Inicio

RGPD empresa: obligaciones clave que debes cumplir

Todo lo que necesita saber tu empresa sobre el RGPD: obligaciones, bases jurídicas, derechos de los interesados y sanciones. Guía actualizada mayo 2026.

Adrian

·

Equipo editorial CentroLegal ·
·
Lectura: 7-10 min

Si tienes una empresa y tratas datos personales de clientes, empleados o proveedores, el RGPD empresa no es una opción: es una obligación legal de obligado cumplimiento. El Reglamento (UE) 2016/679 —conocido como RGPD— y su desarrollo nacional, la LO 3/2018 (LOPDGDD), establecen un marco exigente cuyo incumplimiento puede traducirse en sanciones de hasta 20 millones de euros o el 4 % de la facturación anual mundial. En esta guía encontrarás las claves esenciales para orientarte, aunque cada caso concreto merece valoración profesional.

⚡ Respuesta rápida: ¿qué necesita tu empresa para cumplir el RGPD?

  • Identificar las bases jurídicas que legitiman cada tratamiento de datos (no todo requiere consentimiento).
  • Elaborar y mantener el Registro de Actividades de Tratamiento.
  • Informar a los interesados de forma clara y accesible (cláusulas informativas).
  • Gestionar los derechos ARCO-POL en plazo máximo de 1 mes (prorrogable).
  • Notificar brechas de seguridad a la AEPD en un máximo de 72 horas.

¿El RGPD afecta a tu empresa aunque sea pequeña?

La respuesta, generalmente, es sí. El RGPD se aplica a cualquier organización —independientemente de su tamaño— que trate datos personales de personas físicas en la Unión Europea. Esto incluye autónomos, pymes y grandes corporaciones. La diferencia de tamaño puede influir en algunos requisitos (como la obligación de nombrar Delegado de Protección de Datos, que no es universal), pero no exime del cumplimiento básico.

El responsable del tratamiento es la empresa o persona que decide los fines y medios del tratamiento. El encargado del tratamiento, en cambio, es quien trata datos por cuenta del responsable (por ejemplo, un proveedor de software en la nube). Distinguir ambas figuras es fundamental, ya que sus obligaciones difieren.

⚠️ Atención: Si trabajas con proveedores que acceden a datos de tus clientes o empleados (gestoría, plataforma CRM, servicio de correo), debes firmar con ellos un contrato de encargo de tratamiento. Sin él, tu empresa podría incurrir en infracción.

¿Sabes realmente por qué puedes tratar esos datos?

Uno de los errores más frecuentes en las empresas es asumir que todo tratamiento de datos requiere el consentimiento del interesado. El RGPD establece en la normativa aplicable hasta seis bases jurídicas que pueden legitimar un tratamiento, y el consentimiento es solo una de ellas:

  1. Consentimiento del interesado (debe ser libre, informado, específico e inequívoco).
  2. Ejecución de un contrato en el que el interesado es parte (p. ej., datos de clientes para facturar).
  3. Obligación legal del responsable (p. ej., datos laborales para cotización a la Seguridad Social).
  4. Intereses vitales del interesado u otra persona física.
  5. Interés público o ejercicio de poderes públicos.
  6. Interés legítimo del responsable o de un tercero, siempre que no prevalezcan los derechos del interesado.
🚫 Error habitual: Solicitar consentimiento para tratar datos de empleados cuando la base jurídica real es la ejecución del contrato de trabajo o una obligación legal. El consentimiento en contextos de desequilibrio (empleador–empleado) generalmente no se considera libre ni válido.

Foto editorial sobre RGPD empresa - CentroLegal
RGPD empresa: obligaciones clave que debes cumplir | CentroLegal

Obligaciones prácticas del responsable del tratamiento: ¿por dónde empezar?

Cumplir el RGPD empresa implica, en la mayoría de casos, al menos las siguientes actuaciones:

  1. Registro de Actividades de Tratamiento (RAT): documento interno donde se recogen todos los tratamientos que realiza la empresa (qué datos, con qué finalidad, base jurídica, destinatarios, plazos de conservación…).
  2. Cláusulas informativas: los interesados deben ser informados de forma clara sobre cómo se tratan sus datos (en formularios web, contratos, nóminas, etc.).
  3. Política de privacidad: accesible y actualizada en la web corporativa.
  4. Contratos de encargo de tratamiento con todos los proveedores que accedan a datos personales.
  5. Medidas de seguridad técnicas y organizativas adecuadas al riesgo de cada tratamiento.
💡 Consejo: La AEPD pone a disposición herramientas gratuitas como Facilita RGPD para pymes y autónomos con tratamientos de bajo riesgo. Úsalas como punto de partida, pero ten en cuenta que no cubren todos los escenarios.

Los derechos de los interesados: ¿respondes a tiempo?

Los interesados —clientes, empleados, usuarios— tienen reconocidos una serie de derechos que tu empresa debe atender. Se conocen como derechos ARCO-POL: Acceso, Rectificación, Supresión (el mal llamado «derecho al olvido»), Oposición, Portabilidad y Limitación del tratamiento.

Resumen de derechos ARCO-POL
Derecho ¿Qué permite al interesado?
Acceso Saber qué datos trata la empresa sobre él y con qué finalidad.
Rectificación Corregir datos inexactos o incompletos.
Supresión Solicitar la eliminación de sus datos cuando ya no sean necesarios o retire el consentimiento.
Oposición Oponerse a un tratamiento basado en interés legítimo o con fines de marketing directo.
Portabilidad Recibir sus datos en formato estructurado y legible por máquina.
Limitación Solicitar que se suspenda temporalmente el tratamiento en ciertos supuestos.

El plazo para responder es generalmente de 1 mes desde la recepción de la solicitud, prorrogable hasta 2 meses adicionales en casos de especial complejidad, siempre que se informe al interesado en el primer mes. Si la empresa no responde o la respuesta es insatisfactoria, el interesado puede presentar reclamación ante la AEPD. Cabe señalar que el Tribunal Supremo, en la STS 1547/2020 (Sala 3.ª), abordó el derecho de supresión en el contexto del desindexado de enlaces en buscadores, subrayando que este derecho opera cuando los datos han perdido relevancia pública actual, lo que ilustra la dimensión práctica que pueden alcanzar estos ejercicios de derechos.

⚠️ Importante: No confundas el derecho de acceso con el derecho de rectificación o supresión. Son derechos distintos con requisitos y efectos diferentes. Responder a uno no equivale a haber atendido el otro.

Brechas de seguridad: ¿sabes qué hacer en las próximas 72 horas?

Una brecha de seguridad es cualquier incidente que provoque la destrucción, pérdida, alteración, divulgación o acceso no autorizado a datos personales. Puede ser un ciberataque, pero también el envío de un correo a destinatarios incorrectos o la pérdida de un portátil con datos de clientes.

La normativa aplicable obliga al responsable del tratamiento a notificar a la AEPD en un plazo máximo de 72 horas desde que tenga conocimiento de la brecha, siempre que esta suponga un riesgo para los derechos y libertades de las personas. Si el riesgo es alto, también habrá que comunicarlo a los propios interesados.

📋 Ejemplo práctico: Una clínica dental sufre un ataque de ransomware que cifra el historial de sus pacientes. Tiene 72 horas para notificarlo a la AEPD y, si se confirma alto riesgo para los pacientes, también debe comunicárselo a ellos. La falta de notificación en plazo puede agravar la sanción.

💡 ¿Necesitas ayuda con tu caso concreto?

Nuestros despachos colaboradores ofrecen una primera valoración gratuita. Solicítala al final del artículo →

Sanciones de la AEPD: ¿cuánto puede costar el incumplimiento del RGPD empresa?

El régimen sancionador es uno de los aspectos que más preocupa —y con razón— a las empresas. Las infracciones se clasifican en dos niveles:

  • Infracciones graves: multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial.
  • Infracciones muy graves (vulneración de principios básicos, bases jurídicas o derechos de los interesados): multas de hasta 20 millones de euros o el 4 % de la facturación anual mundial.

No obstante, es importante matizar que la AEPD no impone siempre una sanción económica. En determinados casos —especialmente en empresas que han actuado de buena fe o han corregido la situación con diligencia— puede emitir un apercibimiento sin sanción económica. La gravedad, intencionalidad, número de afectados y medidas correctoras adoptadas influyen en la resolución final.

Ten en cuenta, además, que en el País Vasco y Cataluña existen autoridades de control autonómicas con competencias en ciertos ámbitos del sector público, aunque la AEPD mantiene la competencia general sobre el sector privado.

⚠️ Riesgo YMYL: Los importes anteriores son los máximos legales. La sanción concreta depende de múltiples factores del caso. Consulta siempre con un profesional antes de asumir que tu empresa está en riesgo de una multa de un importe específico.

Foto editorial sobre RGPD empresa - CentroLegal
RGPD empresa: obligaciones clave que debes cumplir | CentroLegal

¿Tu empresa está preparada? Checklist de cumplimiento básico

Repasa este listado orientativo para identificar posibles gaps en tu organización. No es exhaustivo, pero cubre los puntos más frecuentemente incumplidos:

  1. ☐ Tienes identificadas y documentadas las bases jurídicas de cada tratamiento.
  2. ☐ Cuentas con un Registro de Actividades de Tratamiento (RAT) actualizado.
  3. ☐ Tus formularios web y contratos incluyen cláusulas informativas completas.
  4. ☐ Has firmado contratos de encargo de tratamiento con todos los proveedores relevantes.
  5. ☐ Tienes un procedimiento interno para atender solicitudes de derechos ARCO-POL en plazo.
  6. ☐ Dispones de un protocolo de gestión y notificación de brechas de seguridad.
  7. ☐ Tu política de cookies cumple con el requisito de consentimiento por acción afirmativa (sin casillas pre-marcadas).
  8. ☐ Has evaluado si tu actividad requiere nombrar un Delegado de Protección de Datos (DPD).
💡 Cuándo acudir a un profesional: Si tratas datos sensibles (salud, ideología, datos biométricos), realizas tratamientos a gran escala, o has recibido una solicitud de derechos o una investigación de la AEPD, no demores la consulta a un especialista en protección de datos.

📅 Nota de vigencia: Este artículo refleja el marco normativo vigente en mayo de 2026 conforme al RGPD (UE) 2016/679 y la LOPDGDD (LO 3/2018). La normativa puede actualizarse; consulta siempre las fuentes oficiales o a un profesional para casos concretos. CentroLegal no es un despacho de abogados y este contenido no constituye asesoramiento jurídico personalizado.

Preguntas frecuentes

¿El RGPD empresa se aplica también a autónomos?

Generalmente sí. Si un autónomo trata datos personales de terceros (clientes, proveedores, empleados), está sujeto al RGPD y a la LOPDGDD en su condición de responsable del tratamiento, aunque algunas obligaciones se modulan en función del volumen y tipo de tratamiento.

¿Es obligatorio tener un Delegado de Protección de Datos (DPD)?

No en todos los casos. La normativa aplicable exige DPD a las autoridades y organismos públicos, y a empresas cuya actividad principal implique tratamientos a gran escala de datos sensibles o seguimiento sistemático de personas. Muchas pymes no están obligadas, aunque su designación voluntaria puede ser recomendable.

¿Necesito consentimiento para enviar publicidad a mis clientes?

Depende. Si el destinatario es ya cliente y la publicidad se refiere a productos o servicios similares a los que contrató, podría ampararse en el interés legítimo, siempre que se le ofrezca la posibilidad de oponerse. Para envíos a contactos sin relación contractual previa, el consentimiento suele ser la base jurídica adecuada. Cada caso debe valorarse individualmente.

¿Qué ocurre si un cliente ejerce su derecho de supresión y no respondo en plazo?

El interesado puede reclamar ante la AEPD, que podría iniciar un procedimiento sancionador contra tu empresa. El plazo de prescripción para presentar esa reclamación es generalmente de 3 años. La falta de respuesta en el plazo de 1 mes (prorrogable) se considera infracción.

¿Cuánto tiempo puedo conservar los datos de mis clientes?

No existe un plazo único. Los datos deben conservarse solo durante el tiempo necesario para la finalidad que justificó su recogida. Una vez cumplida esa finalidad, deben suprimirse o bloquearse, salvo que la normativa aplicable (fiscal, laboral, mercantil…) exija conservarlos durante un periodo determinado.

¿Las cookies de mi web necesitan consentimiento?

Las cookies no estrictamente técnicas (analíticas, publicitarias, de redes sociales) requieren consentimiento previo mediante una acción afirmativa clara del usuario. No son válidas las casillas pre-marcadas ni la mera navegación como manifestación de consentimiento.

¿Puedo transferir datos de clientes a proveedores en países fuera de la UE?

Sí, pero con condiciones. Las transferencias internacionales a países sin decisión de adecuación de la Comisión Europea (que reconozca su nivel de protección equivalente al europeo) requieren garantías adecuadas, como cláusulas contractuales tipo aprobadas por la Comisión. La gestión incorrecta de estas transferencias es una infracción frecuente y sancionable.

¿Necesitas ayuda con tu caso?

Déjanos tus datos y un especialista te contactará en menos de 24 h. Gratis y sin compromiso.

Al enviar este formulario aceptas nuestra política de privacidad. No compartiremos tus datos con terceros sin tu consentimiento.

Advertencia Legal

Esta información tiene carácter puramente informativo y no constituye asesoramiento legal personalizado. Las leyes pueden variar según la Comunidad Autónoma. Le recomendamos consultar con un abogado colegiado antes de tomar decisiones basadas en este contenido.

Lecturas Recomendadas