RGPD para pymes en Bilbao: panorama 2026
El RGPD Bilbao se rige por el Reglamento (UE) 2016/679 y la LOPDGDD 3/2018, normas estatales que aplican íntegramente al tejido vizcaíno con la peculiaridad de convivir con la Agencia Vasca de Protección de Datos (AVPD/DBEB) para el sector público. Cualquier pyme de la villa, sea un taller de Deusto, un despacho de Indautxu o una scaleup del Bilbao Berrikuntza Faktoria, está obligada al mismo cuerpo normativo que una empresa de Madrid o Sevilla. Bilbao concentra alrededor de 40.000 empresas activas según el INE 2025, de las cuales más del 95% son micropymes con menos de diez trabajadores, justo el perfil al que la AEPD ha dirigido las campañas sectoriales de 2024 y 2025 sobre cookies, videovigilancia laboral y correos comerciales sin consentimiento.
La capital vizcaína vive un giro económico significativo: la siderurgia y la máquina-herramienta tradicional comparten polígono con un cluster fintech impulsado por BBVA, Kutxabank y Laboral Kutxa, y con un ecosistema de startups industriales 4.0 vinculado a la Universidad del País Vasco. Ese mestizaje sectorial complica la adecuación porque cada actividad arrastra obligaciones complementarias: convenios laborales metalúrgicos con cláusulas de datos del trabajador, normativa bancaria del Banco de España, ePrivacy en ecommerce, registro de viajeros para los hoteles del Casco Viejo. Cardeseo aterriza ese ecosistema en un pack documental único que combina los siete bloques RGPD obligatorios con las particularidades vascas.
AVPD y AEPD: distribución competencial en País Vasco
La Agencia Vasca de Protección de Datos (AVPD/DBEB, Datuak Babesteko Euskal Bulegoa) se creó por Ley 2/2004 del Parlamento Vasco y tiene su sede en Vitoria-Gasteiz. Su competencia, fijada en el Art. 17 de esa ley y delimitada por la disposición adicional decimocuarta de la LOPDGDD, abarca exclusivamente los ficheros y tratamientos del sector público vasco: Gobierno Vasco, diputaciones forales de Bizkaia, Gipuzkoa y Álava, ayuntamientos vascos (incluido el de Bilbao), Osakidetza, Ertzaintza, universidades públicas y entes instrumentales dependientes. La AVPD no inspecciona, no sanciona ni resuelve reclamaciones contra empresas privadas vascas.
Para una pyme privada bilbaína, la autoridad competente es la Agencia Española de Protección de Datos (AEPD) con sede en Calle Jorge Juan 6, Madrid. Cualquier reclamación de un cliente, empleado o competidor se tramita por la AEPD a través de la sede electrónica sedeagpd.gob.es, y las sanciones se acuerdan según el Art. 83 RGPD y los Arts. 71 a 78 LOPDGDD. Esto significa que una clínica privada de Algorta, un despacho de abogados de Gran Vía o un ecommerce de productos vascos no responden ante la AVPD: responden ante la AEPD. Solo el hospital público de Basurto, el ayuntamiento o una agencia foral lo hacen ante la AVPD.
Esa distinción es vital porque muchos empresarios bilbaínos asumen erróneamente que la AVPD los supervisa por proximidad geográfica y descuidan la documentación AEPD. Cardeseo lo aclara en la sesión de alta y deja en el RAT del cliente referencia expresa a la autoridad competente para evitar confusiones cuando llegue un derecho de acceso o una reclamación. El criterio jurídico está confirmado por jurisprudencia consolidada del Tribunal Supremo en materia contencioso-administrativa, que ha delimitado las competencias de las autoridades autonómicas de protección de datos al ámbito de las administraciones públicas correspondientes.
Textos legales bilingües euskera + castellano
La Ley 10/1982 de Normalización del Uso del Euskera y, más recientemente, la Ley 1/2024 del Sistema Vasco de Garantía de los Derechos Lingüísticos consagran el derecho de la ciudadanía vasca a relacionarse con servicios privados de uso público en euskera o castellano a su elección. Aunque para las pymes privadas no existe obligación absoluta de redactar los textos legales RGPD en ambos idiomas, sí hay tres motivos prácticos para hacerlo: primero, la AEPD aceptó en la Guía sobre transparencia de febrero 2024 que el aviso de privacidad puede ofrecerse en cualquier idioma cooficial; segundo, el cliente vasco percibe el detalle como prueba de arraigo local; tercero, en sectores regulados (servicios financieros, sanitarios) la atención bilingüe forma parte de los estándares de calidad de las administraciones forales.
Cardeseo entrega los tres textos legales (aviso legal, política de privacidad, política de cookies) en castellano por defecto y, opcionalmente, en versión bilingüe euskera-castellano con doble columna o pestañas de cambio de idioma. La traducción la valida un colaborador bilingüe vasco para que los términos jurídicos (tratamiento de datos, encargado del tratamiento, base legitimadora) usen la terminología consolidada por la propia AVPD en sus publicaciones bilingües. Si la web del cliente ya está en euskera (algo habitual en cooperativas de Mondragón, asesorías de Gernika o pequeños comercios de Bermeo aunque atendamos Bilbao y alrededores), la versión RGPD se incorpora directamente al gestor de contenidos con el mismo esquema lingüístico.
Tejido empresarial vizcaíno y riesgos RGPD
El tejido productivo bilbaíno presenta cuatro grandes clusters con riesgos RGPD muy diferentes. La industria pesada y máquina-herramienta (Sestao, Erandio, Trapagaran) trata datos de empleados con sistemas de fichaje biométrico, videovigilancia perimetral y mutuas colaboradoras; en 2024 la AEPD sancionó a varias industriales del corredor del Nervión por videovigilancia laboral sin distintivo y sin información previa según el Art. 89 LOPDGDD. La banca regional y fintech (BBVA, Kutxabank, Laboral Kutxa, Bolsa de Bilbao) procesa datos financieros bajo doble capa RGPD + normativa del Banco de España (Circular 4/2017) + Ley 10/2010 de prevención del blanqueo, lo que multiplica las bases legitimadoras y exige RAT detallados.
El cluster energético e infraestructura (Iberdrola, Petronor, Tubacex) trata datos masivos de clientes domésticos y empresariales con tratamientos de perfilado de consumo que han generado procedimientos sancionadores AEPD recurrentes contra comercializadoras energéticas por información insuficiente sobre el uso de datos para campañas comerciales, con sanciones que en pymes se mueven en horquilla orientativa 5.000–100.000 € y en grandes responsables alcanzan cuantías muy superiores conforme al Art. 83 RGPD. Finalmente, el retail y la hostelería del Casco Viejo, Ensanche y Getxo manejan registro de viajeros, programas de fidelización y videovigilancia, con la particularidad de que muchos hoteles atienden a turistas internacionales con datos UE y no UE que obligan a documentar transferencias.
| Cluster bilbaíno | Riesgo RGPD principal | Norma adicional |
|---|---|---|
| Industria y siderurgia | Videovigilancia laboral, fichaje biométrico | Art. 89 LOPDGDD + convenios metal |
| Banca regional | Perfilado clientes, prevención blanqueo | Ley 10/2010 + Circular BdE 4/2017 |
| Energía | Perfilado de consumo, marketing | Reglamento 2019/944 |
| Hostelería y retail | Registro viajeros, fidelización | Real Decreto 933/2021 |
Concierto económico y plazos fiscales
El Concierto Económico con el País Vasco (Ley 12/2002, modificada por la Ley 11/2017) atribuye a las Diputaciones Forales de Bizkaia, Gipuzkoa y Álava la potestad tributaria sobre los principales impuestos: IRPF, Impuesto de Sociedades, IVA, ITP-AJD y tributos locales. Para una pyme con domicilio fiscal en Bilbao, la Hacienda Foral de Bizkaia (gestionada por la Diputación Foral en el Palacio Foral de Gran Vía 25) es la administración tributaria competente. Esto afecta a la conservación fiscal de la documentación con relevancia tributaria.
La Norma Foral General Tributaria de Bizkaia (Norma Foral 2/2005) establece en su Art. 66 un plazo de prescripción tributario de cuatro años, igual que la Ley General Tributaria estatal 58/2003 Art. 66, por lo que el periodo de conservación de facturas, libros y comprobantes para una empresa bilbaína es idéntico al del resto de España. La normativa contable mercantil (Art. 30 Código de Comercio) sigue siendo de aplicación íntegra y obliga a conservar libros, correspondencia y justificantes durante seis años. Las cotizaciones a la Seguridad Social y la documentación laboral siguen la Ley de Infracciones y Sanciones del Orden Social (RD Leg. 5/2000, Art. 4.1) con prescripción de cuatro años; la Inspección de Trabajo y Seguridad Social (ITSS) País Vasco mantiene la misma competencia estatal.
Por tanto, el calendario de retenciones que Cardeseo configura en el RAT del cliente bilbaíno (cuatro años fiscal, seis años contable mercantil, cuatro años laboral, tres años prescripción contractual del Art. 1964 Código Civil) es el mismo que se aplicaría en Madrid o Valencia, salvo que la Hacienda Foral abra un procedimiento concreto que extienda el plazo por inspección. En ese caso, basta con marcar la conservación adicional en el RAT con base legal Art. 6.1.c RGPD (obligación legal foral).
Cómo opera Cardeseo en Bilbao (100% remoto)
Cardeseo no tiene sede física en Bilbao y opera el servicio íntegramente en remoto desde Mataró. La metodología consta de cuatro hitos públicos. Hito 1 - Videollamada de alta (45-60 minutos): se hace por Google Meet con el responsable de la pyme bilbaína, normalmente el administrador único o el responsable de personal. En esa sesión se mapean las actividades de tratamiento, se identifican cesiones (gestoría, proveedor cloud, asesoría laboral), se confirma el sector y se reservan las particularidades vascas (idioma bilingüe, Hacienda Foral, convenio metal si aplica).
Hito 2 - Pack documental (5-7 días laborables): el equipo genera con scripts/generate-rgpd-pack.py los 21 documentos personalizados (RAT, política de privacidad, política de cookies, contratos de encargo, manual de personal, cláusulas videovigilancia, cláusulas en contratos, formularios de derechos). Si el cliente solicitó versión euskera, se añade un anexo bilingüe validado. Hito 3 - Implementación web: un técnico publica los tres textos legales en la web del cliente (WordPress, Shopify, Wix o lo que sea) y configura el banner de cookies según la Guía AEPD 2024.
Hito 4 - Soporte continuo (12 meses): la pyme escribe a soporte@cardeseo.com ante cualquier duda, requerimiento AEPD o derecho de un titular, con SLA de 24 horas laborables para inspección AEPD documentada por contrato. Para situaciones que exijan presencia física (declaración ante Inspección de Trabajo, litigio judicial), Cardeseo se desplaza a Bilbao bajo facturación de gastos. En la práctica, durante 2024-2025 ningún cliente vasco lo ha necesitado: el 100% del servicio se ha resuelto remoto.
Inspección AEPD/AVPD en Bilbao: protocolo
Si una pyme bilbaína recibe un requerimiento de la AEPD (notificación electrónica vía DEHú o carta certificada al domicilio social), el protocolo Cardeseo es secuencial. Día 0: el cliente reenvía el requerimiento íntegro a soporte@cardeseo.com; el equipo confirma recepción en menos de 24 horas laborables y abre el expediente interno. Día 1-2: revisión documental contra el pack RGPD entregado y elaboración de la respuesta inicial. Si la AEPD ha abierto un procedimiento sancionador del Art. 64 LOPDGDD, se prepara el escrito de alegaciones; si es un procedimiento previo de investigación del Art. 65 LOPDGDD, se aporta la documentación solicitada.
Día 3-10: presentación del escrito en sede electrónica AEPD y seguimiento del expediente. La sanción aplicable se acuerda según el Art. 83 RGPD y los Arts. 71-78 LOPDGDD. Para pymes, la AEPD ha aplicado en 2024-2025 sanciones de entre 5.000 y 100.000 €, con apercibimientos del Art. 58.2.b RGPD en infracciones leves y primer incumplimiento (frecuente cuando el responsable acredita pack documental completo y diligencia). La Audiencia Nacional, en su jurisprudencia reciente, valora positivamente la existencia de pack documental previo y consulta jurídica como circunstancia atenuante en el marco del Art. 83.2.k RGPD.
Si la situación afecta a un ente público vasco con el que la pyme colabora (proveedor de Osakidetza, contratista del Ayuntamiento de Bilbao, vinculado a la Diputación Foral), el procedimiento se duplica con la AVPD según la disposición adicional decimocuarta LOPDGDD. Cardeseo coordina ambas respuestas para mantener coherencia argumental y evitar contradicciones que perjudiquen al cliente.
Tarifa para pymes bilbaínas
La tarifa pública del servicio RGPD de Cardeseo es la misma en Bilbao que en cualquier ciudad española, sin recargo por ubicación geográfica ni por traducción al euskera (la versión bilingüe está incluida cuando se solicita en el alta). El tier estándar arranca en 349 €/año para empresas con hasta cinco trabajadores y se calcula según número de empleados, sector (sanitario, educativo, ecommerce y ONG escalan al tier sectorial) y volumen de cesiones a encargados de tratamiento. La calculadora pública sin formulario está disponible en cardeseo.com/cumplimiento-legal y muestra el precio antes de recopilar dato alguno del cliente.
La factura la emite Groove Factory Studios, S.L. (CIF B42915165, domicilio en Calle Balançó i Boter 22, 08302 Mataró) y el pago se gestiona mediante transferencia o link Stripe puntual. La domiciliación se renueva manualmente cada año previa confirmación del cliente. Si la pyme bilbaína cancela antes del cierre del primer año, Cardeseo devuelve la parte proporcional no consumida según el Art. 1124 Código Civil, manteniendo la propiedad de los documentos entregados (no se revocan).
Preguntas frecuentes
¿La AVPD vasca me puede sancionar como pyme privada de Bilbao?
No. La Agencia Vasca de Protección de Datos solo tiene competencia sobre administraciones públicas vascas, Osakidetza, Ertzaintza, ayuntamientos y entes forales. Las pymes privadas bilbaínas se rigen exclusivamente por la AEPD estatal según la disposición adicional decimocuarta LOPDGDD.
¿Tengo que tener los textos legales en euskera obligatoriamente?
No es obligatorio para empresas privadas según la AEPD. La Ley 10/1982 y la Ley 1/2024 vascas reconocen el derecho del ciudadano a relacionarse en euskera pero no imponen la traducción a la pyme privada. Cardeseo lo ofrece como opción incluida en el alta sin coste adicional.
¿El Concierto Económico cambia mis plazos de conservación RGPD?
No. El Concierto fija la potestad tributaria foral pero los plazos de prescripción (cuatro años fiscal según Art. 66 Norma Foral 2/2005 y Art. 66 LGT estatal) son equivalentes. La conservación contable mercantil sigue siendo de seis años según el Art. 30 Código de Comercio.
¿Cuánto tarda Cardeseo en entregar el pack para una pyme de Bilbao?
Entre cinco y siete días laborables desde la videollamada de alta. Si el cliente solicita versión bilingüe euskera-castellano se mantienen los plazos porque la traducción se hace en paralelo a la generación del pack base.
¿Cardeseo se desplaza a Bilbao si tengo una inspección presencial?
Sí, si la AEPD o la ITSS País Vasco exigen comparecencia presencial. El servicio anual cubre la asistencia remota documentada y los desplazamientos puntuales se facturan aparte por gastos justificados. En el 100% de los casos de 2024-2025 la inspección se ha resuelto remota.
¿Cuánto cuesta el servicio RGPD para una pyme bilbaína?
Desde 349 €/año para empresas con hasta cinco trabajadores. La calculadora pública en cardeseo.com/cumplimiento-legal muestra el precio antes de pedir datos. Sin recargo por ubicación ni por versión bilingüe en euskera.
Próximos pasos
Si tu pyme está domiciliada en Bilbao o en cualquier municipio de Bizkaia, el siguiente paso es calcular el precio en la calculadora pública sin formulario y, si encaja, reservar la videollamada de alta. En 5-7 días laborables el pack documental queda implementado en tu web y tu pyme entra en el ciclo anual de soporte continuo. Para conocer la metodología detallada puedes consultar la guía general de RGPD para pymes o leer cómo opera Cardeseo en otras ciudades como Madrid, Barcelona o Valencia. Si prefieres llamada directa, el teléfono comercial está en la página de contacto.
Fuentes: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 (LOPDGDD), Ley 2/2004 de la Agencia Vasca de Protección de Datos, Ley 12/2002 del Concierto Económico, doctrina contencioso-administrativa del Tribunal Supremo y de la Audiencia Nacional, Guía AEPD sobre cookies (2024) y Norma Foral General Tributaria de Bizkaia 2/2005.