Contenido

    Esta guía cubre los siguientes temas:

    1. Haz un inventario de datos y mapea tus actividades de tratamiento
    2. Define correctamente tus bases jurídicas, no te apoyes únicamente en el consentimiento
    3. Incorpora la privacidad desde el diseño y por defecto
    4. Gestiona correctamente a tus proveedores y encargados
    5. Crea un proceso para atender las solicitudes de derechos de los interesados
    6. Prepara un procedimiento de respuesta ante brechas
    7. Forma a todo tu equipo, no solo a Legal y TI
    8. Revisa, audita y mejora de forma continua
    9. Errores habituales que debes evitar
    10. Cómo puede ayudar PrivaLex

    El RGPD es aplicable directamente en toda la UE desde mayo de 2018. Si tu organización trata datos personales de personas físicas en la UE, el cumplimiento no es optativo, y las autoridades supervisoras lo están haciendo cumplir activamente. Pero conocer lo que exige la normativa e implementarla correctamente en el día a día son dos cosas distintas. Esta guía recoge los pasos prácticos que convierten el cumplimiento del RGPD en algo real y no solo documentado.

    Haz un inventario de datos y mapea tus actividades de tratamiento

    No puedes proteger datos que no sabes que tienes. La base de la implementación del RGPD es entender qué datos personales recoges, dónde se almacenan, quién tiene acceso, con qué finalidad y durante cuánto tiempo. No es un ejercicio puntual, es la base de tu Registro de Actividades de Tratamiento (RAT), que el artículo 30 exige mantener a la mayoría de los responsables y encargados.

    Presta especial atención a la TI en la sombra, herramientas y aplicaciones que los equipos utilizan sin pasar por el proceso de adquisición de TI. Son fuentes habituales de tratamientos de datos personales no documentados. Mapea los flujos de datos entre equipos, herramientas y proveedores. El resultado de este ejercicio impulsa todos los demás elementos de tu programa de cumplimiento: bases jurídicas, plazos de conservación, minimización de datos, contratos con proveedores y evaluaciones de riesgo.

    Define correctamente tus bases jurídicas

    Muchas organizaciones recurren al consentimiento como base jurídica para todos los tratamientos. El consentimiento es una de las seis bases jurídicas lícitas del artículo 6 del RGPD, pero también es la más frágil: debe ser libre, específico, informado e inequívoco, y puede retirarse en cualquier momento. Si te apoyas en el consentimiento para un tratamiento que en realidad es necesario para un contrato o una obligación legal, estás creando complejidad innecesaria sin ningún beneficio para el cumplimiento.

    Las seis bases jurídicas son:

    • Consentimiento (art. 6.1.a), adecuado para comunicaciones de marketing, funcionalidades opcionales, cookies no esenciales.
    • Ejecución de un contrato (art. 6.1.b), tratamiento necesario para la ejecución de un contrato con el interesado o para la adopción de medidas precontractuales.
    • Obligación legal (art. 6.1.c), tratamiento necesario para cumplir una obligación legal aplicable al responsable.
    • Intereses vitales (art. 6.1.d), tratamiento necesario para proteger la vida de alguien.
    • Misión en interés público (art. 6.1.e), tratamiento en el ejercicio de poderes públicos o en interés público.
    • Interés legítimo (art. 6.1.f), tratamiento necesario para los intereses legítimos del responsable o de un tercero, siempre que no prevalezcan los derechos del interesado. Requiere una prueba de ponderación en tres pasos.

    Documentar la base jurídica elegida para cada actividad de tratamiento en tu RAT no es opcional, es un requisito fundamental de responsabilidad proactiva y lo primero que examinará una autoridad supervisora.

    Incorpora la privacidad desde el diseño y por defecto

    La privacidad desde el diseño y por defecto (artículo 25) exige que la protección de datos se integre en tus sistemas y procesos desde el principio, no como un añadido posterior. En la práctica significa: involucrar a tu DPO o responsable de privacidad durante la planificación del producto, no tras el lanzamiento; recoger solo los datos que realmente necesitas para la finalidad declarada (minimización de datos); aplicar por defecto los ajustes más protectores de la privacidad; y realizar una Evaluación de Impacto relativa a la Protección de Datos (EIPD) antes de introducir tratamientos de alto riesgo.

    Incorporar la privacidad en tus ciclos de sprint y en la toma de decisiones sobre el producto evita costosos trabajos de corrección posteriores, acelera las auditorías y genera confianza entre los usuarios. Solucionar los problemas de privacidad una vez que un producto está en producción es consistentemente más caro que incorporarlos desde el principio.

    Gestiona correctamente a tus proveedores y encargados

    Cualquier tercero que trate datos personales en tu nombre es un encargado del tratamiento conforme al RGPD. Eres responsable de garantizar que cada encargado ofrezca garantías suficientes en cuanto a sus medidas técnicas y organizativas (artículo 28). En la práctica esto requiere:

    • Un Acuerdo de Encargo de Tratamiento (AET) con cada encargado, que cubra el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y las categorías de interesados, y las obligaciones del encargado.
    • Diligencia debida antes de contratar a nuevos encargados, revisando sus medidas de seguridad, acuerdos con subencargados y postura de cumplimiento.
    • Un registro actualizado de proveedores como parte de tu RAT, documentando cada encargado, los datos compartidos y la base contractual.
    • Garantías para las transferencias internacionales cuando los encargados estén ubicados fuera del EEE, Cláusulas Contractuales Tipo (CCT), decisiones de adecuación u otros mecanismos del artículo 46.

    Una brecha en uno de tus encargados es también tu brecha. La gestión de proveedores no es una formalidad administrativa, es un riesgo material de cumplimiento y comercial. Para saber más sobre la gestión de transferencias internacionales, consulta nuestra guía sobre riesgos de privacidad que todo fundador SaaS pasa por alto.

    Crea un proceso para atender las solicitudes de derechos de los interesados

    El RGPD reconoce a las personas un conjunto de derechos sobre sus datos personales: derecho de acceso (artículo 15), rectificación (art. 16), supresión (art. 17), limitación del tratamiento (art. 18), portabilidad (art. 20) y oposición (art. 21). Estos derechos solo funcionan en la práctica si tu organización puede responder en el plazo de un mes desde la recepción de la solicitud. El plazo puede ampliarse dos meses más cuando las solicitudes sean complejas o numerosas, pero el interesado debe ser informado de la prórroga dentro del primer mes.

    Documenta un procedimiento interno claro: quién recibe y registra las solicitudes, quién es responsable de responder, cómo se gestiona la verificación de identidad y cómo se controla el plazo. Automatiza donde sea posible. No olvides los casos extremos: solicitudes de exempleados, solicitudes referidas a datos en poder de encargados, o solicitudes manifiestamente infundadas o abusivas (que el RGPD permite rechazar o cobrar una tarifa razonable).

    Prepara un procedimiento de respuesta ante brechas

    El artículo 33 obliga a los responsables a notificar a la autoridad supervisora una brecha de seguridad en el plazo de 72 horas desde que tenga constancia de ella, salvo que sea improbable que suponga un riesgo para los derechos y libertades de las personas. Cuando la brecha pueda entrañar un alto riesgo para los interesados, el artículo 34 exige además comunicarla a los afectados sin dilación indebida.

    Contar con un procedimiento documentado de respuesta ante brechas antes de que se produzca un incidente es la diferencia entre una respuesta gestionada y una caótica. Tu procedimiento debe definir: cómo se detectan y comunican internamente los incidentes, quién realiza la valoración del riesgo, quién notifica a la autoridad supervisora y a los interesados, qué información debe incluir la notificación y cómo se documenta el incidente para tus registros internos conforme al artículo 33(5).

    Forma a todo tu equipo

    El cumplimiento del RGPD no es responsabilidad única de Legal o TI. Todos los equipos que manejan datos personales, Ventas, Atención al cliente, RRHH, Marketing, Ingeniería, tienen obligaciones. El artículo 39(1)(b) exige al DPO sensibilizar y formar al personal que interviene en las operaciones de tratamiento. El principio de responsabilidad proactiva del artículo 5 exige que puedas demostrar que la formación se ha impartido.

    La formación debe ser adaptada al rol (lo que necesita saber el equipo de ventas difiere de lo que necesita ingeniería), periódica (al menos anualmente y cuando se produzcan cambios significativos) y documentada (registros de asistencia, materiales y evidencias de finalización). En España, esta formación puede financiarse total o parcialmente a través de FUNDAE, el fondo estatal de formación para el empleo. PrivaLex gestiona todo el proceso FUNDAE para que el coste de la formación no tenga que salir de tu presupuesto de cumplimiento.

    Revisa, audita y mejora de forma continua

    El principio de responsabilidad proactiva del RGPD (artículo 5(2)) exige que puedas demostrar el cumplimiento en cualquier momento, no solo cuando se programe una auditoría. Esto significa tratar la implementación del RGPD como un programa continuo, no como un proyecto con fecha de fin. Las tecnologías evolucionan, las actividades de tratamiento cambian, se contratan nuevos proveedores y el marco regulatorio se modifica. Las revisiones periódicas mantienen tu programa actualizado.

    Una auditoría RGPD periódica, interna o con un socio externo, es la forma más fiable de identificar deficiencias antes de que se conviertan en incidentes o expedientes sancionadores. Un DPO externo o un consultor de privacidad puede apoyar esta revisión sin consumir el tiempo de tu equipo interno.

    Errores habituales que debes evitar

    Tratar el cumplimiento como un proyecto puntual

    El supuesto más perjudicial en la implementación del RGPD es creer que puede completarse una vez y ya está. Las actividades de tratamiento cambian, nuevas normativas interactúan con el RGPD, la orientación de las autoridades supervisoras evoluciona y se producen brechas. El cumplimiento requiere mantenimiento continuo.

    Apoyarse en el consentimiento para todo

    Utilizar el consentimiento como base jurídica por defecto para tratamientos que más apropiadamente se apoyarían en el contrato o en el interés legítimo crea obligaciones innecesarias: gestión del consentimiento más compleja, más solicitudes de revocación que atender y una base jurídica más endeble que no refleja la realidad de la relación de tratamiento.

    No tener AET firmados con todos los encargados

    Una brecha en un encargado sin AET en vigor constituye una infracción directa del RGPD por parte del responsable. Las autoridades supervisoras lo detectan sistemáticamente en sus expedientes. Tu lista de proveedores debería tener una columna de estado del AET.

    Ignorar los datos de categorías especiales en el RAT

    Si tu producto u operaciones implican datos de salud, biométricos, creencias religiosas, opiniones políticas, orientación sexual o datos genéticos, estás tratando datos de categorías especiales conforme al artículo 9. Esto requiere una base jurídica explícita del artículo 9(2) además de una base jurídica del artículo 6, y salvaguardas significativamente más elevadas. Muchas organizaciones lo pasan por alto cuando sus productos gestionan datos relacionados con la salud o con RRHH.

    Cómo puede ayudar PrivaLex

    En PrivaLex Partners ayudamos a las organizaciones a convertir el RGPD de una carga de cumplimiento en un programa estructurado y auditable que genera confianza con clientes, socios y autoridades. Nuestro soporte cubre el ciclo completo de implementación: mapeo de datos y desarrollo del RAT, análisis de bases jurídicas, revisiones de privacidad desde el diseño, gestión de contratos con proveedores, formación del personal, auditorías RGPD, preparación de respuesta ante brechas y servicios continuos de DPO externo para organizaciones que necesitan supervisión continua.

    Contacta con PrivaLex para analizar en qué punto se encuentra tu programa y cuáles son los próximos pasos.

    Preguntas frecuentes (FAQs)

    ¿Se aplica el RGPD a mi startup si tenemos menos de 250 empleados?

    Sí. El RGPD se aplica a cualquier organización que trate datos personales de personas físicas en la UE, con independencia de su tamaño. Existe una exención limitada a la obligación del RAT del artículo 30 para organizaciones con menos de 250 empleados, pero solo para tratamientos que no sean susceptibles de entrañar un riesgo para los interesados, que no sean habituales, o que no impliquen categorías especiales ni datos penales. Para la mayoría de las startups, al menos parte de su actividad de tratamiento es habitual y sistemática, por lo que la exención no se aplica en su totalidad.

    ¿Cuál es la multa máxima por incumplimiento del RGPD?

    El RGPD establece dos niveles de sanciones. El nivel superior, hasta 20 millones de euros o el 4 % de la facturación anual mundial total, la cifra que sea mayor, se aplica a infracciones de los principios del tratamiento, las condiciones del consentimiento, los derechos de los interesados, las normas de transferencias internacionales y las obligaciones del DPO. El nivel inferior, hasta 10 millones de euros o el 2 % de la facturación, se aplica a otras obligaciones como el registro, las medidas de seguridad y la notificación de brechas. Las autoridades también pueden emitir advertencias, apercibimientos, prohibiciones temporales o definitivas del tratamiento y órdenes de rectificación.

    ¿Cuánto tiempo tenemos para responder a una solicitud de acceso?

    Debes responder en el plazo de un mes desde la recepción de la solicitud. Este plazo puede ampliarse en dos meses más cuando las solicitudes sean complejas o numerosas, pero debes informar al interesado de la prórroga y sus motivos dentro del primer mes. La respuesta debe ser gratuita, salvo que la solicitud sea manifiestamente infundada o excesiva, en cuyo caso puede cobrarse una tarifa razonable o negarse la atención.

    ¿El RGPD exige utilizar Cláusulas Contractuales Tipo para todas las transferencias internacionales?

    No en todos los casos. Las Cláusulas Contractuales Tipo (CCT) son uno de los varios mecanismos de transferencia disponibles en el artículo 46. Otros incluyen las decisiones de adecuación (cuando la Comisión Europea ha determinado que un tercer país garantiza un nivel adecuado de protección, por ejemplo, el Reino Unido o Japón) y las Normas Corporativas Vinculantes (BCR) para transferencias intragrupo. Cuando existe un mecanismo de transferencia, se recomienda también una Evaluación de Impacto de la Transferencia (TIA) para verificar que el mecanismo es efectivo en la práctica dado el entorno jurídico del país de destino.

    ¿Qué es la privacidad desde el diseño y es obligatoria?

    La privacidad desde el diseño y por defecto es una obligación legal conforme al artículo 25, no una buena práctica. Exige que los responsables implementen medidas técnicas y organizativas adecuadas para integrar los principios de protección de datos en las actividades de tratamiento, tanto en el momento de diseñar el tratamiento como en el del tratamiento mismo. En la práctica significa: minimización de datos por defecto, controles de acceso, cifrado cuando proceda y garantizar que las opciones más protectoras de la privacidad sean la configuración predeterminada en tus productos.

    Próximo paso

    El cumplimiento del RGPD no es un destino, es un programa continuo. Tanto si estás empezando desde cero como si tienes un marco de cumplimiento que necesita actualización, o si necesitas apoyo continuo a través de un DPO externo, PrivaLex puede ayudarte a construir algo práctico, auditable y proporcional a tu perfil de riesgo. Reserva una llamada para empezar.

    Foto del avatar

    Marina Aldea

    Marina specializes in data protection and compliance, combining legal and technical expertise to deliver practical, results-driven solutions. At PrivaLex Partners, she works as an external DPO and leads audits and risk assessments including PIAs, LIAs, TIAs, and DPAs. Marina brings a structured, hands-on approach to complex compliance challenges, helping companies not just meet their legal obligations but embed privacy and security into the way they operate. She is known for turning technical requirements into clear processes that teams can actually follow.