligadas a nombrar DPO. Sin embargo, la LOPDGDD española (art. 34) amplía los supuestos obligatorios en España respecto al GDPR base, incluyendo colegios profesionales, centros docentes, entidades de servicios de inversión, aseguradoras, entidades de crédito y empresas de publicidad. La AEPD tiene un canal de contacto de DPOs donde las empresas obligadas deben registrar los datos del DPO.

Question 5

¿Qué es una brecha de seguridad de datos y cuándo hay que notificarla?

Accepted Answer

Una brecha de seguridad de datos (data breach) es cualquier incidente de seguridad que provoque la destrucción accidental o ilícita, pérdida, alteración, comunicación no autorizada o acceso no autorizado a datos personales. Ejemplos: ataque de ransomware que cifra la base de datos de clientes, envío de email con datos de clientes a un destinatario erróneo, robo de un portátil con datos sin cifrar, empleado que accede a datos de clientes sin autorización. La notificación a la AEPD (art. 33 GDPR) es obligatoria cuando la brecha pueda entrañar riesgo para los derechos y libertades de las personas físicas. El plazo es de 72 horas desde que la empresa tiene conocimiento de la brecha. Si la brecha supone riesgo ALTO para los interesados (robo de contraseñas, datos de salud, datos financieros), también hay que notificar a los afectados directamente sin dilación indebida (art. 34 GDPR). Las brechas que no suponen riesgo (ej.: un papel con datos de un empleado que se tiró a la papelera y no era reciclaje) deben documentarse internamente pero no notificarse.

Question 6

¿Cuáles son los derechos de los interesados bajo el GDPR y cómo gestionarlos?

Accepted Answer

El GDPR reconoce 8 derechos a las personas cuyos datos trata tu empresa: (1) Derecho de acceso (art. 15): el interesado puede solicitar qué datos tienes de él, para qué, con quién se comparten. Plazo: 1 mes. (2) Derecho de rectificación (art. 16): corrección de datos inexactos o incompletos. Plazo: 1 mes. (3) Derecho de supresión o "derecho al olvido" (art. 17): eliminar los datos cuando ya no son necesarios para el fin para el que se recogieron. (4) Derecho de limitación del tratamiento (art. 18): en determinados casos el interesado puede pedir que se "congelen" sus datos sin eliminarlos. (5) Derecho de portabilidad (art. 20): recibir los datos en formato estructurado y de uso común para transmitirlos a otro responsable. Solo aplica para tratamientos automatizados con base legal de consentimiento o contrato. (6) Derecho de oposición (art. 21): oponerse a tratamientos basados en interés legítimo. (7) Derechos relativos a decisiones automatizadas (art. 22): no ser objeto de decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos significativos. (8) Derecho a retirar el consentimiento en cualquier momento. Las empresas tienen 1 mes para responder a cada solicitud (prorrogable a 3 meses en casos complejos).

Question 7

¿Cuáles son las multas del GDPR y cómo las aplica la AEPD en España?

Accepted Answer

El GDPR (art. 83) establece dos niveles de multas: Infracciones graves: hasta €10.000.000 o el 2% del volumen de negocios anual global del ejercicio anterior (lo que sea mayor). Incluyen: incumplimiento de los principios de protección de datos (art. 5), ausencia de base legal para el tratamiento (art. 6), no cumplir los derechos de los interesados, no notificar brechas. Infracciones muy graves: hasta €20.000.000 o el 4% del volumen de negocios anual global (lo que sea mayor). Incluyen: infracción de los principios del consentimiento, violación de derechos de protección de datos especiales, transferencias internacionales ilícitas. En España, la AEPD aplica las multas de forma escalonada. Para empresas pequeñas, las multas son significativamente menores en valores absolutos. La AEPD tiene un procedimiento de apercibimiento para PYMEs en primera infracción sin intencionalidad. En 2025, la AEPD impuso multas por valor total de €180M, con casos relevantes en sector salud (€300k por venta de datos sin consentimiento), telecomunicaciones y sector financiero.

Question 8

¿Qué es el Registro de Actividades de Tratamiento (RoPA) y cuándo es obligatorio?

Accepted Answer

El Registro de Actividades de Tratamiento (RoPA, art. 30 GDPR) es un inventario interno de todos los tratamientos de datos personales que realiza la empresa. Para cada tratamiento debe constar: nombre y datos de contacto del responsable, finalidad del tratamiento, descripción de los interesados y categorías de datos, destinatarios de los datos (quién los recibe), transferencias internacionales, plazos de supresión previstos, medidas de seguridad generales. Las empresas con MENOS de 250 empleados están exentas de mantener el RoPA si: el tratamiento no es habitual, no supone riesgo para los interesados, y no trata categorías especiales de datos. Pero en la práctica, casi todas las empresas (incluso pequeñas) tratan datos de forma habitual (empleados, clientes, proveedores), por lo que la exención raramente aplica. La AEPD puede solicitar el RoPA en cualquier inspección. No tenerlo cuando es obligatorio es una infracción sancionable.

Question 9

¿Necesita mi PYME un DPO o es suficiente con una consultoría externa de GDPR?

Accepted Answer

Depende de si el DPO es obligatorio para tu empresa. Si no es obligatorio, puedes optar por: (1) Consultoría externa de GDPR (la opción más común para PYMEs): una consultora redacta los documentos (política de privacidad, cláusulas contractuales, RoPA) y hace una auditoría anual. Coste: €2.000-€10.000/año. Desventaja: los documentos se quedan obsoletos rápidamente y la empresa no tiene capacidad interna para mantenerlos actualizados. (2) Herramientas de cumplimiento GDPR (tipo IgeraRegtech): la empresa gestiona el cumplimiento internamente con asistencia de IA. El sistema consulta la norma actualizada, genera alertas de cambios legislativos y mantiene el RoPA actualizado. (3) DPO externo compartido: si la empresa necesita DPO pero no justifica uno a tiempo completo, puede contratar un DPO externo compartido por varias empresas (práctica permitida por el GDPR). Coste: €1.500-€5.000/mes. Para la mayoría de PYMEs sin tratamientos de alto riesgo, la combinación de una consultoría inicial de adaptación + herramienta de mantenimiento continuo es la solución más eficiente en coste.

Question 10

¿Cómo afecta el GDPR al uso de Google Analytics, cookies y marketing digital?

Accepted Answer

El GDPR ha transformado el marketing digital de las empresas: (1) Cookies y consentimiento: desde la Sentencia Planet49 del TJUE (2019) y la Guía sobre el uso de cookies de la AEPD (2020), las cookies de análisis y marketing requieren consentimiento informado, previo, libre y específico. No basta con que el banner aparezca — el usuario debe hacer clic activo en "Aceptar". Las cookies técnicas (sesión, carrito de compra) no requieren consentimiento. (2) Google Analytics: los datos de los usuarios de tu web se transfieren a servidores de Google en EEUU, lo que requiere justificación bajo el Marco de Protección de Datos UE-EEUU (Privacy Framework, vigente desde 2023). Si Google está adherido al Privacy Framework (sí lo está), la transferencia es lícita. Pero si usas GA sin avisar al usuario, es infracción GDPR. (3) Email marketing: el envío de correos comerciales a personas físicas requiere consentimiento expreso (opt-in) y el derecho a darse de baja de forma sencilla en cada email. (4) Retargeting y anuncios personalizados: la publicidad basada en perfiles de comportamiento requiere consentimiento. La retirada del consentimiento debe ser tan fácil como otorgarlo.

GDPR para PYMEs: Obligaciones, Multas y Cómo Cumplir el RGPD en España

Preguntas frecuentes