GDPR y RGPD: la misma norma con dos nombres
GDPR son las siglas en inglés de General Data Protection Regulation, es decir, el Reglamento General de Protección de Datos: exactamente la misma norma que en español llamamos RGPD. No hay dos leyes distintas, ni una versión "europea" y otra "española": es el Reglamento (UE) 2016/679, aplicable en toda la Unión Europea desde el 25 de mayo de 2018.
La confusión es comprensible: la mayoría del software, la documentación técnica y los artículos que circulan por internet están en inglés, así que "GDPR" aparece por todas partes. Si tu plataforma de email marketing te habla de "GDPR compliance" y tu gestoría de "cumplir el RGPD", te están hablando de lo mismo. En este artículo aclaramos a quién aplica, qué obligaciones concretas impone a una empresa española y qué mitos conviene desmontar de una vez.
A quién aplica el GDPR
El ámbito de aplicación está en el artículo 3 del reglamento, y es más amplio de lo que mucha gente cree:
- A cualquier organización establecida en la UE que trate datos personales, sea cual sea su tamaño: multinacionales, pymes, autónomos, asociaciones, comunidades de propietarios con cámaras... Si tratas datos de personas físicas (clientes, empleados, usuarios web), el GDPR te aplica.
- A organizaciones de fuera de la UE que ofrezcan bienes o servicios a personas que están en la Unión, o que monitoricen su comportamiento (por ejemplo, mediante cookies y perfiles de navegación). Por eso una tienda online estadounidense que venda a España debe cumplirlo.
Lo que el GDPR no cubre: el tratamiento de datos por una persona física en el ámbito exclusivamente personal o doméstico (tu agenda de contactos privada), ni los datos de personas jurídicas como tales (el email info@empresa.com de una S.L. no es un dato personal; pero nombre.apellido@empresa.com sí lo es, porque identifica a una persona).
En España, el GDPR convive con la LOPDGDD (Ley Orgánica 3/2018), que lo desarrolla y concreta en algunos puntos. Si todavía te suena la antigua "LOPD", aquí explicamos qué fue de la LOPD y por qué ya no se llama así.
Las 7 obligaciones básicas para una empresa
El reglamento es largo (99 artículos), pero las obligaciones operativas de una pyme se concentran en siete frentes:
| # | Obligación | Artículo del RGPD |
|---|---|---|
| 1 | Tratar datos solo con una base jurídica válida | Art. 6 |
| 2 | Informar a las personas de forma clara | Arts. 13 y 14 |
| 3 | Llevar un registro de actividades de tratamiento | Art. 30 |
| 4 | Firmar contratos con los encargados de tratamiento | Art. 28 |
| 5 | Aplicar medidas de seguridad adecuadas | Art. 32 |
| 6 | Atender los derechos de las personas en un mes | Arts. 15 a 22 |
| 7 | Notificar brechas de seguridad en 72 horas | Arts. 33 y 34 |
1. Base jurídica. Cada tratamiento necesita un fundamento: la ejecución de un contrato (gestionar un pedido), una obligación legal (conservar facturas), el consentimiento (enviar una newsletter) o el interés legítimo, entre otros. Elegir mal la base es de las infracciones más castigadas.
2. Deber de información. Política de privacidad en la web, cláusulas en formularios, contratos y correos. Lenguaje claro: quién trata los datos, para qué, durante cuánto tiempo y qué derechos hay.
3. Registro de actividades. Un documento interno que inventaría tus tratamientos (clientes, nóminas, videovigilancia, marketing...). No se presenta ante nadie, pero la AEPD puede exigirlo.
4. Encargados de tratamiento. Tu gestoría, tu hosting, tu herramienta de email marketing tratan datos por tu cuenta: necesitas un contrato del artículo 28 con cada uno.
5. Seguridad. Medidas proporcionales al riesgo: contraseñas robustas, copias de seguridad, cifrado, control de quién accede a qué.
6. Derechos. Acceso, rectificación, supresión (el famoso derecho al olvido), oposición, portabilidad y limitación. Plazo general de respuesta: un mes.
7. Brechas. Si sufres un incidente que afecte a datos personales (un ransomware, un robo de portátil, un email masivo con los destinatarios en copia visible), debes valorarlo y, si hay riesgo, notificarlo a la AEPD en un máximo de 72 horas.
A esta lista se suman, según el caso, la evaluación de impacto para tratamientos de alto riesgo (artículo 35) y el delegado de protección de datos (artículo 37 del RGPD y artículo 34 de la LOPDGDD, que lista los sectores españoles obligados).
Mitos comunes sobre el GDPR
"El GDPR es para empresas grandes; a una pyme no le aplica"
Falso. El reglamento no establece umbrales de tamaño para sus obligaciones centrales. Existe una única excepción documental matizada (el artículo 30.5 exime del registro de actividades a organizaciones de menos de 250 empleados solo en supuestos muy restrictivos que casi ninguna empresa real cumple, porque basta tratar datos de clientes o empleados de forma no ocasional para quedar fuera de la exención). Las sanciones a pymes son habituales: lo vemos en ejemplos de sanciones de la AEPD.
"Para todo hace falta consentimiento"
Falso, y además es un error que sale caro. El consentimiento es solo una de las seis bases jurídicas del artículo 6. Para facturar a un cliente no necesitas su consentimiento: la base es el contrato. Pedir consentimiento para algo que no lo necesita crea la falsa impresión de que la persona puede retirarlo, y eso genera problemas jurídicos en lugar de resolverlos.
"Con copiar una política de privacidad de otra web ya cumplo"
Falso. El deber de información debe reflejar tus tratamientos reales. Una política copiada que menciona tratamientos que no haces (u omite los que sí haces) es en sí misma un incumplimiento, y suele delatarse sola: referencias a la ley derogada de 1999, nombres de otras empresas sin sustituir, derechos mal descritos.
"Las multas del GDPR son solo para Google y Meta"
Falso. Los importes máximos (20 millones de euros o el 4% de la facturación global) están pensados para que también las multinacionales los noten, pero el grueso de las resoluciones de la AEPD afecta a pymes y autónomos, con multas proporcionadas a su tamaño: cantidades de tres, cuatro y cinco cifras que para una empresa pequeña duelen de verdad.
"GDPR y RGPD exigen cosas distintas"
Falso, como ya hemos visto: son la misma norma. Lo que sí existe en España es una capa adicional, la LOPDGDD, con especialidades propias (edad de consentimiento de los menores en 14 años, derechos digitales laborales, listado de obligados a DPO...). Tienes el detalle en nuestra guía de la Ley Orgánica 3/2018.
Por dónde empezar si partes de cero
El orden razonable para una pyme es: primero, inventariar tratamientos y bases jurídicas; segundo, redactar el registro de actividades y los textos informativos (web incluida); tercero, firmar los contratos de encargo; cuarto, revisar seguridad y definir el protocolo de derechos y brechas. Hecho con método, es un proyecto de semanas, no de meses. Para profundizar en el marco general tienes nuestra guía pilar sobre qué es el RGPD.
Preguntas frecuentes
¿GDPR y RGPD son la misma ley?
Sí. GDPR (General Data Protection Regulation) es el nombre en inglés y RGPD (Reglamento General de Protección de Datos) el nombre en español del Reglamento (UE) 2016/679. Es una única norma, directamente aplicable en todos los países de la UE desde el 25 de mayo de 2018.
¿El GDPR aplica a un autónomo sin empleados?
Sí, en cuanto trate datos personales en su actividad: clientes que son personas físicas, contactos comerciales, suscriptores de una newsletter o visitantes de su web. El tamaño de la organización no exime de las obligaciones, aunque sí simplifica su cumplimiento.
¿Qué relación hay entre el GDPR y la LOPDGDD española?
El GDPR es el marco común europeo y se aplica directamente; la LOPDGDD es la ley española que lo desarrolla y añade especialidades nacionales, como los derechos digitales o la edad mínima de consentimiento de los menores (14 años). Una empresa española debe cumplir ambas.
¿Una empresa de fuera de la UE tiene que cumplir el GDPR?
Sí, cuando ofrece bienes o servicios a personas que están en la UE o monitoriza su comportamiento (artículo 3.2). En esos casos debe además designar un representante en la Unión, salvo excepciones.
Cumple el GDPR sin convertirte en jurista
Entender la norma es el primer paso; implantarla (documentos, contratos, web, protocolos) es donde una pyme pierde semanas si lo hace sola. Nuestro servicio de cumplimiento legal deja tu empresa adecuada a RGPD, LOPDGDD y LSSI desde 249 euros al año, con documentación a medida y soporte continuo. Cuéntanos tu caso y te orientamos sin compromiso.