Cumplimiento

RGPD autónomos y freelance: guía 2026

RGPD para autónomos y freelance 2026: obligaciones mínimas, sanciones reales del sector, plantillas, política privacidad y registro simplificado.

TD
Dr. Thiébaut Devergranne
3 de junio de 20264 min read

En una frase. Los autónomos y freelance españoles están plenamente sometidos al RGPD desde la primera factura emitida a una persona física, con sanciones reales (no apercibimiento) habituales entre 1.000 EUR y 30.000 EUR cuando tratan datos sin las garantías mínimas.

Puntos clave

  • Autónomo = profesional persona física. Aplica RGPD completo sin excepciones.
  • 67% de expedientes AEPD afectan a pymes o autónomos (datos 2025).
  • Sanciones típicas a autónomos: 1.000-30.000 EUR según gravedad.
  • Reducción del 40% por procedimiento abreviado disponible.
  • Cumplimiento básico en 10 horas con plantillas.

1. Régimen aplicable a autónomos

El RGPD no distingue por forma jurídica. Todo profesional que trate datos personales (clientes, proveedores, contactos) está sujeto. Particularidades del autónomo:

  • Responsable del tratamiento es el propio profesional.
  • Sin régimen de apercibimiento (solo administraciones lo tienen).
  • Sanciones reales con misma escala que empresas: hasta 20 M EUR.
  • Procedimiento abreviado disponible con reducción 40%.

2. Tipos de datos tratados por autónomos

Tipo Quién Base jurídica
Datos cliente persona física Abogado, asesor, fisio Contrato
Empleados (si los tiene) Cualquier autónomo Contrato laboral
Proveedores persona física Todos Contrato
Contactos comerciales Comercial, agente Interés legítimo
Categoría especial (salud) Profesionales sanitarios Art. 9.2.h RGPD

3. Sanciones AEPD a autónomos relevantes

Casos típicos sancionados:

  • Abogado: 6.000 EUR por no responder derechos ARCO.
  • Fisioterapeuta: 8.000 EUR por base de pacientes en Excel sin seguridad.
  • Asesor fiscal: 12.000 EUR por brecha sin notificar.
  • Agente inmobiliario: 15.000 EUR por cesión de datos.
  • Fotógrafo: 5.000 EUR por publicar fotos clientes sin consentimiento.
  • Consultor: 20.000 EUR por marketing con base comprada.

4. Obligaciones básicas (resumen)

  1. Registro de actividades simplificado.
  2. Política de privacidad si tiene web.
  3. Cláusula de tratamiento en presupuestos y contratos.
  4. Contrato art. 28 con asesoría y proveedores TIC.
  5. Procedimiento para responder a derechos ARCO.
  6. Protocolo de brechas preformateado.
  7. Información clara a clientes y empleados.

5. Registro de actividades simplificado

El registro de actividades puede ser una tabla Excel con:

  • Tratamiento: facturación clientes, marketing, gestión laboral si hay empleados.
  • Finalidad.
  • Categorías de datos.
  • Base jurídica.
  • Plazo conservación.
  • Destinatarios.

Una hoja para todo el negocio suele bastar.

6. Política de privacidad para autónomos

Si tiene web, blog o landing page, necesita política conforme al art. 13 RGPD. Si solo opera por boca-oreja y email, basta con cláusula al final de presupuestos y contratos. Plantilla disponible.

7. Email marketing y prospección

Tres reglas clave:

  • Email a contacto profesional B2B (persona física): permitido bajo interés legítimo con identificación clara y opción de baja.
  • Email a particular: requiere consentimiento previo (LSSI-CE art. 21) salvo cliente con producto similar.
  • Compra de bases de datos: prácticamente siempre infracción.

8. Whatsapp y comunicación con clientes

WhatsApp para comunicación operativa con cliente que lo ha proporcionado: permitido bajo ejecución del contrato. Restricciones:

  • No mandar mensajes comerciales sin consentimiento específico.
  • No crear grupos con varios clientes (visibilidad de números).
  • Política de retención de mensajes y archivos.

9. CCTV en consulta o despacho

Si el autónomo tiene local con CCTV:

  • Cartel informativo modelo AEPD.
  • Conservación máxima 30 días.
  • No grabar zonas íntimas ni a empleados sin información laboral.

10. Profesionales sanitarios autónomos

Médicos, dentistas, fisioterapeutas, psicólogos tratan datos de salud (categoría especial). Obligaciones reforzadas:

  • DPO recomendado si tratamiento masivo.
  • Acceso controlado a historiales.
  • Conservación según normativa sanitaria.
  • EIPD obligatoria si tratamiento masivo o IA.

11. Profesionales de IT y tratamiento de datos clientes

Desarrolladores, consultores IT, freelances digitales suelen ser encargados del tratamiento (art. 28 RGPD) cuando tratan datos del cliente. Necesitan:

  • Contrato art. 28 firmado con cada cliente.
  • Inventario de datos tratados por cliente.
  • Medidas técnicas adecuadas al volumen.
  • Política de no usar datos del cliente para fines propios.

12. Brechas de seguridad

Si el autónomo sufre ransomware, robo de portátil con datos o phishing exitoso, debe:

  • Evaluar el riesgo (qué datos, cuántas personas, sensibilidad).
  • Notificar AEPD en 72h si riesgo.
  • Comunicar a afectados si alto riesgo.
  • Documentar internamente.

13. Externalización del cumplimiento

Opciones:

  • DIY: 10-15 horas con plantillas. Coste 0.
  • Asesor laboral o fiscal con servicio RGPD: 300-800 EUR/año.
  • Consultora RGPD especializada: 1.000-3.000 EUR implantación + 500-1.500 EUR/año.
  • Plataforma SaaS tipo Legiscope: precio mensual reducido para autónomos.

FAQ

¿Un autónomo puede recibir sanción AEPD real?

Sí. No hay régimen de apercibimiento para autónomos (solo para administraciones públicas). Sanciones típicas: 1.000-30.000 EUR.

¿Necesito DPO siendo autónomo?

No, salvo que su actividad principal sea tratamiento masivo de datos personales o categorías especiales (médico con clínica grande, por ejemplo).

¿Puedo guardar datos de clientes en una hoja Excel?

Sí, pero con medidas mínimas: contraseña, copia de seguridad, acceso restringido. Mejor usar herramienta CRM con cifrado.

¿Mi asesoría me cubre el RGPD?

Solo si tiene servicio específico de protección de datos. La asesoría tradicional gestiona laboral, fiscal y contable, no RGPD salvo paquete adicional.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →