Si tienes una empresa o trabajas por cuenta propia, manejas datos personales cada día aunque no te hayas parado a pensarlo: el nombre y el correo de tus clientes, los contratos de tu personal, las imágenes de la cámara de la puerta. Todo eso tiene dueño, y ese dueño —la persona a quien pertenecen los datos— tiene derechos que la ley obliga a respetar.
El Reglamento General de Protección de Datos (RGPD) lleva en vigor desde 2018, pero muchos negocios siguen tratándolo como ese cajón que «ya arreglaré cuando tenga un momento». El problema es que ese momento suele llegar con una denuncia encima de la mesa. Y en 2025, la Agencia Española de Protección de Datos (AEPD) aumentó un 16% el número de sanciones, rozando los 50 millones de euros en multas. No es una advertencia menor.
¿A quién le afecta el RGPD?
A todo el mundo. Da igual que tengas tres empleados o trescientos. Si guardas la agenda de clientes en el ordenador, si mandas nóminas por correo o si tienes un formulario de contacto en tu web, ya estás tratando datos personales. Y eso significa que tienes obligaciones.
La norma no distingue entre la gran corporación y la peluquería del barrio. Lo que sí cambia es el nivel de riesgo: cuantos más datos manejes, o más sensibles sean, más documentación y medidas concretas te va a pedir la ley.
Lo que la ley te pide tener por escrito
Una de las cosas que más confunden a los empresarios es pensar que con descargarse una plantilla de internet ya están cubiertos. No funciona así. La AEPD ha dejado claro que lo que valora no son los papeles, sino que esos papeles reflejen lo que tu empresa hace de verdad en el día a día.
Los documentos básicos que cualquier negocio debería tener actualizados son estos:
- Registro de actividades de tratamiento: una lista interna donde explicas qué datos guardas, para qué los usas, cuánto tiempo los conservas y con quién los compartes. Es el punto de partida de todo.
- Contratos con proveedores que tocan tus datos: si tu gestoría, tu empresa de hosting o tu plataforma de email marketing accede a información de tus clientes o empleados, necesitas un acuerdo firmado que regule ese acceso. Sin él, el responsable eres tú.
- Análisis de riesgos: una valoración de qué podría salir mal con los datos que manejas y qué haces para evitarlo. En algunos casos —cuando los datos son especialmente sensibles— esto se convierte en una evaluación de impacto obligatoria.
- Procedimiento para atender derechos: si mañana un cliente te escribe pidiendo que borres todos sus datos, ¿sabes qué tienes que hacer y en qué plazo? Eso tiene que estar definido y documentado.
Tener los papeles en regla no garantiza que no haya problemas, pero no tenerlos convierte cualquier incidente en una infracción directa ante la administración.
No recojas datos al tuntún
Antes de guardar cualquier dato, tienes que tener un motivo legal para hacerlo. En la práctica, eso suele ser una de estas tres situaciones: que la persona te haya dado su consentimiento explícito, que sea necesario para ejecutar un contrato con ella, o que te lo exija una obligación legal como las obligaciones fiscales o laborales.
Lo que no vale es apuntarte los datos de alguien «por si acaso» o usar el interés legítimo como comodín cuando lo que en realidad necesitas es un consentimiento claro. Esa última es, precisamente, una de las causas más frecuentes de sanción.
El eslabón más débil
La mayoría de las brechas de seguridad no vienen de hackers con capucha. Vienen de un empleado que mandó un correo a quien no debía, de un portátil perdido en el tren o de una contraseña que lleva cinco años siendo «1234». El factor humano es, con diferencia, el punto más vulnerable de cualquier organización.
Por eso, formar a las personas que trabajan contigo no es un extra: es parte del cumplimiento. No hace falta un curso de ocho horas; basta con que sepan qué no deben hacer, cómo reportar un incidente y por qué importa.
Qué pasa si hay una brecha de seguridad
Supón que alguien accede a tu base de datos de clientes sin autorización. O que un empleado envía por error un listado con datos personales a la persona equivocada. En cuanto detectas ese incidente, el reloj empieza a correr: tienes 72 horas para notificarlo a la AEPD. No días laborables: horas.
Muchas empresas no notifican porque no saben que deben hacerlo, o porque confían en que nadie se va a enterar. Ambas son malas apuestas. Tener un protocolo preparado de antemano —aunque nunca llegues a usarlo— marca la diferencia entre gestionar el problema con calma y gestionarlo en modo pánico.
Lo que la AEPD mira hoy en día
Hace unos años, la agencia se centraba sobre todo en el spam y en el uso ilícito de datos de marketing. Hoy su foco es más amplio. En 2025 sancionó a AENA con más de 10 millones de euros por usar reconocimiento facial sin haber hecho previamente la evaluación de impacto que exige la ley. También multó a una empresa de alojamiento turístico que pedía un selfie con el DNI para confirmar reservas, sin tener base legal para ello.
El mensaje que lanza la AEPD es claro: ya no basta con tener documentos firmados en un cajón. Lo que se evalúa es si las medidas que tienes son reales, proporcionales y están funcionando.
Si no tienes claro por dónde empezar o si llevas tiempo postergando este asunto, en Consultores RM podemos ayudarte a revisar la situación de tu empresa y poner en orden todo lo necesario para cumplir con la normativa. Escríbenos y lo valoramos juntos antes de que el problema llame a tu puerta.
