Cualquier empresa que gestione datos personales —y hoy en día prácticamente todas lo hacen— está sujeta a una normativa de protección de datos que no es opcional ni gradual: se cumple o se incumple, y las consecuencias van desde multas millonarias hasta daños reputacionales difíciles de revertir. En 2026, tras ocho años de aplicación del RGPD y cinco años de vigencia de la LOPDGDD, la AEPD ha abandonado la etapa pedagógica y sanciona con regularidad. Esta guía explica qué debe hacer exactamente su empresa para estar en regla.
Marco normativo: RGPD, LOPDGDD y directrices aplicables
El Reglamento General de Protección de Datos (RGPD), en vigor desde el 25 de mayo de 2018, es el texto de referencia. Se aplica directamente en toda la UE sin necesidad de transposición y establece las obligaciones fundamentales para cualquier responsable o encargado del tratamiento. Su efecto extraterritorial —artículo 3— significa que también vincula a empresas establecidas fuera de la UE que traten datos de personas en territorio europeo.
La Ley Orgánica 3/2018, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), adapta el RGPD al ordenamiento español y añade obligaciones propias: amplía los sectores con DPO obligatorio, regula el derecho al olvido en las redes sociales, establece derechos digitales para los trabajadores (desconexión digital, videovigilancia, geolocalización) y fija los criterios de graduación de sanciones que aplica la AEPD.
Junto a estas dos normas, la empresa debe tener presentes las directrices y resoluciones de la AEPD —disponibles en aepd.es— y las guidelines del Comité Europeo de Protección de Datos (EDPB), que interpretan y desarrollan aspectos concretos del RGPD: bases jurídicas para el tratamiento, evaluaciones de impacto, notificación de brechas, transferencias internacionales o cookies, entre otros. El texto consolidado de la LOPDGDD está disponible en el BOE.
Principios del tratamiento: el estándar que la AEPD verifica
El artículo 5 del RGPD enumera los principios que rigen cualquier tratamiento de datos personales. Son los parámetros que la Autoridad evalúa cuando investiga una empresa:
Licitud, lealtad y transparencia. Los datos deben tratarse con una base jurídica válida, de forma leal y sin engaños, e informando al interesado de manera clara y accesible sobre qué se hace con sus datos.
Limitación de la finalidad. Los datos recogidos con un fin concreto no pueden usarse para fines incompatibles con el original. Si la empresa quiere ampliar el uso, necesita una nueva base jurídica o el consentimiento del interesado.
Minimización de datos. Solo se deben tratar los datos estrictamente necesarios para la finalidad declarada. La práctica de recoger “por si acaso” vulnera este principio.
Exactitud. Los datos deben estar actualizados. La empresa tiene la obligación de adoptar medidas razonables para suprimir o rectificar los datos inexactos.
Limitación del plazo de conservación. Los datos no pueden conservarse indefinidamente. Es necesario definir y documentar plazos de supresión para cada categoría de tratamiento.
Integridad y confidencialidad. El responsable debe garantizar la seguridad de los datos mediante medidas técnicas y organizativas adecuadas frente a accesos no autorizados, pérdidas o destrucciones.
Responsabilidad proactiva (accountability). Este principio, articulado en el artículo 24 del RGPD, obliga al responsable no solo a cumplir sino a demostrar que cumple. Toda la documentación de cumplimiento —RAT, políticas, contratos, evaluaciones— sirve precisamente a este fin.
Bases legales para el tratamiento: elegir bien desde el principio
Antes de iniciar cualquier tratamiento de datos, la empresa debe identificar cuál de las bases jurídicas del artículo 6 del RGPD lo ampara. Una base equivocada —o la ausencia de base— es el error más sancionado por la AEPD.
Consentimiento (art. 6.1.a). Debe ser libre, específico, informado e inequívoco. No vale el consentimiento tácito, el casillero premarcado ni el consentimiento obtenido como condición para prestar un servicio salvo que sea necesario para ese servicio. Es revocable en cualquier momento. Para datos de categorías especiales (salud, origen racial, orientación sexual, afiliación sindical) se exige consentimiento explícito (art. 9.2.a).
Ejecución de un contrato (art. 6.1.b). Ampara el tratamiento necesario para ejecutar o preparar el contrato con el interesado: datos de clientes para facturar, datos de trabajadores para gestionar la relación laboral. No justifica tratamientos accesorios o complementarios que excedan lo estrictamente necesario.
Obligación legal (art. 6.1.c). Cuando una norma obliga al tratamiento: declaraciones fiscales, prevención de blanqueo, registro laboral, facturas electrónicas. En este caso no se necesita consentimiento del interesado.
Interés legítimo (art. 6.1.f). Base habitual en contextos B2B, marketing directo o prevención del fraude. Requiere superar el test de ponderación: el interés del responsable debe ser legítimo, necesario y no prevalecer sobre los derechos del interesado. Este test debe documentarse. La AEPD ha cuestionado repetidamente su uso abusivo como comodín.
Registro de Actividades de Tratamiento (RAT): contenido y mantenimiento
El artículo 30 del RGPD obliga a llevar un Registro de Actividades de Tratamiento. Está exento solo el responsable con menos de 250 empleados que no realice tratamientos que supongan riesgo para los derechos de las personas, no trate datos de categorías especiales y el tratamiento no sea habitual. En la práctica, esta excepción es muy estrecha: la AEPD recomienda que todas las empresas mantengan el RAT.
El RAT debe contener, por cada actividad de tratamiento:
- Nombre y datos de contacto del responsable (y del representante si está fuera de la UE) y del DPO si lo hay
- Finalidad del tratamiento
- Descripción de las categorías de interesados y de los datos tratados
- Categorías de destinatarios (incluyendo encargados del tratamiento)
- Transferencias internacionales y las garantías aplicables
- Plazos de supresión previstos para cada categoría
- Descripción general de las medidas de seguridad técnicas y organizativas
El RAT no es un documento que se elabora una vez y se archiva. Debe revisarse y actualizarse cada vez que la empresa incorpora una nueva herramienta digital, contrata un proveedor que accede a datos de clientes o empleados, o modifica un proceso interno. La AEPD puede solicitarlo en cualquier momento, y un RAT incompleto o desactualizado es una infracción autónoma.
Cuándo necesita DPO la empresa
El artículo 37 del RGPD establece tres supuestos de DPO obligatorio: organismos públicos, responsables que realicen observación habitual y sistemática de interesados a gran escala, y responsables que traten a gran escala categorías especiales de datos del artículo 9.
La LOPDGDD (artículo 34) amplía esta lista para España con sectores específicos: entidades de crédito, aseguradoras, empresas de servicios de inversión, distribuidores y comercializadores de energía eléctrica y gas, colegios profesionales, promotoras inmobiliarias que traten datos a gran escala, centros docentes, entidades de juego online y operadores de infraestructuras críticas, entre otros.
Para el resto de empresas, el DPO no es obligatorio, pero sí altamente recomendable cuando el volumen o la sensibilidad de los tratamientos así lo justifiquen. El DPO externo es la fórmula habitual para pymes: permite acceder a la figura sin el coste de un empleado dedicado y garantiza la independencia que el RGPD exige al cargo.
Las funciones del DPO están tasadas en el artículo 39 del RGPD: informar y asesorar al responsable, supervisar el cumplimiento, asesorar en las evaluaciones de impacto, cooperar con la autoridad de control y actuar como punto de contacto con la AEPD y los interesados. El DPO no puede recibir instrucciones respecto al ejercicio de sus funciones ni ser sancionado por ello.
Derechos del interesado y plazos de respuesta
El RGPD reconoce a los interesados un catálogo de derechos que la empresa debe poder ejercer de forma efectiva:
- Acceso (art. 15): el interesado tiene derecho a saber si se tratan sus datos y a obtener una copia.
- Rectificación (art. 16): corrección de datos inexactos o incompletos.
- Supresión o derecho al olvido (art. 17): en los supuestos tasados: datos ya no necesarios, revocación del consentimiento, tratamiento ilícito, obligación legal de supresión.
- Limitación del tratamiento (art. 18): suspensión del tratamiento mientras se resuelve una controversia.
- Portabilidad (art. 20): recibir los datos en formato estructurado cuando el tratamiento se basa en consentimiento o contrato.
- Oposición (art. 21): particularmente relevante en marketing directo, donde la oposición es absoluta.
El plazo de respuesta es un mes desde la recepción de la solicitud. Puede prorrogarse dos meses más cuando la complejidad o el volumen de solicitudes lo justifiquen, comunicándolo al interesado en el primer mes. La falta de respuesta en plazo es una infracción sancionable.
La empresa debe habilitar canales efectivos para que los interesados ejerzan sus derechos: formulario en la web, dirección de correo electrónico específica o buzón postal. No puede exigir el pago de tasas salvo cuando las solicitudes sean manifiestamente infundadas o excesivas.
Brechas de seguridad: notificación a la AEPD en 72 horas
Una brecha de seguridad es cualquier incidente que ocasione la destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales. Incluye supuestos tan frecuentes como el envío masivo de correos con todos los destinatarios en el campo CC, el robo de un portátil con datos de clientes o un ataque de ransomware.
El artículo 33 del RGPD obliga a notificar la brecha a la AEPD en el plazo de 72 horas desde que el responsable tenga conocimiento de ella, siempre que sea probable que suponga un riesgo para los derechos y libertades de los afectados. Si la información disponible es incompleta en ese momento, puede hacerse una notificación inicial e ir completándola.
La notificación debe incluir la naturaleza de la brecha, las categorías y el número aproximado de interesados y registros afectados, los datos de contacto del DPO, las consecuencias probables y las medidas adoptadas o propuestas para remediar la situación.
Cuando la brecha suponga un alto riesgo para los interesados —por ejemplo, exposición de datos de salud, contraseñas o datos financieros— la empresa debe notificarlo también a los afectados, sin dilación indebida, con un lenguaje claro y accesible. La AEPD puede exigir esta notificación directa si el responsable no la realiza.
El incumplimiento del plazo de 72 horas es una de las infracciones más sancionadas. En 2024, la AEPD instruyó expedientes sancionadores por brechas no notificadas o notificadas tardíamente con multas que oscilaron entre 50.000 y 300.000 euros. Puede consultar los procedimientos de respuesta ante brechas de seguridad que BMC gestiona para sus clientes.
Transferencias internacionales: el marco post-Schrems II
Toda transferencia de datos personales a un país fuera del Espacio Económico Europeo (EEE) requiere una garantía adecuada. El marco aplicable es el artículo 46 del RGPD, con tres mecanismos principales en uso:
Decisiones de adecuación de la Comisión Europea. Permiten transferir datos sin garantías adicionales al país destinatario. En 2026 cuentan con decisión de adecuación: Reino Unido (renovada), Japón, Nueva Zelanda, Canadá (sector privado), Israel, Argentina, Suiza, Uruguay, Corea del Sur, Andorra, Islas Feroe, Guernsey, Isla de Man, Jersey y EEUU bajo el Data Privacy Framework (DPF), en vigor desde julio de 2023 y que hasta la fecha no ha sido impugnado ante el TJUE.
Cláusulas Contractuales Tipo (CCT). Las CCT adoptadas por la Comisión Europea en junio de 2021 son el mecanismo más utilizado para transferencias a países sin decisión de adecuación. Requieren incorporarse al contrato con el proveedor extranjero y, en la mayoría de los casos, completar una Transferencia Impact Assessment (TIA) para evaluar si la legislación del país de destino garantiza una protección esencialmente equivalente a la europea. Si la TIA revela deficiencias, deben implementarse medidas suplementarias (cifrado, seudonimización, arquitectura técnica).
Normas Corporativas Vinculantes (Binding Corporate Rules, BCR). Mecanismo propio de grupos multinacionales que transfieren datos entre sus entidades. Requieren aprobación de la autoridad de control competente.
Herramientas de uso cotidiano como Google Workspace, Microsoft 365, Salesforce o plataformas de marketing por email implican transferencias a EEUU que deben estar amparadas por CCT o DPF. Es frecuente que las empresas usen estas herramientas sin haber actualizado su RAT ni formalizado las garantías, lo que constituye una infracción de los artículos 44-49 del RGPD.
Más información en el servicio de transferencias internacionales de datos de BMC.
Sanciones de la AEPD en 2024-2026: cuantías y casuística real
El RGPD prevé dos tramos de multa: hasta 10 millones de euros o el 2% de la facturación anual global para infracciones de menor gravedad, y hasta 20 millones de euros o el 4% para las más graves. La LOPDGDD adapta este esquema a tres niveles: leve (hasta 40.000 euros), grave (de 40.001 a 300.000 euros) y muy grave (de 300.001 a 20 millones o el 4% de la facturación).
Casos representativos de 2024-2026:
- Empresa de telecomunicaciones, multa de 6,2 millones de euros (2024): tratamiento masivo de datos de clientes sin base jurídica válida y omisión del deber de información en campañas de marketing.
- Clínica dental, 150.000 euros (2024): cesión de historiales clínicos sin consentimiento expreso a una aseguradora y ausencia de DPO siendo obligatorio.
- Plataforma de recursos humanos, 300.000 euros (2025): transferencias a EEUU sin CCT ni evaluación de adecuación tras el cambio de proveedor de nube.
- Empresa de distribución, 75.000 euros (2025): instalación de cámaras de videovigilancia con campo de visión sobre la vía pública sin señalización adecuada y sin base jurídica para el tratamiento de trabajadores.
- Entidad educativa, 50.000 euros (2026): conservación de datos de alumnos exalumnos durante más de diez años sin justificación y sin política de supresión documentada.
El factor diferencial en la graduación de sanciones es la reincidencia, la intencionalidad y, sobre todo, la actitud ante la Autoridad: las empresas que acreditan programas de cumplimiento activos, notifican las brechas en plazo y colaboran con la investigación obtienen reducciones significativas.
Qué hacer ahora: hoja de ruta de cumplimiento
El punto de partida para cualquier empresa es una auditoría de protección de datos que mapee todos los tratamientos activos, identifique las bases jurídicas, detecte las transferencias internacionales no formalizadas, evalúe las medidas de seguridad existentes y determine si la designación de DPO es obligatoria. En los tratamientos de mayor riesgo, esta auditoría debe ir acompañada de una evaluación de impacto en protección de datos (DPIA). A partir de ahí, el programa de cumplimiento incluye:
- Elaborar o actualizar el RAT con todas las actividades de tratamiento
- Revisar y actualizar los textos informativos (cláusulas en contratos, web, formularios)
- Formalizar los contratos de encargado del tratamiento con todos los proveedores que accedan a datos personales
- Regularizar las transferencias internacionales (CCT, TIA, DPF según el caso)
- Establecer protocolos de respuesta ante solicitudes de derechos y ante brechas de seguridad
- Evaluar la obligatoriedad del DPO y, si procede, designarlo —interno o externo—
- Realizar evaluaciones de impacto (DPIA) en los tratamientos de alto riesgo (art. 35 RGPD)
El RGPD no premia la perfección estática: premia la mejora continua documentada. Un programa de cumplimiento vivo, revisado periódicamente, es la mejor defensa ante una investigación de la AEPD.
Para una evaluación del estado de cumplimiento de su empresa, contacte con el equipo de protección de datos de BMC o consulte si su organización necesita un DPO externo.
Este artículo es un análisis de carácter informativo y no constituye asesoramiento jurídico. Para un análisis específico de su situación, consulte con un especialista en protección de datos. Si le interesa el tratamiento de datos en contextos de inteligencia artificial, puede leer nuestro análisis sobre la intersección entre el AI Act y el RGPD.
