RGPD práctico para empresas pequeñas (menores de 50 empleados)
El RGPD aplica a todas las empresas, pero las menores de 50 empleados tienen un régimen simplificado. Lo que sí necesitas y lo que puedes saltarte.
El RGPD aplica a todas las empresas
Es la primera confusión que escucho en cada conversación con propietarios de PYMEs:
"Como tenemos menos de 50 empleados, el RGPD no nos aplica, ¿verdad?"
Falso. El RGPD aplica a toda empresa europea que trate datos personales, sin importar tamaño. Lo que sí varía es el régimen operativo: las empresas menores de 50 empleados tienen obligaciones simplificadas.
Lo que SÍ necesitas — el "mínimo viable"
1. Registro de Actividades de Tratamiento (RAT)
Obligatorio según art. 30 RGPD. Debe documentar:
- Categorías de datos personales que tratas.
- Finalidades del tratamiento.
- Base jurídica (consentimiento, contrato, interés legítimo...).
- Destinatarios o categorías de destinatarios.
- Plazos de conservación.
- Medidas de seguridad técnicas y organizativas.
Para una PYME tipo (e-commerce, despacho, consultora) el RAT cabe en 2-3 páginas. La AEPD publica plantillas gratuitas en facilita.aepd.es.
2. Cláusulas informativas
En todos los formularios donde recoges datos (web, contratos, emails), debes incluir la información del art. 13 RGPD:
- Identidad del responsable (tu empresa + CIF + dirección).
- Finalidad del tratamiento.
- Base jurídica.
- Derechos del interesado (acceso, rectificación, supresión, oposición, portabilidad).
- Cómo ejercerlos (email de contacto).
3. Contratos con encargados del tratamiento
Si usas Google Workspace, Slack, Stripe, HubSpot, Mailchimp o cualquier SaaS que procesa datos por ti, necesitas tener firmado con ellos un DPA (Data Processing Agreement) según art. 28 RGPD.
La mayoría de proveedores B2B serios tienen su DPA disponible online listo para descargar. Si no lo encuentras, no uses ese proveedor.
4. Política de privacidad pública
En tu web debe haber una sección visible (footer estándar) con la política de privacidad completa. La de tu empresa debería tener al menos 5 secciones: responsable, finalidades, base jurídica, derechos y duración.
5. Notificación de brechas de seguridad
Si sufres un incidente que comprometa datos personales (hackeo, pérdida de USB, email enviado erróneamente con 200 contactos en CC...), tienes 72 horas para notificarlo a la AEPD desde que lo detectas (art. 33 RGPD).
Lo que NO necesitas (si menores de 50 empleados)
| Obligación | ¿Aplica menores de 50 empleados? |
|---|---|
| Delegado Protección Datos (DPD) | Solo si tratas datos sensibles a gran escala |
| Evaluación de Impacto (EIPD) | Solo si tu tratamiento es de "alto riesgo" |
| Auditoría externa anual | No obligatoria |
| Registro AEPD | No (eliminado en 2018) |
Es decir: la mayoría de PYMEs NO necesitan DPD ni auditorías externas.
Sanciones reales 2024-2026
La AEPD ha publicado en su web las sanciones recientes a PYMEs:
| Infracción | Sanción típica |
|---|---|
| Falta de política de privacidad en web | 1.000€ - 5.000€ |
| Cookies sin consentimiento previo | 2.000€ - 10.000€ |
| No responder a derecho de supresión | 3.000€ - 20.000€ |
| Brecha no notificada en 72h | 10.000€ - 50.000€ |
| Tratamiento sin base jurídica | 5.000€ - 100.000€ |
Para PYMEs, las sanciones se han reducido hasta el 40% desde la reforma de 2022 si la empresa colabora y subsana rápido.
El "plan 4 sábados" para cumplir el mínimo
Si quieres ponerte al día sin contratar consultoría externa:
- Sábado 1: Inventario datos + RAT (plantilla AEPD).
- Sábado 2: Política de privacidad + cláusulas formularios.
- Sábado 3: Cookies + banner de consentimiento.
- Sábado 4: DPAs con proveedores + protocolo brechas.
Es trabajo de unas 10-15 horas en total, perfectamente abordable para un autónomo o gestor interno.
¿Cuándo necesitas un curso formal?
Tu equipo necesita formación RGPD obligatoria cuando:
- Hay empleados que manipulan datos personales (todos los de RRHH).
- Hay rotación frecuente que requiere onboarding rápido.
- Has tenido una brecha o consulta AEPD previa.
- Trabajas con datos sensibles (salud, menores, biometría).
El curso "Protección de datos RGPD para empresas" de Hoilab (10h, FUNDAE-proof) cubre el 95% de los escenarios PYMEs y es 100% bonificable. Saber más en academia.hoilab.com.
Conclusión
El RGPD para PYMEs no es tan caro ni tan complicado como vende la mayoría de despachos especializados. Con un plan operativo claro, la mayoría de empresas menores de 50 empleados pueden estar al día por menos de 1.000€ al año en herramientas y formación.
Lo que sí es caro es no hacer nada: una sola sanción de 5.000€ ya paga 10 años de cumplimiento bien hecho.
Empieza tu formación bonificable hoy
Calcula tu crédito FUNDAE exacto y forma a tu plantilla por hasta el 100% bonificado.
Empezar gratis →