Si tu empresa trata datos personales de clientes, empleados o usuarios web, estás obligado a cumplir el RGPD. Sin excepción. Sin importar el tamaño del negocio. Adaptamos tu empresa a la normativa de protección de datos con toda la documentación legal necesaria: política de privacidad, aviso legal, cookies, registro de tratamientos y contratos con proveedores.
Orientación inicial gratuita de hasta 3 minutos · Sin compromiso · Confidencial
El RGPD no es burocracia opcional. Desde el 25 de mayo de 2018, cualquier empresa, autónomo o profesional que trate datos de personas físicas en la UE está obligado a cumplirlo. No existe un umbral mínimo de tamaño: un autónomo con una agenda de clientes o un formulario de contacto en su web ya está obligado.
Toda persona cuyos datos tratas tiene derecho a saber qué datos recoges, para qué, durante cuánto tiempo, con qué base jurídica y a quién se los cedes.
El consentimiento debe ser libre, específico, informado e inequívoco. Las casillas premarcadas ya no son válidas.
Debes documentar qué datos tratas, con qué finalidad y qué medidas de seguridad aplicas.
La empresa debe proteger los datos mediante medidas técnicas y organizativas adecuadas.
Los proveedores que acceden a datos deben firmar contratos de encargo del tratamiento.
Las brechas de seguridad deben notificarse a la AEPD en un plazo máximo de 72 horas.
La AEPD puede imponer sanciones económicas muy elevadas dependiendo de la gravedad, intencionalidad y volumen de negocio de la empresa.
| Tipo | Ejemplos | Sanción máxima |
|---|---|---|
| Muy grave | Tratamiento sin base jurídica o vulneración de derechos | 20M€ o 4% |
| Grave | Incumplimiento de obligaciones del responsable | 10M€ o 2% |
| Leve | Defectos formales o cookies incorrectas | Hasta 40.000 € |
La AEPD ha incrementado significativamente las sanciones a pequeñas empresas y autónomos. Las políticas de cookies incorrectas, formularios sin información legal o emails comerciales sin consentimiento son algunas de las causas más habituales.
El RGPD no es burocracia opcional. Desde el 25 de mayo de 2018, cualquier empresa, autónomo o profesional que trate datos de personas físicas en la UE está obligado a cumplirlo. No existe un umbral mínimo de tamaño: un autónomo con una agenda de clientes o un formulario de contacto en su web ya está obligado.
Toda persona cuyos datos tratas tiene derecho a saber qué datos recoges, para qué, durante cuánto tiempo, con qué base jurídica y a quién se los cedes. Debe informarse de forma clara, concisa y en el momento de la recogida.
Cuando la base jurídica del tratamiento es el consentimiento, debe ser libre, específico, informado e inequívoco. Las casillas premarcadas o el consentimiento implícito no son válidos bajo el RGPD.
El registro de actividades de tratamiento debe detallar qué datos tratas, con qué finalidad, durante cuánto tiempo y qué medidas de seguridad aplicas. La AEPD puede solicitarlo en cualquier momento.
Debes implementar medidas técnicas y organizativas apropiadas para proteger los datos: contraseñas seguras, acceso restringido, copias de seguridad, cifrado cuando proceda y procedimientos ante brechas de seguridad.
Si un proveedor accede a datos personales de tu empresa —gestoría, plataforma de email marketing, CRM cloud o empresa de hosting— debes formalizar un contrato de encargo del tratamiento.
Si sufres una brecha de seguridad que afecte a datos personales, tienes 72 horas para notificarlo a la AEPD y, si el riesgo es alto, también debes informar a los afectados sin demora indebida.
El RGPD establece tres niveles de infracciones con importes máximos distintos. La AEPD aplica criterios de proporcionalidad según el tamaño de la empresa, la intencionalidad y los daños causados.
| Tipo de infracción | Ejemplos | Sanción máxima |
|---|---|---|
| Muy grave | Vulnerar principios básicos, tratar sin base jurídica, incumplir derechos del interesado, transferencias internacionales ilegales | 20.000.000 € o 4% del volumen global |
| Grave | Incumplir obligaciones del responsable, no cumplir con el encargado del tratamiento, no designar representante | 10.000.000 € o 2% del volumen global |
| Leve (LOPDGDD) | Incumplimiento formal, defectos menores en información, política de cookies incompleta | Hasta 40.000 € — apercibimiento posible |
| Apercibimiento | Primera infracción leve sin daño real, empresa que regulariza rápidamente | Sin importe económico — advertencia formal |
La Agencia Española de Protección de Datos — AEPD ha incrementado significativamente el número de expedientes sancionadores a pequeñas empresas y autónomos en los últimos años. Las quejas de clientes o usuarios, la falta de política de cookies, formularios web sin información adecuada o el envío de emails publicitarios sin consentimiento son causas frecuentes de apertura de expediente. La regularización proactiva antes de recibir una queja es siempre la opción más económica.
El RGPD no es burocracia opcional. Desde el 25 de mayo de 2018, cualquier empresa, autónomo o profesional que trate datos de personas físicas en la UE está obligado a cumplirlo. No existe un umbral mínimo de tamaño: un autónomo con una agenda de clientes o un formulario de contacto en su web ya está obligado.
Toda persona cuyos datos tratas tiene derecho a saber qué datos recoges, para qué, durante cuánto tiempo, con qué base jurídica y a quién se los cedes. Debe informarse de forma clara, concisa y en el momento de la recogida.
Cuando la base jurídica del tratamiento es el consentimiento, debe ser libre, específico, informado e inequívoco. Las casillas premarcadas o el consentimiento implícito no son válidos bajo el RGPD.
El registro de actividades de tratamiento debe detallar qué datos tratas, con qué finalidad, durante cuánto tiempo y qué medidas de seguridad aplicas. La AEPD puede solicitarlo en cualquier momento.
Debes implementar medidas técnicas y organizativas apropiadas para proteger los datos: contraseñas seguras, acceso restringido, copias de seguridad, cifrado cuando proceda y procedimientos ante brechas de seguridad.
Si un proveedor accede a datos personales de tu empresa —gestoría, plataforma de email marketing, CRM cloud o empresa de hosting— debes formalizar un contrato de encargo del tratamiento.
Si sufres una brecha de seguridad que afecte a datos personales, tienes 72 horas para notificarlo a la AEPD y, si el riesgo es alto, también debes informar a los afectados sin demora indebida.
El RGPD establece tres niveles de infracciones con importes máximos distintos. La AEPD aplica criterios de proporcionalidad según el tamaño de la empresa, la intencionalidad y los daños causados.
| Tipo de infracción | Ejemplos | Sanción máxima |
|---|---|---|
| Muy grave | Vulnerar principios básicos, tratar sin base jurídica, incumplir derechos del interesado, transferencias internacionales ilegales | 20.000.000 € o 4% del volumen global |
| Grave | Incumplir obligaciones del responsable, no cumplir con el encargado del tratamiento, no designar representante | 10.000.000 € o 2% del volumen global |
| Leve (LOPDGDD) | Incumplimiento formal, defectos menores en información, política de cookies incompleta | Hasta 40.000 € — apercibimiento posible |
| Apercibimiento | Primera infracción leve sin daño real, empresa que regulariza rápidamente | Sin importe económico — advertencia formal |
La Agencia Española de Protección de Datos — AEPD ha incrementado significativamente el número de expedientes sancionadores a pequeñas empresas y autónomos en los últimos años. Las quejas de clientes o usuarios, la falta de política de cookies, formularios web sin información adecuada o el envío de emails publicitarios sin consentimiento son causas frecuentes de apertura de expediente. La regularización proactiva antes de recibir una queja es siempre la opción más económica.
El cumplimiento del RGPD no es un estado, es un proceso documentado. La documentación es la prueba de que tu empresa toma en serio la protección de datos y el primer escudo ante una inspección o queja. Estos son los documentos que necesita tu empresa según el tipo de actividad.
Obligatoria en toda web que recoja datos personales —formularios, registro de usuarios, newsletter o tienda online—. Debe indicar quién trata los datos, con qué finalidad, qué base jurídica aplica, durante cuánto tiempo y cuáles son los derechos del usuario.
⚠️ Obligatoria si tienes web con formulariosExigido por la Ley de Servicios de la Sociedad de la Información —LSSI—. Debe identificar al titular de la web, su domicilio, NIF/CIF, datos de contacto y condiciones de uso. Es distinto e independiente de la política de privacidad.
⚠️ Obligatorio para cualquier web de empresaObligatoria si la web usa cookies no técnicas —analítica, publicidad, redes sociales o mapas embebidos—. El banner debe permitir aceptar, rechazar o configurar cookies antes de instalarlas.
⚠️ Si usas Google Analytics, es obligatorioDocumento interno que detalla todos los tratamientos de datos que realiza la empresa: datos de clientes, empleados, proveedores y usuarios web. Es recomendable para cualquier empresa porque la AEPD puede requerir información documental en una inspección.
Recomendado para toda empresaObligatorios cuando un proveedor accede a datos personales de tu empresa para prestarte un servicio: gestoría, plataforma de email marketing, CRM en la nube, empresa de hosting o desarrollo web. Sin este contrato, responsable y encargado incumplen el RGPD.
⚠️ Obligatorio con proveedores que accedan a tus datosToda recogida de datos debe ir acompañada de información sobre el tratamiento. En contratos con clientes, formularios de contacto, solicitudes de empleo y contratos con empleados debe incluirse una cláusula informativa adaptada al RGPD.
Obligatorio en formularios y contratosEl marco normativo aplicable es el Reglamento (UE) 2016/679 — RGPD, complementado en España por la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales — LOPDGDD. Para la gestión de cookies, también aplica la Directiva ePrivacy 2002/58/CE y las directrices específicas de la AEPD sobre el uso de cookies.
Muchas empresas tienen "adaptación RGPD" con documentos copiados de plantillas genéricas que no reflejan su actividad real, con políticas de privacidad caducadas o con banners de cookies que no cumplen los requisitos actuales. Una documentación RGPD inútil no protege a la empresa: solo genera una falsa sensación de cumplimiento que se desmorona ante la primera inspección o queja. Redactamos documentos que describen lo que realmente hace tu empresa y que resisten el escrutinio de la AEPD.
No usamos plantillas genéricas. Analizamos qué datos trata tu empresa concretamente, con qué finalidades reales, y redactamos la documentación que describe esa actividad específica, no la de "una empresa cualquiera".
La AEPD revisa si la documentación refleja lo que realmente hace la empresa. Una política de privacidad genérica que no menciona los tratamientos reales o un banner de cookies incompleto pueden motivar una sanción.
El RGPD no es una adaptación de una sola vez. Si incorporas nuevos tratamientos, nuevas herramientas o cambia la normativa, la documentación debe actualizarse. Asesoramos también en el mantenimiento continuo.
"La adaptación al RGPD no tiene que ser un proceso burocrático paralizante. Con la metodología correcta, una pyme puede tener su documentación al día en un tiempo razonable y con una inversión proporcional a su actividad. Lo importante es que la documentación refleje la realidad, no que tenga muchas páginas."
Desde el análisis inicial de tu situación hasta la documentación completa y el mantenimiento continuo del cumplimiento.
Identificamos todos los datos personales que trata tu empresa, las finalidades, las bases jurídicas aplicables, los proveedores con acceso a datos y la documentación existente. El diagnóstico determina el alcance de la adaptación y los riesgos más urgentes a corregir.
🔍 Punto de partida siempreRedactamos o actualizamos toda la documentación necesaria: política de privacidad, aviso legal, política de cookies, registro de actividades de tratamiento y cláusulas informativas para contratos y formularios. Adaptada a tu actividad real, no a una plantilla genérica.
📋 Documentos que describen lo que hacesIdentificamos qué proveedores actúan como encargados del tratamiento y formalizamos los contratos DPA necesarios. Sin estos contratos, tanto el responsable como el encargado incumplen el RGPD y pueden ser sancionados por la AEPD ante una queja del interesado.
🤝 Con cada proveedor que toque tus datosEl RGPD no es estático. Si incorporas nuevos servicios, herramientas, empleados o cambias tu forma de tratar datos, la documentación debe actualizarse. Asesoramos también en el mantenimiento continuo del cumplimiento y en la respuesta a derechos de los interesados.
🔄 Cumplimiento que se mantiene vivoSi recibes una notificación de la AEPD iniciando actuaciones de investigación o un procedimiento sancionador, la forma en que respondas en las primeras semanas puede determinar si el expediente termina con archivo, apercibimiento o una sanción económica. Es fundamental actuar con rapidez y con representación jurídica especializada desde el primer momento.
Las notificaciones de la AEPD tienen plazos de respuesta estrictos. El silencio o la demora agrava la situación y puede considerarse falta de colaboración con la autoridad de control.
La AEPD valora positivamente que la empresa corrija las deficiencias antes o durante el procedimiento. La regularización proactiva es uno de los criterios que puede reducir o eliminar la sanción.
La respuesta al pliego de cargos debe articular los argumentos jurídicos que expliquen la situación, acrediten las medidas adoptadas y, si procede, impugnen los hechos o la calificación de la infracción.
El RGPD es una obligación legal más dentro del marco de protección jurídica de tu negocio. Estos servicios complementan el cumplimiento de protección de datos.
Servicio recurrente que incluye asesoramiento RGPD entre otras materias. Cuota mensual fija para cubrir todas las necesidades legales del negocio.
Ver servicioLos contratos con clientes y proveedores deben incluir las cláusulas RGPD correctas. Revisamos y redactamos contratos que cumplen tanto la ley mercantil como la normativa de protección de datos.
Ver servicioCuando hay un conflicto societario, la protección de datos compartidos entre socios también puede ser una cuestión relevante. Asesoramiento completo en conflictos societarios.
Ver servicioRespuestas directas a las preguntas más frecuentes antes de adaptar tu empresa a la normativa de protección de datos.
Cuéntanos tu tipo de actividad y tu situación actual con la protección de datos. Analizamos lo que necesita tu empresa, te indicamos exactamente qué documentos te faltan y cuánto costará regularizarlo.
Orientación inicial gratuita de hasta 3 minutos · Sin compromiso · Confidencial
Revisa la situación RGPD de tu empresa
Consulta sin compromiso · Respuesta en menos de 24 horas
Abogado online en España para particulares, empresas y extranjeros.
Asesoramiento jurídico claro, profesional y orientado a solución.
Consulta inicial con reserva previa. Atención online y telefónica en toda España.
