Cumplimiento

RGPD pymes: cumplimiento básico 2026

RGPD para pymes españolas 2026: hoja de ruta de cumplimiento básico, registro, política de privacidad, cookies, brechas. Plan en 10 pasos sin sobrecoste.

TD
Dr. Thiébaut Devergranne
3 de junio de 20265 min read

En una frase. Una pyme española cumple el RGPD con 10 acciones básicas que pueden ejecutarse en 20-40 horas: registro de actividades, política de privacidad, banner de cookies, contratos con proveedores y procedimiento de derechos y brechas.

Puntos clave

  • Pyme = menos de 250 empleados. 67% de los expedientes AEPD afectan a pymes/autónomos.
  • Sanción media a pyme: 8.000 EUR. Multa máxima posible: 20 M EUR o 4% facturación.
  • DPO NO obligatorio en mayoría de pymes salvo tratamientos masivos o categoría especial.
  • 10 pasos básicos para cumplimiento mínimo viable.
  • Documentación recomendada cabe en una carpeta de 12 archivos.

1. Quién está obligado: toda pyme con datos personales

El RGPD aplica a toda organización que trate datos personales de personas físicas, sin umbral de facturación o empleados. Empresas exentas: ninguna en la práctica. Toda pyme española trata al menos datos de empleados, clientes y proveedores.

2. Análisis inicial: el inventario

Punto de partida: listar todos los tratamientos. Para cada uno:

  • Finalidad (ej: gestión laboral, facturación, marketing).
  • Categorías de datos (identificativos, financieros, salud).
  • Base jurídica (contrato, obligación legal, consentimiento, interés legítimo).
  • Plazo de conservación.
  • Destinatarios (asesoría, proveedor TIC, plataforma).
  • Transferencias internacionales si las hay.

Resultado: registro de actividades obligatorio del art. 30 RGPD.

3. Política de privacidad: documento obligatorio

Toda web o servicio que recoja datos debe tener política de privacidad accesible. Contenido mínimo (art. 13 RGPD):

  • Identidad del responsable.
  • Datos del DPO si existe.
  • Finalidades del tratamiento.
  • Base jurídica.
  • Destinatarios de los datos.
  • Transferencias internacionales si las hay.
  • Plazo de conservación.
  • Derechos del interesado.
  • Derecho a reclamar ante AEPD.

Use plantilla de política de privacidad.

4. Banner de cookies conforme

Toda web con cookies no técnicas necesita banner conforme a la guía AEPD 2026:

  • Botón “Aceptar” y “Rechazar” al mismo nivel visual.
  • Información granular por categoría (necesarias, analíticas, marketing).
  • Posibilidad de revocar consentimiento.
  • Registro del consentimiento con timestamp.
  • No cookies no necesarias antes del consentimiento.

Sanciones típicas a pymes por banner deficiente: 3.000-30.000 EUR.

5. Contratos con proveedores (art. 28 RGPD)

Por cada empresa que trate datos por cuenta de la pyme se necesita contrato art. 28:

  • Asesoría laboral, fiscal, contable.
  • Empresa de hosting y email (Google Workspace, Microsoft 365).
  • CRM, ERP, plataforma de email marketing.
  • Empresa de prevención de riesgos laborales.
  • Empresa de telecomunicaciones (si gestionan datos relevantes).
  • Plataforma de pagos.

Modelo: contrato art. 28 RGPD.

6. Procedimiento de derechos ARCO

Toda pyme debe poder responder a solicitudes de:

  • Acceso (art. 15).
  • Rectificación (art. 16).
  • Supresión (art. 17).
  • Limitación (art. 18).
  • Portabilidad (art. 20).
  • Oposición (art. 21).

Plazo: 30 días naturales. Prórroga motivada de 60 días en casos complejos. Plantillas básicas y registro de solicitudes con su respuesta.

7. Procedimiento de brechas (art. 33 RGPD)

Plan ante incidente de seguridad:

  1. Detección y reporte interno inmediato.
  2. Análisis: ¿hay riesgo para los derechos del afectado?
  3. Si SÍ: notificación AEPD en 72 horas vía sede electrónica.
  4. Si ALTO RIESGO: comunicación al afectado sin dilación.
  5. Documentación interna obligatoria aunque no se notifique.

Plantillas de brecha de seguridad preformateadas.

8. Información a empleados

Todo empleado debe recibir información de tratamiento en momento de contratación:

  • Finalidades (gestión laboral, prevención, control horario, evaluación).
  • Base jurídica (contrato, obligación legal).
  • Conservación (durante relación + plazos legales prescripción).
  • Destinatarios (asesoría, seguridad social, Hacienda).
  • Derechos del trabajador.

Ver RGPD recursos humanos.

9. CCTV en el negocio

Si hay cámaras:

  • Cartel informativo conforme al modelo AEPD.
  • Conservación máxima 30 días.
  • Acceso controlado a las grabaciones.
  • Información laboral específica si vigila empleados (art. 89 LOPDGDD).
  • No grabar vía pública ni propiedades vecinas.

10. Lista de comprobación 10 pasos

Paso Documento Tiempo
1 Registro de actividades 8h
2 Política de privacidad web 2h
3 Banner de cookies 2h
4 Cláusula contratos clientes 1h
5 Cláusula contratos empleados 1h
6 Contratos art. 28 con proveedores 4h
7 Procedimiento derechos ARCO 3h
8 Procedimiento brechas 3h
9 Cartel CCTV (si aplica) 1h
10 Formación básica al personal 2h

Total: 27 horas. Coste si externalizado: 1.500-4.000 EUR + mantenimiento anual.

11. ¿Necesito DPO?

DPO obligatorio solo si (art. 37 RGPD):

  • Tratamiento masivo y sistemático de datos.
  • Tratamiento masivo de categorías especiales.
  • Autoridad u organismo público.
  • Actividades principales que requieren observación habitual y sistemática a gran escala.

La mayoría de pymes NO necesita DPO. Pueden designar voluntariamente o contratar asesoramiento externo puntual. Ver DPO cuándo obligatorio.

12. Mantenimiento del cumplimiento

Revisión anual mínima:

  • Checklist RGPD trimestral.
  • Actualización del registro al cambiar tratamientos.
  • Revisión de cláusulas con nuevos proveedores.
  • Formación al nuevo personal.
  • Revisión del banner de cookies cada actualización web.

FAQ

¿Cuánto cuesta cumplir RGPD a una pyme?

Implantación inicial: 1.500-4.000 EUR si se externaliza. Mantenimiento anual: 500-1.500 EUR. Internamente: 20-40 horas iniciales + 10 horas anuales.

¿Cuánto puedo ser multado siendo pyme?

Hasta 20 M EUR o 4% facturación anual mundial. En la práctica, sanciones a pymes: 3.000-50.000 EUR según gravedad y colaboración.

¿Mi asesoría laboral necesita contrato art. 28?

Sí. La asesoría es encargado del tratamiento conforme al art. 28 RGPD. Contrato escrito obligatorio.

¿Puedo usar Google Workspace siendo pyme?

Sí. Activando el Addendum de tratamiento de datos disponible en la consola de administración y revisando la configuración de servicios opcionales.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →