¿Tu empresa cumple el RGPD? Los 12 puntos básicos para saberlo

Deja un comentario / Compliance
image
image

Resumen rápido

El RGPD lleva 8 años en vigor (mayo 2018) y la mayoría de pymes españolas siguen sin cumplir lo básico: registro de actividades, contratos con encargados, política de privacidad adaptada, procedimiento de respuesta a derechos. Las sanciones de la AEPD pueden llegar a 20 millones de euros o el 4% de la facturación global anual, lo que sea mayor.

Haz el test de cumplimiento RGPD en 3 minutos →

Punto 1: Tener una política de privacidad real (no copiada)

La política de privacidad de tu web no puede ser un texto genérico copiado. Tiene que indicar, para tu caso concreto:

  • Quién es el responsable del tratamiento (tu empresa: nombre, NIF, dirección, contacto).
  • Qué datos recoges (no “datos personales” en abstracto, sino: nombre, email, teléfono, etc.).
  • Para qué los usas (finalidades específicas, no genéricas).
  • Sobre qué base legal los tratas (consentimiento, contrato, interés legítimo, obligación legal).
  • A quién los cedes (si los cedes a terceros, debes nombrarlos).
  • Cuánto tiempo los conservas (plazos concretos por tipo de dato).
  • Cómo ejercer los derechos del usuario.

Punto 2: Tener un registro de actividades de tratamiento (RAT)

El RAT es un documento interno que enumera todas las actividades en las que tu empresa trata datos personales: clientes, proveedores, empleados, candidatos, newsletters, videovigilancia, etc.

Para cada actividad, el RAT debe contener: finalidad, base legal, categorías de datos, categorías de interesados, plazos de conservación, medidas de seguridad y, en su caso, transferencias internacionales.

Es obligatorio para todas las empresas, salvo las de menos de 250 empleados que no traten datos sensibles ni de manera regular (excepción muy estrecha, en la práctica casi nadie está exento).

Punto 3: Contratos con encargados de tratamiento (artículo 28)

Cualquier proveedor que trate datos personales en tu nombre necesita un contrato firmado: tu gestoría, tu asesor laboral, tu plataforma de email marketing, tu servicio de hosting, tu CRM, etc.

Estos contratos tienen que incluir cláusulas específicas exigidas por el artículo 28 RGPD: medidas de seguridad, devolución/borrado al final del contrato, subencargados autorizados, asistencia en caso de brecha, etc.

Sanción frecuente: la AEPD multa habitualmente a empresas que no tienen estos contratos. Solo el contrato genérico de servicios no basta.

Punto 4: Procedimiento para atender derechos

Cualquier persona puede ejercer ante ti los siguientes derechos:

  • Acceso: saber qué datos tienes sobre ella.
  • Rectificación: corregir datos incorrectos.
  • Supresión (“derecho al olvido”).
  • Oposición: pedir que dejes de tratar sus datos.
  • Limitación del tratamiento.
  • Portabilidad: que le entregues sus datos en formato reutilizable.

Tienes un mes para responder (ampliable a tres si es complejo). Si ignoras la solicitud o respondes fuera de plazo, sanción.

Punto 5: Información en formularios de la web

Cualquier formulario que recoja datos (contacto, suscripción, presupuesto, etc.) debe:

  • Tener una casilla de aceptación de la política de privacidad no preseleccionada.
  • Indicar mínimamente, junto al formulario: identidad del responsable, finalidad y derechos.
  • Enlazar a la política de privacidad completa.

Punto 6: Banner de cookies adaptado a la directriz AEPD

Si usas cookies analíticas, publicitarias o de cualquier tipo no estrictamente técnicas, necesitas un banner que cumpla la directriz vigente de la AEPD:

  • Las cookies no técnicas no se pueden cargar antes del consentimiento explícito.
  • El botón “Rechazar” debe estar al mismo nivel visual que el “Aceptar”. Botones engañosos = sanción.
  • “Seguir navegando” ya no se considera consentimiento válido.

Punto 7: Procedimiento de notificación de brechas

Si sufres una brecha de seguridad (un hackeo, un envío masivo de email con destinatarios visibles, una filtración), tienes 72 horas para notificarla a la AEPD si supone riesgo para los derechos de las personas afectadas.

Esto requiere tener un procedimiento interno: cómo se detecta, quién decide, qué se documenta, cómo se notifica. La improvisación se castiga.

Punto 8: Designación de DPD si corresponde

Tienes que designar un Delegado de Protección de Datos (DPD) si:

  • Eres una autoridad u organismo público.
  • Tu actividad principal consiste en tratamiento que requiere observación habitual y sistemática a gran escala.
  • Tratas datos sensibles a gran escala.

Para la mayoría de pymes, no es obligatorio, pero conviene plantearlo si tu actividad lo justifica (clínicas, despachos jurídicos, RR.HH., marketing digital).

Punto 9: Análisis de riesgos y medidas de seguridad

Debes haber hecho un análisis de los riesgos de tus tratamientos y aplicar medidas técnicas y organizativas: control de accesos, contraseñas robustas, copias de seguridad, formación al personal, política de uso de dispositivos.

No es suficiente “tener antivirus”. Hay que documentarlo.

Punto 10: Información a los empleados

Tus empleados también son interesados. Deben tener una información de protección de datos específica como trabajadores: por qué tratas sus datos, cuánto tiempo los conservas tras finalizar la relación laboral, si los cedes (gestoría, mutua, etc.).

Esta información se entrega normalmente al firmar el contrato o anexa al mismo.

Punto 11: Videovigilancia (si la tienes)

Si tienes cámaras en tu negocio:

  • Cartel visible advirtiendo de la grabación.
  • Información completa accesible (no basta el cartel).
  • Conservación de imágenes máximo 30 días, salvo incidente.
  • Las cámaras orientadas a vía pública están prohibidas salvo zonas estrictamente necesarias.

Punto 12: Formación al personal

Las personas que tratan datos personales en tu empresa (todo el equipo de oficina, en la práctica) deben tener formación básica en protección de datos. La AEPD considera atenuante o agravante el grado de formación documentada del personal.

Sanciones reales para que veas que no es teoría

La AEPD publica sus resoluciones cada semana. Algunos ejemplos típicos:

  • Cesión de datos sin base legal: 30.000 € a 500.000 € (según gravedad).
  • Falta de procedimiento de derechos: 10.000 € a 50.000 €.
  • Banner de cookies con botón engañoso: 5.000 € a 20.000 €.
  • Brechas no notificadas en plazo: 50.000 € a 200.000 €.
  • Cámaras de videovigilancia mal informadas: 2.000 € a 10.000 €.

La cuantía depende de: tamaño de la empresa, tipo de datos afectados, número de afectados, intencionalidad, medidas correctoras aplicadas.

Haz el test gratis y sal de dudas

Haz nuestro test de cumplimiento RGPD →

12 preguntas, 3 minutos, te da una nota A-D y te dice exactamente en qué áreas tienes problema.

¿Necesitas adecuar tu empresa al RGPD?

En asesoraya.es llevamos el RGPD completo dentro del plan Plus desde 44,95 €/mes para autónomos y desde 119,95 €/mes para sociedades. Auditoría inicial, redacción de documentos, contratos con encargados, asistencia en derechos y brechas.

Ver planes y precios → | Calcula tu precio personalizado →

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *