Guía Completa del RGPD para Empresas 2025 | Cumplimiento y Obligaciones

🛡️ Guía Completa del RGPD para Empresas 2025

Todo lo que tu empresa necesita saber sobre el Reglamento General de Protección de Datos: obligaciones, sanciones, cumplimiento y mejores prácticas

✅ Actualizado 2025 📋 Checklist Completo ⚖️ Casos Reales 🇪🇸 Adaptado a España
20M€
Sanción máxima RGPD o 4% facturación global
72h
Plazo para notificar brechas de seguridad
8
Derechos fundamentales del ciudadano
99
Artículos del RGPD que debes conocer

📑 Índice Interactivo

1 ¿Qué es el RGPD? 2 Obligaciones por Tamaño 3 Derechos ARCO+ 4 Sanciones Reales 5 Checklist Cumplimiento 6 RGPD vs LOPDGDD
📖

¿Qué es el RGPD?

El Reglamento General de Protección de Datos (RGPD) o en inglés General Data Protection Regulation (GDPR), es la normativa europea que regula el tratamiento de datos personales en la Unión Europea desde el 25 de mayo de 2018.

💡
Dato clave:

El RGPD es de aplicación directa en todos los países de la UE. No necesita ser traspuesto a la legislación nacional, aunque cada país puede complementarlo con leyes adicionales (como la LOPDGDD en España).

Objetivos Principales del RGPD

🛡️

Proteger al Ciudadano

Garantizar el derecho fundamental a la protección de datos personales de todos los ciudadanos europeos.

🌍

Armonizar Legislación

Unificar las normas de protección de datos en toda la UE, facilitando el comercio digital transfronterizo.

⚖️

Responsabilizar Empresas

Establecer obligaciones claras para organizaciones que tratan datos personales y sanciones por incumplimiento.

🔐

Fortalecer Seguridad

Impulsar medidas técnicas y organizativas que garanticen la seguridad de la información personal.

¿A Quién se Aplica el RGPD?

⚠️
Importante:

El RGPD se aplica NO SOLO a empresas europeas, sino a cualquier organización en el mundo que trate datos de ciudadanos de la UE, independientemente de dónde esté ubicada.

Empresas Establecidas en la UE

Todas las organizaciones con presencia en territorio europeo que traten datos personales, independientemente de dónde se realice el tratamiento:

  • ✓ PYMEs con sede en España, Francia, Alemania, etc.
  • ✓ Grandes corporaciones multinacionales
  • ✓ Administraciones públicas
  • ✓ ONGs y asociaciones
  • ✓ Autónomos que gestionen datos de clientes

Empresas Fuera de la UE

Organizaciones establecidas fuera de la UE deben cumplir el RGPD si:

  • 🌐 Ofrecen bienes o servicios a ciudadanos en la UE (incluso gratuitos)
  • 📊 Monitorizan el comportamiento de ciudadanos en la UE (tracking, analytics)

Ejemplos:

  • Tienda online estadounidense que vende a España
  • App china con usuarios europeos
  • Empresa brasileña que analiza datos de navegación de europeos

Excepciones del RGPD

El RGPD NO se aplica a:

  • ❌ Tratamiento de datos exclusivamente personal o doméstico (agenda de contactos personal, fotos familiares)
  • ❌ Actividades relacionadas con seguridad nacional
  • ❌ Investigaciones criminales y judiciales (tienen normativas específicas)
  • ❌ Datos de personas fallecidas (regulado por legislación nacional)

Conceptos Clave del RGPD

📊 Dato Personal

Cualquier información sobre una persona física identificada o identificable:

  • Identificadores directos: nombre, DNI, pasaporte, número SS
  • Identificadores indirectos: dirección IP, cookies, números de teléfono
  • Datos físicos: ADN, huellas dactilares, imagen facial, voz
  • Datos económicos: ingresos, historial crediticio, cuentas bancarias
  • Datos culturales: opiniones políticas, creencias religiosas
  • Datos sociales: perfiles en redes sociales, historial de navegación

Categorías especiales (datos sensibles): origen racial/étnico, opiniones políticas, creencias religiosas, afiliación sindical, datos genéticos, biométricos, salud, orientación sexual.

🏢 Responsable del Tratamiento

Persona física o jurídica que determina los fines y medios del tratamiento de datos personales.

Ejemplo: Una clínica dental que decide qué datos de pacientes recoger, cómo almacenarlos y cuánto tiempo conservarlos es el responsable del tratamiento.

Obligaciones principales:

  • Garantizar cumplimiento del RGPD
  • Implementar medidas técnicas y organizativas
  • Notificar brechas de seguridad
  • Responder a ejercicio de derechos
  • Mantener registro de actividades de tratamiento
🤝 Encargado del Tratamiento

Persona física o jurídica que trata datos por cuenta del responsable.

Ejemplo: Una empresa de hosting que almacena la base de datos de la clínica dental, o una gestoría que procesa nóminas.

Requisito crítico: Debe existir un contrato de encargado de tratamiento que especifique las obligaciones de confidencialidad, seguridad y limitaciones del tratamiento.

👤 Interesado o Titular

Persona física cuyos datos personales son objeto de tratamiento.

Ejemplos: cliente de una tienda online, paciente de un hospital, empleado de una empresa, suscriptor de una newsletter.

Derechos: El RGPD otorga al interesado múltiples derechos sobre sus datos (ver sección Derechos ARCO).

⚙️ Tratamiento de Datos

Cualquier operación realizada sobre datos personales, ya sea automatizada o no:

  • Recogida
  • Registro
  • Organización
  • Estructuración
  • Conservación
  • Modificación
  • Consulta
  • Comunicación
  • Supresión

Importante: Incluso simplemente consultar datos personales ya constituye un tratamiento y debe cumplir el RGPD.

📏

Obligaciones RGPD según Tamaño de Empresa

El RGPD establece obligaciones para todas las organizaciones, pero la complejidad y recursos necesarios varían según el tamaño, sector y tipo de datos tratados.

🏪 Microempresas (1-10 empleados)

💡
Buenas noticias:

Las microempresas están exentas de llevar un Registro de Actividades de Tratamiento detallado, salvo que traten datos sensibles o de forma habitual y sistemática.

Obligaciones Básicas:

  • Consentimiento informado: Obtener autorización clara de clientes/usuarios
  • Política de Privacidad: Documento que explique qué datos recoges y para qué
  • Medidas de seguridad básicas: Contraseñas seguras, backup, antivirus
  • Atender derechos ARCO: Responder si clientes solicitan acceso/supresión de sus datos
  • Contratos con proveedores: Si usan servicios cloud (Google, Mailchimp, etc.)

¿Necesito DPO (Delegado de Protección de Datos)?

NO obligatorio en la mayoría de casos, salvo sectores específicos.

Coste Aproximado de Cumplimiento:

500€ - 2.000€/año (asesoría básica + software)

🏢 Pequeñas Empresas (11-50 empleados)

Obligaciones (además de las básicas):

  • Registro de Actividades de Tratamiento: Documento que liste todos los tratamientos de datos
  • Evaluación de Impacto (EIPD): Si el tratamiento implica alto riesgo
  • Protocolos de brechas de seguridad: Plan para notificar en 72h
  • Formación de empleados: Concienciación en protección de datos
  • Auditorías periódicas: Revisión anual de cumplimiento

¿Necesito DPO?

Depende del sector:

  • SÍ obligatorio: Sanidad, banca, seguros, educación
  • NO obligatorio: Retail, ecommerce general, servicios profesionales

Coste Aproximado:

2.000€ - 5.000€/año (asesoría + software DLP básico)

🏭 Medianas Empresas (51-250 empleados)

Obligaciones Completas:

  • ✅ Todas las obligaciones anteriores
  • DPO obligatorio en la mayoría de sectores
  • Sistema de Gestión de Cumplimiento: Procesos documentados y auditables
  • Software DLP (Data Loss Prevention): Herramientas tecnológicas de protección
  • Cifrado de datos sensibles: Obligatorio para datos en tránsito y reposo
  • Plan de Continuidad: Backup y recuperación ante desastres
  • Control de acceso por roles: No todos los empleados acceden a todo
  • Auditorías externas: Certificaciones de cumplimiento

Recomendaciones:

  • 🎯 Certificación ISO 27001 (Seguridad de la Información)
  • 🎯 Esquema Nacional de Seguridad (sector público)
  • 🎯 Sello de Certificación RGPD

Coste Aproximado:

10.000€ - 30.000€/año (DPO externo + software + auditorías)

🏢 Grandes Empresas (+250 empleados)

⚠️
Máxima Exigencia:

Las grandes empresas son sujetas a mayor escrutinio por autoridades de protección de datos y suelen sufrir las sanciones más elevadas en caso de incumplimiento.

Obligaciones Exhaustivas:

  • DPO interno dedicado (o equipo completo)
  • Comité de Cumplimiento: Órgano de gobierno para supervisión
  • Programa integral de Compliance: Políticas, procedimientos, controles
  • Software DLP Enterprise: Protección en red, endpoints, cloud
  • SIEM (Security Information and Event Management): Monitorización 24/7
  • Evaluaciones de Impacto (EIPD) regulares: Para cada nuevo tratamiento
  • Privacy by Design & by Default: Privacidad desde el diseño
  • Transferencias internacionales: Cláusulas contractuales tipo, BCRs
  • Canal de Denuncias: Cumplimiento Ley 2/2023
  • Formación continua: Programas de concienciación para toda la plantilla
  • Auditorías externas anuales: Por firmas especializadas
  • Tests de penetración: Pruebas de seguridad
  • Seguros de ciberriesgo: Cobertura financiera

Sectores Altamente Regulados:

Banca, seguros, sanidad, telecomunicaciones tienen obligaciones adicionales sectoriales.

Coste Aproximado:

50.000€ - 500.000€+/año dependiendo de complejidad

Obligaciones Comunes a Todas las Empresas

Obligación Descripción Plazo/Frecuencia
Base legal Tener una justificación legal para tratar datos (consentimiento, ejecución contrato, interés legítimo, etc.) Siempre
Transparencia Informar claramente a los interesados sobre el tratamiento de sus datos En el momento de recogida
Limitación de finalidad Usar los datos solo para lo que se comunicó originalmente Siempre
Minimización Recoger solo datos estrictamente necesarios Siempre
Exactitud Mantener datos actualizados y correctos Continuo
Limitación de conservación No guardar datos más tiempo del necesario Según finalidad
Integridad y confidencialidad Proteger datos contra accesos no autorizados, pérdida o destrucción Siempre
Notificación de brechas Comunicar a la autoridad y afectados las violaciones de seguridad 72 horas desde conocimiento
Atención de derechos Responder solicitudes de acceso, rectificación, supresión, etc. 1 mes (ampliable a 3)
👥

Derechos ARCO+ del Ciudadano

El RGPD amplía significativamente los derechos de los ciudadanos sobre sus datos personales. Los conocidos como derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) se expanden a 8 derechos fundamentales.

Gratuito y sin justificación:

El ejercicio de estos derechos es gratuito para el interesado y NO debe exigirse justificación (salvo solicitudes manifiestamente infundadas o excesivas).

1️⃣ Derecho de Acceso

¿Qué es?

El interesado puede solicitar al responsable información sobre si está tratando sus datos personales y, en caso afirmativo, obtener:

  • ✓ Copia de los datos personales objeto de tratamiento
  • ✓ Finalidades del tratamiento
  • ✓ Categorías de datos tratados
  • ✓ Destinatarios o categorías de destinatarios
  • ✓ Plazo de conservación previsto
  • ✓ Existencia de decisiones automatizadas (incluida elaboración de perfiles)
  • ✓ Origen de los datos (si no se obtuvieron del interesado)

¿Cómo ejercerlo?

Mediante solicitud escrita (email, carta) dirigida al responsable del tratamiento, acreditando identidad.

Plazo de respuesta:

1 mes desde la recepción de la solicitud (ampliable a 3 meses si es compleja).

Formato de entrega:

La primera copia es gratuita. Formato electrónico por defecto (salvo que se solicite otro).

2️⃣ Derecho de Rectificación

¿Qué es?

El interesado puede solicitar la corrección de datos inexactos o que se completen datos incompletos.

Ejemplos:

  • 📧 Cambio de dirección de correo electrónico
  • 📍 Actualización de domicilio
  • 📞 Modificación de número de teléfono
  • 📝 Corrección de datos erróneos en perfil

Obligación del responsable:

Debe comunicar la rectificación a todos los destinatarios con los que haya compartido los datos, salvo que sea imposible o exija esfuerzo desproporcionado.

Plazo:

1 mes (ampliable a 3).

3️⃣ Derecho de Supresión ("Derecho al Olvido")

¿Qué es?

El interesado puede solicitar la eliminación de sus datos personales cuando concurra alguna de estas circunstancias:

  • ✓ Los datos ya no son necesarios para la finalidad para la que se recogieron
  • ✓ Se retira el consentimiento y no existe otra base legal
  • ✓ Se ejercita el derecho de oposición y no prevalecen intereses legítimos del responsable
  • ✓ Los datos han sido tratados ilícitamente
  • ✓ Obligación legal de supresión
  • ✓ Datos recogidos en relación con servicios de la sociedad de la información ofrecidos a menores

Excepciones (NO procede supresión):

  • ❌ Ejercicio de libertad de expresión e información
  • ❌ Cumplimiento de obligación legal
  • ❌ Interés público en salud pública
  • ❌ Fines de archivo de interés público, investigación científica o histórica
  • ❌ Formulación, ejercicio o defensa de reclamaciones

Ejemplo práctico:

Cliente que se dio de baja de una tienda online puede solicitar eliminación completa de su cuenta y datos asociados.

4️⃣ Derecho de Oposición

¿Qué es?

El interesado puede oponerse en cualquier momento a que se traten sus datos personales cuando:

  • ✓ El tratamiento se base en interés legítimo del responsable
  • ✓ Los datos se utilicen para marketing directo (incluyendo elaboración de perfiles)
  • ✓ Se trate de decisiones automatizadas

Efectos:

El responsable debe dejar de tratar los datos, salvo que acredite motivos legítimos imperiosos que prevalezcan sobre intereses del interesado, o para reclamaciones legales.

Oposición a marketing directo:

Es absoluta. Una vez ejercida, el responsable debe cesar inmediatamente el envío de comunicaciones comerciales. Debe ser tan fácil oponerse como dar el consentimiento (botón "darse de baja" visible).

5️⃣ Derecho a la Limitación del Tratamiento

¿Qué es?

El interesado puede solicitar que se suspendan temporalmente los tratamientos de datos en estas situaciones:

  • ✓ Impugna la exactitud de los datos (durante verificación)
  • ✓ El tratamiento es ilícito pero prefiere limitación en vez de supresión
  • ✓ El responsable ya no necesita los datos, pero el interesado los necesita para reclamaciones
  • ✓ Se ha opuesto al tratamiento (durante verificación de si prevalecen motivos legítimos)

Efectos:

Los datos se conservan pero NO se pueden tratar (salvo consentimiento del interesado, reclamaciones, protección de derechos de terceros o razones de interés público).

Ejemplo:

Cliente que disputa un cargo en su factura puede solicitar limitación del tratamiento de sus datos de pago hasta resolución del conflicto.

6️⃣ Derecho a la Portabilidad

¿Qué es?

El interesado puede recibir sus datos en formato estructurado, de uso común y lectura mecánica, y transmitirlos a otro responsable sin impedimentos.

Requisitos para ejercerlo:

  • ✓ El tratamiento se base en consentimiento o ejecución de contrato
  • ✓ El tratamiento se efectúe por medios automatizados

Alcance:

Solo afecta a datos facilitados por el interesado. No incluye datos inferidos o derivados por el responsable.

Ejemplo práctico:

Usuario de red social que quiere cambiar a otra plataforma puede solicitar todos sus posts, fotos, contactos en formato CSV/JSON y subirlos a la nueva red social.

Plazo:

1 mes (ampliable a 3).

7️⃣ Derecho a no ser Objeto de Decisiones Individuales Automatizadas

¿Qué es?

El interesado tiene derecho a no ser sometido a decisiones basadas únicamente en tratamiento automatizado, incluida la elaboración de perfiles, que produzcan efectos jurídicos o le afecten significativamente.

Ejemplos de decisiones automatizadas:

  • 🏦 Denegación automática de crédito basada en scoring
  • 🎯 Publicidad personalizada mediante perfilado
  • 💼 Procesos de selección de personal con IA
  • 🏥 Diagnósticos médicos automatizados

Excepciones (SÍ se permiten decisiones automatizadas):

  • ✓ Necesarias para celebración o ejecución de contrato
  • ✓ Autorizadas por legislación
  • ✓ Basadas en consentimiento explícito

Garantías necesarias:

Si se realizan decisiones automatizadas permitidas, el responsable debe implementar medidas para salvaguardar derechos:

  • ✓ Derecho a obtener intervención humana
  • ✓ Derecho a expresar su punto de vista
  • ✓ Derecho a impugnar la decisión
8️⃣ Derecho a Retirar el Consentimiento

¿Qué es?

Cuando el tratamiento se base en el consentimiento, el interesado tiene derecho a retirarlo en cualquier momento.

Características:

  • ✓ Debe ser tan fácil retirarlo como darlo
  • ✓ La retirada no afecta a la licitud del tratamiento previo
  • ✓ El responsable debe informar del derecho de retirada antes de dar el consentimiento

Ejemplo:

Usuario suscrito a newsletter puede darse de baja en cualquier momento mediante enlace visible en cada email.

Importante:

Si el tratamiento tiene otra base legal (ej: ejecución de contrato), retirar el consentimiento no implica que cese el tratamiento necesario para cumplir el contrato.

¿Cómo Debe Atender tu Empresa estos Derechos?

1. Habilitar Canales de Comunicación

Email dedicado (ej: privacidad@tuempresa.com), formulario web, dirección postal. Deben estar claramente identificados en tu Política de Privacidad.

2. Verificar Identidad

Puedes solicitar información adicional para confirmar la identidad del solicitante (copia DNI) SOLO si tienes dudas razonables.

3. Plazo de Respuesta: 1 Mes

Desde recepción de la solicitud. Ampliable 2 meses más en casos complejos (informando al interesado).

4. Respuesta Gratuita

Salvo solicitudes manifiestamente infundadas o excesivas, en cuyo caso puedes cobrar un canon razonable o negarte.

5. Documentar Todo

Mantén registro de todas las solicitudes y respuestas para demostrar cumplimiento ante posibles inspecciones.

⚖️

Sanciones RGPD: Casos Reales en España

El RGPD establece un régimen sancionador de dos niveles con multas que pueden alcanzar cifras millonarias. Veamos casos reales de empresas españolas multadas por la Agencia Española de Protección de Datos (AEPD).

Sistema de Sanciones del RGPD

Tipo de Infracción Sanción Máxima Ejemplos
Infracciones Muy Graves (Art. 83.5 y 83.6) 20.000.000€ o 4% facturación anual global (lo que sea mayor) • Tratar datos sin consentimiento válido
• Violación de categorías especiales (datos sensibles)
• Transferencias internacionales ilícitas
• Incumplir resoluciones de autoridad
• Decisiones automatizadas sin garantías
Infracciones Graves (Art. 83.4) 10.000.000€ o 2% facturación anual global (lo que sea mayor) • No notificar brechas de seguridad
• No realizar EIPD cuando sea necesaria
• No designar DPO siendo obligatorio
• No cooperar con autoridad supervisora
• Incumplir certificaciones
⚠️
Importante:

Además de multas, las empresas pueden enfrentar: suspensión de tratamientos, prohibición de operar, daño reputacional, pérdida de clientes, demandas civiles y responsabilidad penal de directivos.

📊 Casos Reales de Sanciones en España

🏢 Google LLC 10.000.000€

Año: 2023

Motivo: Incumplimientos en el derecho al olvido. Google no eliminó resultados de búsqueda tras solicitudes legítimas de ciudadanos españoles que ejercieron su derecho de supresión.

Lección: Las grandes tecnológicas NO están exentas. Atender los derechos ARCO es obligatorio y las demoras sistemáticas se sancionan duramente.

📱 Vodafone España 8.150.000€

Año: 2022

Motivo: Tratamiento ilícito de datos de clientes para envío masivo de publicidad sin consentimiento válido. Además, no atendieron correctamente ejercicios del derecho de oposición.

Lección: El consentimiento para marketing debe ser específico, informado y demostrable. Las casillas pre-marcadas NO son válidas.

🏦 CaixaBank 6.000.000€

Año: 2022

Motivo: Falta de diligencia en la recogida del consentimiento para comercializar seguros a clientes. Utilizó información bancaria para fines comerciales sin autorización adecuada.

Lección: El sector financiero tiene obligaciones especiales. No se puede usar información de un servicio (cuenta bancaria) para comercializar otros (seguros) sin consentimiento explícito.

🛒 Mercadona 2.500.000€

Año: 2021

Motivo: Uso de cámaras con reconocimiento facial en sus supermercados sin informar adecuadamente a clientes ni obtener consentimiento. Tratamiento de datos biométricos (categoría especial) sin base legal.

Lección: Los datos biométricos requieren consentimiento explícito. La videovigilancia tiene límites estrictos establecidos por RGPD y LOPDGDD.

🏨 Meliá Hotels 600.000€

Año: 2023

Motivo: Brecha de seguridad que expuso datos de clientes. La empresa tardó más de 72 horas en notificar el incidente a la AEPD y no tenía medidas de seguridad adecuadas.

Lección: Las brechas de seguridad deben notificarse en 72 horas. Tener un plan de respuesta a incidentes es fundamental. La seguridad debe ser proporcional al riesgo.

🏪 Carrefour España 450.000€

Año: 2022

Motivo: Envío de comunicaciones comerciales a clientes que previamente habían ejercido su derecho de oposición. Falta de actualización de listas de exclusión.

Lección: Cuando un cliente dice "NO quiero publicidad", debe respetarse inmediatamente. Los sistemas deben sincronizar las listas de exclusión en tiempo real.

🚕 Cabify España 65.000€

Año: 2021

Motivo: Brecha de seguridad en la app que permitió a usuarios ver datos de otros clientes (nombres, teléfonos, trayectos). No notificaron el incidente correctamente.

Lección: Las startups tecnológicas deben implementar Privacy by Design desde el desarrollo. Los tests de seguridad son obligatorios antes de lanzar productos.

🏥 Hospital Privado (anonimizado) 30.000€

Año: 2023

Motivo: Empleado accedió sin autorización a historiales clínicos de otros pacientes. El hospital no tenía controles de acceso adecuados ni registros de auditoría.

Lección: El sector sanitario debe implementar control de acceso basado en roles. Solo personal autorizado debe acceder a historias clínicas, y todos los accesos deben quedar registrados.

Factores que Agravan las Sanciones

⬆️

Agravan

  • Gran volumen de afectados
  • Categorías especiales de datos
  • Carácter intencional (no accidental)
  • Reincidencia
  • Falta de cooperación con autoridad
  • Nula o insuficiente medidas técnicas
  • Beneficio económico obtenido
⬇️

Atenúan

  • Medidas para minimizar daños
  • Cooperación con autoridad
  • Notificación proactiva de infracción
  • Cumplimiento de códigos de conducta
  • Adhesión a certificaciones
  • Primera infracción
  • Carácter negligente (no doloso)

Checklist Interactivo de Cumplimiento RGPD

Utiliza este checklist interactivo para evaluar el nivel de cumplimiento de tu empresa. Haz clic en cada elemento para marcarlo como completado.

💡
Recomendación:

Completa este checklist con tu equipo y guarda el resultado. Los elementos no completados deben convertirse en tu plan de acción inmediato.

📋 Fase 1: Fundamentos Legales

Base legal documentada

Hemos identificado y documentado la base legal para cada tratamiento de datos (consentimiento, ejecución de contrato, obligación legal, interés legítimo, etc.)

Política de Privacidad publicada

Tenemos una Política de Privacidad actualizada, clara, accesible y en español (+ idiomas según aplique)

Política de Cookies implementada

Banner de cookies conforme (NO aceptación implícita), gestión de consentimiento granular, cookie wall prohibido

Consentimiento válido

Obtenemos consentimiento de forma clara, específica y demostrable. Sin casillas pre-marcadas. Tan fácil retirarlo como darlo

📁 Fase 2: Inventario y Clasificación

Registro de Actividades de Tratamiento (RAT)

Tenemos actualizado el registro con todos los tratamientos: finalidad, categorías de datos, destinatarios, plazos, medidas de seguridad

Inventario de datos

Sabemos qué datos personales tenemos, dónde están almacenados (servidores, cloud, papel), quién accede a ellos

Clasificación de datos

Hemos clasificado los datos según nivel de sensibilidad (público, interno, confidencial, secreto, categorías especiales)

🔒 Fase 3: Seguridad

Medidas técnicas de seguridad

Cifrado de datos en tránsito y reposo, backups regulares, antivirus, firewall, actualizaciones de seguridad

Control de acceso

Solo personal autorizado accede a datos personales. Contraseñas robustas, autenticación de doble factor (2FA), revocación de accesos al cesar empleados

Plan de respuesta a incidentes

Protocolo documentado para detectar, contener, evaluar y notificar brechas de seguridad en 72h

Software DLP (si aplica)

Para empresas con datos sensibles masivos: herramienta de prevención de pérdida de datos implementada

👥 Fase 4: Organización y Roles

DPO designado (si obligatorio)

Delegado de Protección de Datos nombrado, con recursos suficientes, independencia y acceso dirección

Responsables internos definidos

Roles y responsabilidades claros: quién gestiona ejercicio de derechos, quién revisa contratos, quién responde incidentes

Formación de empleados

Todo el personal recibe formación inicial y continua sobre protección de datos y obligaciones RGPD

Cláusulas de confidencialidad

Contratos laborales y de prestación de servicios incluyen obligaciones de confidencialidad y protección de datos

🤝 Fase 5: Terceros y Proveedores

Contratos de encargado de tratamiento

Todos los proveedores que acceden a datos personales tienen contrato firmado con cláusulas RGPD (Art. 28)

Due diligence de proveedores

Evaluamos nivel de cumplimiento RGPD de proveedores antes de contratarlos. Auditorías periódicas

Transferencias internacionales seguras

Si transferimos datos fuera UE/EEE: mecanismos válidos (decisión de adecuación, cláusulas contractuales tipo, BCRs)

⚖️ Fase 6: Derechos de los Interesados

Canales de ejercicio de derechos

Email, formulario web o canal claro para que interesados ejerzan derechos ARCO+. Publicado en Política de Privacidad

Procedimiento de atención de derechos

Proceso documentado para recibir, validar, procesar y responder solicitudes en plazo (1 mes)

Registro de solicitudes

Llevamos registro de todas las solicitudes de ejercicio de derechos y las respuestas dadas

📊 Fase 7: Evaluación y Mejora Continua

Evaluaciones de Impacto (EIPD)

Realizadas EIPDs para tratamientos de alto riesgo (categorías especiales, monitorización sistemática, decisiones automatizadas)

Auditorías periódicas

Revisiones anuales (mínimo) del cumplimiento RGPD. Auditorías internas o externas según tamaño

Privacy by Design & by Default

Nuevos proyectos, productos o servicios integran protección de datos desde diseño y por defecto

Documentación actualizada

Todos los documentos (RAT, políticas, procedimientos, EIPDs) se revisan y actualizan al menos anualmente

0%

Tu progreso se calcula automáticamente mientras marcas elementos completados

⚖️

RGPD vs LOPDGDD: Diferencias Clave

El RGPD (Reglamento General de Protección de Datos) es de aplicación directa en toda la UE desde mayo 2018. La LOPDGDD (Ley Orgánica 3/2018 de Protección de Datos Personales y Garantía de los Derechos Digitales) es la ley española que adapta y complementa el RGPD.

💡
Relación:

La LOPDGDD NO sustituye al RGPD, sino que lo complementa aprovechando los márgenes de maniobra que el Reglamento deja a los Estados miembros. En caso de conflicto, prevalece el RGPD.

Principales Diferencias y Complementos

Aspecto RGPD (UE) LOPDGDD (España)
Ámbito territorial Toda la Unión Europea + tratamientos que afecten a ciudadanos UE Solo España (complementa el RGPD)
Tipo de norma Reglamento (aplicación directa) Ley Orgánica (rango superior en jerarquía española)
Entrada en vigor 25 mayo 2018 7 diciembre 2018
Edad consentimiento menores Entre 13-16 años (cada país decide) 14 años en España
DPO obligatorio Administraciones públicas, monitorización habitual, categorías especiales a gran escala Añade: colegios, universidades, sectores con normativa específica (sanidad, banca)
Régimen sancionador Hasta 20M€ o 4% facturación Matiza: apercibimiento previo para infracciones leves primera vez en PYMES
Videovigilancia Marco general Regula detalladamente: carteles informativos, prohibición de cámaras en zonas privadas (baños, vestuarios), grabación de audio, acceso policía
Sistemas de información crediticia No regula específicamente Regula ficheros de solvencia patrimonial (ASNEF, etc.): plazo máximo 5 años para datos negativos, notificación al interesado
Datos de contacto empresarial No hay excepciones explícitas Permite tratamiento de datos de contacto profesionales (email corporativo) para actividad profesional/empresarial sin consentimiento previo
Redes sociales No regula específicamente Introduce derecho de rectificación en redes sociales, obligación de informar sobre uso de datos de menores
Derecho al olvido Marco general (Art. 17) Amplía: derecho al olvido en motores de búsqueda, derecho al olvido en redes sociales de menores
Datos de personas fallecidas NO regula (deja a Estados miembros) Regula: herederos pueden ejercer derechos sobre datos del fallecido (acceso, rectificación, supresión) salvo prohibición expresa del fallecido
Garantía de derechos digitales NO incluye Título X innovador: desconexión digital, intimidad frente a dispositivos de videovigilancia, derecho a testamento digital, neutralidad de internet

Novedades Destacadas de la LOPDGDD

👶

Protección de Menores

  • Consentimiento válido a partir de 14 años
  • Menores de 14: necesario consentimiento padres/tutores
  • Derecho al olvido reforzado en redes sociales
  • Colegios deben designar DPO
📹

Videovigilancia

  • Carteles informativos obligatorios (zona videovigilada)
  • Prohibido grabar zonas privadas de empleados
  • Conservación máxima: 1 mes (salvo investigación)
  • Acceso Fuerzas de Seguridad regulado
💼

Ámbito Laboral

  • Derecho a la desconexión digital
  • Límites a videovigilancia y geolocalización
  • Control de dispositivos digitales proporcionados por empresa
  • Política de uso aceptable obligatoria
💀

Datos de Fallecidos

  • Herederos pueden ejercer derechos ARCO
  • Testamento digital: instrucciones sobre datos post-mortem
  • Excepción: si fallecido lo prohibió expresamente
  • Interés histórico, científico o estadístico prevalece

Derecho a la Desconexión Digital (Art. 88 LOPDGDD)

🌙
Novedad española:

Los trabajadores tienen derecho a no responder comunicaciones laborales fuera de su horario de trabajo (emails, llamadas, WhatsApp), sin que esto pueda constituir causa de despido o sanción.

Obligaciones empresariales:

  • ✅ Elaborar política interna de desconexión digital
  • ✅ Negociarla con representantes de trabajadores
  • ✅ Formar a plantilla y directivos
  • ✅ Garantizar que trabajadores puedan desconectar sin consecuencias

¿Cuál Prevalece en Caso de Conflicto?

⚖️
Jerarquía normativa:

El RGPD prevalece sobre la LOPDGDD. Si hay contradicción entre ambas normas, se aplica el Reglamento europeo. La LOPDGDD solo puede regular aquello que el RGPD deja expresamente a discreción de los Estados miembros.

¿Necesitas Ayuda con el Cumplimiento RGPD?

En kumplir.es somos especialistas en implementación de compliance RGPD para empresas de todos los tamaños y sectores. Te ayudamos a cumplir la normativa y evitar sanciones millonarias.

Solicitar Consultoría Gratuita Ver Nuestros Servicios RGPD

✅ Nuestros Servicios de Compliance RGPD:

  • 🔹 Auditoría integral de cumplimiento RGPD
  • 🔹 Elaboración de Registro de Actividades de Tratamiento (RAT)
  • 🔹 Políticas de Privacidad y Cookies personalizadas
  • 🔹 Evaluaciones de Impacto (EIPD) para tratamientos de alto riesgo
  • 🔹 Servicio de DPO externo (Delegado de Protección de Datos)
  • 🔹 Implementación de Software DLP (Data Loss Prevention)
  • 🔹 Formación de equipos en protección de datos
  • 🔹 Canal de Denuncias conforme Ley 2/2023
  • 🔹 Protocolos de respuesta ante brechas de seguridad
  • 🔹 Contratos de encargado de tratamiento