RGPD

RGPD — Reglamento General de Protección de Datos

El marco europeo de protección de datos personales (Reglamento UE 2016/679). Aplica directamente a toda organización que trate datos de personas en la UE, sin importar dónde esté la empresa.

Para: Cualquier empresa que trate datos de personas en la UE

Formación, no asesoramiento legal

Este contenido tiene fines formativos y de concienciación. No sustituye la asesoría jurídica especializada. Para evaluar la aplicación concreta a vuestra organización (alcance, obligaciones, sanciones), consulta con vuestra asesoría legal o DPO.

Contenido

A quién aplica

A cualquier organización que trate datos personales de personas que estén en la UE, independientemente de dónde esté ubicada la empresa. Si tienes empleados, clientes o usuarios en la UE, te aplica.

Principios (Art. 5)

Licitud, lealtad y transparencia: las personas deben saber qué datos se tratan y por qué.
Limitación de la finalidad: los datos se recogen para fines determinados; no pueden reutilizarse para algo incompatible.
Minimización: solo los datos necesarios.
Exactitud: los datos deben ser correctos y estar actualizados.
Limitación del plazo de conservación: no más tiempo del necesario.
Integridad y confidencialidad: medidas técnicas y organizativas adecuadas.
Responsabilidad proactiva (accountability): hay que poder demostrar el cumplimiento, no solo hacerlo.

Bases legales (Art. 6)

Todo tratamiento de datos necesita una base legal:

Consentimiento (libre, específico, informado, revocable).
Ejecución de un contrato.
Obligación legal.
Interés vital del afectado o un tercero.
Misión de interés público.
Interés legítimo del responsable (con ponderación frente a los derechos del afectado).

Para categorías especiales (salud, ideología, biometría, etc.) hay requisitos adicionales (Art. 9).

Derechos de las personas

Acceso, rectificación, supresión ("derecho al olvido"), limitación, oposición, portabilidad, no ser objeto de decisiones automatizadas. La organización debe responder en 1 mes (ampliable a 2-3 en casos complejos).

Obligaciones del responsable

Registro de actividades de tratamiento (Art. 30).
Análisis de riesgos y, si procede, Evaluación de Impacto (DPIA) para tratamientos de alto riesgo.
Designación de DPO cuando aplique (organismos públicos, actividades a gran escala con categorías especiales, monitorización sistemática).
Encargados del tratamiento: contrato Art. 28 con cada proveedor que trate datos por encargo.
Notificación de brechas a la AEPD en 72h salvo riesgo improbable.
Comunicación a afectados si hay riesgo alto.

Transferencias internacionales

Fuera del EEE solo con garantías: decisión de adecuación, cláusulas tipo (SCC), normas corporativas vinculantes, etc. Tras la sentencia Schrems II y el Marco UE-EE.UU. 2023, las transferencias a EE.UU. están bajo escrutinio.

Sanciones

Hasta 20 millones € o el 4 % de la facturación global anual (lo mayor). La AEPD aplica criterios graduados; muchas multas se sitúan entre decenas de miles y unos pocos millones de euros.

Errores frecuentes en pymes

Política de privacidad genérica que no refleja lo que realmente hace la empresa.
Recogida de datos sin base legal clara (formularios sin opciones, cookies sin consentimiento real).
Sin contrato Art. 28 con proveedores cloud o SaaS.
No saber dónde están físicamente los datos.
Falta de control de accesos internos (todo el mundo ve todo).
Sin protocolo de brecha — "ya nos enteraremos".

Aviso: contenido formativo, no asesoramiento legal. Para casos concretos, consulta con vuestra asesoría jurídica o DPO.

Checklist mínima

Registro de actividades de tratamiento documentadoObligatorio
Fines, categorías de datos, destinatarios, plazos de conservación, medidas de seguridad. Art. 30 RGPD.
Política de privacidad publicada y verazObligatorio
En la web, en formularios, en la firma de contratos. Información clara del Art. 13 y 14 RGPD.
Contratos Art. 28 firmados con todos los encargados del tratamientoObligatorio
Hosting, CRM, ERP, herramientas de email, analítica. Cada proveedor que toque datos personales.
Consentimientos válidos cuando son la base legalObligatorio
Específicos, granulares, revocables y demostrables. Sin casillas premarcadas.
Procedimiento documentado para responder a derechos (acceso, rectificación, etc.)Obligatorio
Quién responde, cómo se verifica la identidad, en qué plazo, con qué plantillas.
Protocolo de brecha con plazo de 72h al reguladorObligatorio
Cómo detectarlas, cómo valorarlas, quién notifica, qué se comunica a afectados.
DPO designado cuando apliqueRecomendado
Organismos públicos, monitorización sistemática a gran escala, categorías especiales a gran escala (Art. 37).
Evaluación de Impacto (DPIA) para tratamientos de alto riesgoRecomendado
Nuevos productos con datos sensibles, vídeo a gran escala, perfilado automatizado.