Te cuento algo que he visto demasiadas veces: un negocio con su web funcionando, sus clientes contentos, todo aparentemente bien. Y de repente llega una notificación de la AEPD por un formulario de contacto que no tenía bien configurado el consentimiento. No es una película. Pasa. Y las multas son reales.
El RGPD lleva desde 2018 en vigor, pero no te equivoques pensando que ya está todo hecho. En 2026 las cosas han cambiado bastante. La AEPD ha intensificado las inspecciones, entró en vigor el Reglamento Europeo de IA que se cruza con la protección de datos, y encima viene una reforma del propio RGPD (el Paquete Ómnibus IV) que puede cambiar algunas obligaciones para las pymes.
No te voy a dar miedo sin razón. Pero sí te voy a explicar lo que tienes que tener controlado, con datos reales y pasos concretos, para que no te pille desprevenido.
Lo que la AEPD está sancionando de verdad en 2026
La Agencia Española de Protección de Datos tramitó más de 22.000 expedientes en 2023, con un incremento del 44% en sanciones respecto al año anterior. Y la tendencia ha seguido subiendo. No es que persigan a las pymes específicamente, pero cuando una empresa grande y una pequeña cometen la misma infracción, muchas veces la más pequeña es la que menos recursos tiene para defenderse.
Las áreas que más sanciones están generando ahora mismo:
Newsletters sin consentimiento explícito. Esto es el clásico. Alguien te da su email para descargar algo o porque charlaste con él en un evento, y tú lo metes en una lista de correo. Pues si no hay un consentimiento específico e informado (con casilla sin marcar, enlace a política de privacidad, y doble opt-in), estás incumpliendo. El 45% de las pymes con email marketing tienen este problema, según datos recopilados por consultoras de protección de datos.
Banners de cookies tramposos. La AEPD es muy clara: el botón de rechazar tiene que tener la misma visibilidad y facilidad que el de aceptar. Solo botón de "Aceptar todas", colores oscuros en el rechazo, muros de cookies que no te dejan entrar si no aceptas... todo eso son infracciones documentadas. Y las sanciones típicas van de 3.000 a 30.000 euros por este concepto solo.
Contratos con proveedores sin DPA. Si usas un CRM en la nube, un servicio de email marketing, una herramienta de análisis, una gestoría externa... todos ellos tratan datos personales en tu nombre. Y necesitas un contrato de encargado del tratamiento con cada uno. El 60% de las pymes no tiene estos contratos firmados.
El inventario de datos: donde todo empieza (y donde todo se rompe)
Lo primero que cualquier auditor de protección de datos te va a pedir es tu registro de actividades de tratamiento. Y esto significa: qué datos recoges, para qué los usas, en qué base legal te apoyas, cuánto tiempo los guardas, y a quién se los comunicas.
Suena complicado, pero en realidad es hacerte preguntas muy sencillas. ¿Recojo emails de clientes? Sí. ¿Para qué? Para enviarles facturas y promociones. ¿Con qué base legal? La facturación por contrato, las promociones por consentimiento. ¿Cuánto tiempo los guardo? Las facturas 6 años por el Código de Comercio, los datos de marketing hasta que el usuario se dé de baja.
Ahora, una noticia importante. El Parlamento Europeo está tramitando el Paquete Ómnibus IV, una reforma que amplía la exención del registro de actividades a empresas de hasta 750 empleados (ahora el límite está en 250). Lo que significa que muchas más pymes podrían no estar obligadas a llevar este registro formal.
Pero aquí está el matiz que todo el mundo se salta: aunque no estés obligado, tener un inventario básico de datos te protege. Si la AEPD te investiga y puedes demostrar que tienes control sobre los datos que manejas, tu posición es mucho más fuerte. El registro no es solo un papel: es tu escudo.
"No tener registro de actividades de tratamiento es como no tener contabilidad: si todo va bien, no pasa nada. Si va mal, no puedes demostrar nada ante nadie."
La inteligencia artificial ha entrado en tu oficina (y nadie te avisó)
Esto es lo que más me preocupa a diario. Empleados de pymes usando ChatGPT, Copilot o Gemini para resumir textos, redactar emails, analizar datos. Perfecto, hasta que uno de esos "textos" contiene el nombre, email o datos de un cliente.
¿Qué pasa cuando pegas el nombre y teléfono de un cliente en la versión gratuita de una herramienta de IA? Que estás enviando datos personales a un tercero. Ese tercero no tiene un contrato de encargado del tratamiento contigo. Y no sabes qué hace con esos datos. Según la AEPD y las nuevas directrices del Comité Europeo de Protección de Datos de 2025, esto puede constituir una transferencia internacional de datos no autorizada.
Soluciones prácticas: establece una política de uso de IA en la empresa (qué herramientas se pueden usar y cuáles no), utiliza versiones enterprise con Acuerdo de Procesamiento de Datos cuando sea posible, y formación. Formación de verdad, un rato con tu equipo explicándoles qué datos pueden y qué datos no pueden meter en estas herramientas.
Y ojo con el Reglamento europeo de IA que entró en vigor en 2025. Si tu empresa usa sistemas de IA que perfilan clientes, toman decisiones sobre scoring crediticio o procesan datos de candidatos en selección de personal, tienes obligaciones específicas adicionales. EIPD (evaluación de impacto), transparencia al usuario, y supervisión humana. Las multas del Reglamento de IA pueden llegar a 35 millones de euros. No es broma.
Los plazos que tienes que tener en la cabeza (escribelos)
Un error muy común es no tener claro cuánto tiempo puedes guardar cada tipo de dato. Guardar datos más de lo necesario es una infracción, pero también lo es borrarlos antes de tiempo. Aquí va un resumen práctico:
| Tipo de dato | Plazo mínimo de conservación | Base legal |
|---|---|---|
| Facturas y documentos contables | 6 años (10 en sectores específicos) | Código de Comercio |
| Documentos de nómina | 6 años | Ley General de la Seguridad Social |
| Datos fiscales (IRPF, IVA) | 4-6 años | Ley General Tributaria |
| Consentimientos de marketing | Hasta revocación, máx. 24 meses sin actividad | RGPD Art. 6.1.a |
| Videovigilancia | Máximo 30 días | LOPDGDD Art. 22 |
El borrado tiene que ser activo, no esperes a que el usuario te lo pide. Configura tareas programadas que eliminen datos caducados. Si lo haces sobre la marcha "cuando acabe lo urgente", nunca se hace.
Brechas de seguridad: el día que todo se puede torcer
Piensa en esto: un empleado pierde un portátil con datos de clientes, alguien accede a tu CRM sin permiso, o te infectan con ransomware. Cada una de esas situaciones es una violación de seguridad de datos personales. Y tienes 72 horas para notificar a la AEPD.
72 horas. No es mucho tiempo, sobre todo si no tienes un protocolo preparado. Por eso es importante tenerlo por escrito antes de que pase: quién detecta el incidente, quién lo notifica internamente, quién contacta con la AEPD, cómo se evalúa el riesgo para los afectados, y cómo se les comunica si es necesario.
Para pymes, las brechas más comunes no son ciberataques sofisticados. Son errores humanos: un email enviado al portapapeles equivocado, una hoja de cálculo con datos de clientes compartida por error, un formulario de contacto que dejó de funcionar durante semanas sin que nadie se diera cuenta. Cositas que parecen tonterías y que la AEPD se toma muy en serio.
Necesito un DPO (Delegado de Protección de Datos)?
Depende. Es obligatorio si eres autoridad pública, si tratas datos sensibles a gran escala, si tu actividad principal es la observación sistemática de personas, o si eres un centro educativo, empresa de telecomunicaciones o de energía.
Para una pyme normal (tienda, clínica, asesoría, agencia), generalmente no es obligatorio. Pero tener un responsable interno designado, aunque no sea un DPO formal, te ayuda mucho. Es la persona que sabe qué datos tienes, qué documentación existe, y a quién llamar si hay un problema. No necesitas un experto. Necesitas a alguien con sentido común y un día al mes para revisar las cosas.
Lo que puedes hacer esta semana (sin gastar dinero)
Vale, suficiente de obligaciones y amenazas. Vamos a lo práctico. Cosas que puedes hacer tú mismo en los próximos días:
Revisa tus formularios web. Cada formulario que recoge datos personales necesita: información en primera capa (quién eres, para qué usas los datos, link a privacidad), checkbox de aceptación no premarcado, y doble opt-in en el caso de suscripciones a newsletter. Si tienes d formularios mal configurados, los tienes arreglados en una tarde.
Revisa tu banner de cookies. ¿El botón de拒绝 es igual de visible que el de aceptar? ¿O está oculto en una segunda pantalla, en gris, o en una fuente diminuta? Si es así, cámbialo. Hay plugins gratuitos y de bajo coste que hacen esto bien en WordPress y en la mayoría de CMS.
Haz una lista de los proveedores que tratan datos. Tu hosting, tu CRM, tu herramienta de email, tu gestoría, tu asesor laboral. Con cada uno necesitas un contrato de encargado del tratamiento. Si no lo tienes, pídelo. Es un documento estándar que la mayoría de proveedores ya tienen preparado.
Configura el doble opt-in en tu newsletter. Si no lo tienes, estás enviando correos a personas que no confirmaron explícitamente que querían recibirlos. Es una de las infracciones más fáciles de detectar y más habituales.
Preguntas frecuentes
¿Me pueden multar si soy una empresa muy pequeña?
Sí. El RGPD no exime por tamaño. Lo que sí es cierto es que la sanción tiene que ser proporcional. Para una pyme con 5 millones de facturación, las multas realistas por infracciones menores oscilan entre 50.000 y 200.000 euros, y entre 200.000 y 500.000 por infracciones graves. No son cantidades simbólicas. Y eso sin contar el daño reputacional.
¿Cuánto cuesta adaptar una web al RGPD?
Depende de lo que haya que hacer. Si es solo configurar bien el banner de cookies y revisar formularios, puede costar entre 200€ y 500€. Si necesitas redactar políticas de privacidad desde cero, hacer evaluaciones de impacto y firmar contratos con proveedores, el rango sube a 1.500€-5.000€. Comparado con una multa, es una inversión ridícula.
¿Qué pasa si un cliente me pide que borre sus datos?
Tienes un mes para hacerlo. Verifica su identidad (no vaya a ser que borres los datos de un cliente porque alguien se hizo pasar por él), elimina sus datos de todos los sistemas donde estén, y confirma por escrito que lo has hecho. Si tienes una base de datos decente, esto no debería llevarte más de 30 minutos.
¿Puedo usar Google Analytics sin problemas con el RGPD?
Sí, pero con condiciones. Necesitas que el usuario consienta el tracking antes de que se carguen las cookies de analytics, y tienes que tener configurado el Consent Mode correctamente. Con el cambio de Google Signals del 15 de junio de 2026, esto es todavía más importante. Si ad_storage está en "granted" por defecto sin consentimiento real, estás recogiendo datos sin base legal.
¿El Paquete Ómnibus IV me va a librar de cumplir?
No exactamente. La reforma simplifica algunas obligaciones administrativas (como el registro de actividades para empresas pequeñas), pero los principios del RGPD siguen siendo los mismos. Tienes que tratar datos de forma lícita, informar a los usuarios, garantizar sus derechos y proteger la información. Menos burocracia no significa menos responsabilidad.
¿Qué hago si ya he tenido una brecha de seguridad?
Notifica a la AEPD en 72 horas a través de su sede electrónica. Evalúa el riesgo para los afectados: si es alto, también tienes que notificarles individualmente. Documenta todo: qué ocurrió, cuántas personas se vieron afectadas, qué medidas tomaste para contenerlo, y qué vas a hacer para que no se repita. Y no lo escondas: una brecha bien gestionada daña menos la reputación que una brecha que se descubre por terceros.