Adecuación RGPD en Burgos con soporte AEPD

RGPD para pymes en Burgos: panorama 2026

El RGPD Burgos se rige por el Reglamento (UE) 2016/679 y la LOPDGDD 3/2018, normativa estatal que se aplica íntegramente a cualquier pyme burgalesa con domicilio social en la capital, en la Ribera del Duero, en la comarca de Las Merindades o en el corredor industrial de Aranda. El INE situaba en 2025 alrededor de 23.500 empresas activas en la provincia de Burgos, de las cuales más del 94% son micropymes con menos de diez trabajadores: justo el perfil al que la Agencia Española de Protección de Datos (AEPD) ha dirigido sus campañas sectoriales de 2024 y 2025 sobre cookies, videovigilancia laboral y comunicaciones comerciales sin consentimiento informado.

Castilla y León no cuenta con autoridad autonómica de protección de datos para el sector privado: la totalidad de las pymes burgalesas responden ante la AEPD estatal. Esa peculiaridad evita el doble cauce competencial que sí padecen las pymes vascas, catalanas, andaluzas o madrileñas, pero al mismo tiempo concentra las inspecciones y los procedimientos sancionadores en una única autoridad con sede en Calle Jorge Juan 6 de Madrid. La economía local convive con tres motores muy distintos —agroalimentario con Denominación de Origen Ribera del Duero, automoción y componentes con Antolin, Bridgestone o Treves, y turismo histórico vinculado a la Catedral patrimonio UNESCO y al Camino de Santiago— y cada uno arrastra obligaciones RGPD complementarias que el pack documental de Cardeseo aterriza en un único entregable.

AEPD como autoridad competente en Castilla y León

La Agencia Española de Protección de Datos es la única autoridad de control con competencia sobre las empresas privadas de Castilla y León. La comunidad autónoma optó por no crear una agencia autonómica análoga a la APDCAT catalana, la AVPD vasca o la CTPDA andaluza, de modo que la disposición adicional decimocuarta de la LOPDGDD no traslada potestades a ningún ente regional para el sector privado. En consecuencia, cualquier reclamación de un cliente, empleado o competidor de una pyme burgalesa se tramita íntegramente por la AEPD a través de la sede electrónica oficial sedeagpd.gob.es, y las eventuales sanciones se acuerdan conforme al Art. 83 RGPD y los Arts. 71 a 78 LOPDGDD.

Para el sector público de Castilla y León (Junta, ayuntamientos, diputaciones, hospitales SACYL, universidades públicas) la AEPD también conserva la competencia plena, ya que la comunidad no ha asumido esa función. Esto simplifica el mapa para el empresario burgalés: una asesoría de la Calle Vitoria, un taller de Villarcayo o una bodega de Roa responden ante la misma autoridad que un proveedor del Hospital Universitario de Burgos. La AEPD opera con plazos electrónicos a través del DEHú (Dirección Electrónica Habilitada única) y las notificaciones llegan por vía telemática al domicilio social que conste en el Registro Mercantil de Burgos. Confundir el ámbito competencial es uno de los errores más frecuentes en pymes que asumen erróneamente que la Junta de Castilla y León supervisa la protección de datos privada: no lo hace y Cardeseo lo aclara en la sesión de alta.

Tejido empresarial burgalés y riesgos RGPD

El tejido productivo de Burgos presenta tres grandes clusters con riesgos RGPD muy diferenciados. El cluster agroalimentario se concentra en la Ribera del Duero (Aranda, Roa, Peñafiel) con bodegas amparadas por la DO Ribera del Duero, en la comarca de Salas con la IGP Lechazo de Castilla y León y en las plantas cárnicas de Aranda y Lerma con la IGP Morcilla de Burgos. Estas pymes manejan datos de clientes finales (enoturismo, suscripciones de envío directo), de distribuidores, de empleados de campaña y de inspectores oficiales. La videovigilancia perimetral y el control de accesos biométrico están extendidos en plantas cárnicas y bodegas, lo que activa las obligaciones del Art. 89 LOPDGDD sobre videovigilancia laboral y del Art. 9 RGPD sobre datos biométricos.

El cluster automoción y componentes se articula alrededor del polígono de Villalonquéjar, Gamonal y la planta de Bridgestone en Aranda, con tractores empresariales como Grupo Antolin (matriz mundial en Burgos), Treves, Benteler y proveedores de tier 2 y tier 3. Aquí los riesgos RGPD pasan por contratos de encargado de tratamiento con OEMs internacionales (Volkswagen, Ford, PSA Stellantis) que imponen cláusulas estándar muy estrictas con auditoría anual, transferencias internacionales documentadas mediante cláusulas contractuales tipo (Decisión de Ejecución UE 2021/914) y secretos industriales que conviven con datos personales de ingenieros. La AEPD ha sancionado en 2024 a varias industriales de proveedores tier 2 por videovigilancia laboral sin distintivo y por sistemas de fichaje biométrico sin DPIA previa.

El cluster turismo histórico vive de la Catedral de Santa María patrimonio UNESCO, del Museo de la Evolución Humana vinculado a Atapuerca y de los albergues del Camino Francés a su paso por Burgos. Estas pymes (hoteles, casas rurales, albergues, restaurantes, agencias de turismo activo) tratan el registro de viajeros conforme al Real Decreto 933/2021 con remisión a la Policía Nacional, programas de fidelización y videovigilancia en zonas comunes. Las sanciones AEPD a alojamientos por información insuficiente sobre el tratamiento del check-in se mueven en 2024-2025 en una horquilla orientativa de 5.000 a 100.000 € para pymes según la gravedad valorada con los criterios del Art. 83.2 RGPD.

Sector agroalimentario y trazabilidad Reglamento 178/2002

El Reglamento (CE) 178/2002 del Parlamento Europeo y del Consejo establece los principios generales de la legislación alimentaria europea y, en sus Arts. 18 y 19, fija la obligación de trazabilidad ascendente y descendente para todos los operadores de la cadena: de quién compras, a quién vendes, qué lote, qué fecha. Una bodega de Aranda, un asador de Lerma o una conservera de Aranda están obligados a mantener registros que incluyen datos de proveedores y clientes, muchos de ellos personas físicas (autónomos del campo, distribuidores individuales, clientes finales del canal corto). Estos registros entran en el ámbito del RGPD por contener datos identificativos, y la base legitimadora aplicable es el Art. 6.1.c RGPD (cumplimiento de obligación legal), no el consentimiento.

La trazabilidad alimentaria se cruza con la normativa de etiquetado (Reglamento UE 1169/2011 sobre información alimentaria al consumidor) y, en el caso específico de la DO Ribera del Duero, con el reglamento del Consejo Regulador y con las verificaciones del Instituto Tecnológico Agrario de Castilla y León (ITACyL). Las inspecciones cruzan datos del operador con la Agencia Tributaria foral o estatal, con la Junta de Castilla y León y con la Subdirección General de Calidad Alimentaria del Ministerio de Agricultura, lo que multiplica las cesiones legales del Art. 6.1.c RGPD que el RAT debe documentar.

Cardeseo configura para la bodega o la cárnica burgalesa un RAT con seis a ocho actividades de tratamiento estándar (clientes, proveedores, empleados, videovigilancia, web y enoturismo, marketing, distribuidores B2B, inspecciones oficiales) y referencia expresa al Reglamento 178/2002 como base legal en la actividad "trazabilidad alimentaria obligatoria". Los plazos de conservación se ajustan al reglamento sectorial (cinco años para trazabilidad según la Recomendación CE 31 sobre Art. 18 R178/2002, cuatro años fiscal según Art. 66 LGT, seis años contable mercantil según Art. 30 Código de Comercio, cuatro años laboral según Art. 4.1 RD Leg. 5/2000). El cliente recibe el cuadro completo en el RAT entregado tras la videollamada de alta.

Cómo opera Cardeseo en Burgos (100% remoto)

Cardeseo no tiene sede física en Burgos y opera el servicio íntegramente en remoto desde Mataró (Barcelona), donde está domiciliada Groove Factory Studios, S.L. (CIF B42915165), sociedad facturadora del servicio. La metodología se articula en cuatro hitos públicos. Hito 1 — Videollamada de alta (45-60 minutos): se hace por Google Meet con el responsable de la pyme burgalesa, normalmente el administrador único o el responsable de personal. En esa sesión se mapean las actividades de tratamiento, se identifican las cesiones (gestoría, asesoría laboral, proveedor cloud, distribuidores), se confirma el sector específico (agroalimentario, automoción, turismo, comercio, servicios) y se activan las particularidades burgalesas que apliquen: trazabilidad Reglamento 178/2002 si es bodega o cárnica, cláusulas internacionales si es proveedor de automoción, registro de viajeros si es alojamiento del Camino.

Hito 2 — Pack documental (5-7 días laborables): el equipo genera con un script propio en Python los 21 documentos personalizados del pack (Registro de Actividades de Tratamiento, política de privacidad, política de cookies, contratos de encargado de tratamiento, manual de personal, cláusulas de videovigilancia, cláusulas en contratos de trabajo, formularios para derechos del titular y un manual operativo interno). Si la pyme burgalesa requiere documentación sectorial reforzada (sanitario, educativo, ONG, ecommerce, fintech), el pack escala al tier sectorial sin cambio de proveedor.

Hito 3 — Implementación web: un técnico de Cardeseo publica los tres textos legales (aviso legal, política de privacidad, política de cookies) en la web del cliente (WordPress, Shopify, Prestashop, Wix o cualquier CMS) y configura el banner de cookies según la Guía AEPD sobre el uso de cookies (versión 2024). Se incluye prueba documental en PDF del estado anterior y posterior para que la pyme tenga evidencia de cumplimiento.

Hito 4 — Soporte continuo (12 meses): la pyme escribe a soporte@cardeseo.com ante cualquier duda, requerimiento AEPD o ejercicio de derechos del titular, con SLA contractual de 24 horas laborables para inspecciones AEPD. La cobertura geográfica de Castilla y León (Burgos, Valladolid, Salamanca, León, Palencia, Soria, Segovia, Ávila y Zamora) se atiende íntegramente en remoto. Para situaciones que exijan presencia física (Inspección de Trabajo en sede, litigio judicial), Cardeseo se desplaza bajo facturación de gastos justificados; en la práctica, durante 2024-2025 el 100% de las incidencias se resolvió remoto.

Inspección AEPD en Burgos: protocolo

Cuando una pyme burgalesa recibe un requerimiento de la AEPD (notificación electrónica vía DEHú o carta certificada al domicilio social inscrito en el Registro Mercantil de Burgos), el protocolo Cardeseo es secuencial. Día 0: el cliente reenvía el requerimiento íntegro a soporte@cardeseo.com; el equipo confirma recepción en menos de 24 horas laborables y abre el expediente interno. Día 1-2: revisión documental contra el pack RGPD entregado y elaboración de la respuesta inicial. Si la AEPD ha abierto un procedimiento sancionador del Art. 64 LOPDGDD, se prepara el escrito de alegaciones; si es un procedimiento previo de investigación del Art. 65 LOPDGDD, se aporta la documentación solicitada (RAT, política de privacidad, contratos de encargado, evidencias de información a empleados).

Día 3-10: presentación del escrito en la sede electrónica AEPD y seguimiento del expediente. La sanción aplicable se acuerda según el Art. 83 RGPD y los Arts. 71-78 LOPDGDD. Para pymes, la AEPD ha aplicado en 2024-2025 sanciones en una horquilla orientativa de 5.000 a 100.000 €, con apercibimientos del Art. 58.2.b RGPD en infracciones leves y primer incumplimiento, frecuentes cuando el responsable acredita pack documental completo y diligencia. La Audiencia Nacional (Sala de lo Contencioso) valora positivamente la existencia de pack documental previo y consulta jurídica continuada como circunstancia atenuante prevista en el Art. 83.2.k RGPD.

Para pymes del cluster automoción burgalés con casa matriz fuera de la UE (proveedor de OEM estadounidense, japonés o coreano), el procedimiento se complica con la documentación de transferencias internacionales basadas en cláusulas contractuales tipo (Decisión de Ejecución UE 2021/914). Cardeseo prepara la evaluación de impacto de transferencia (TIA) según las recomendaciones del Comité Europeo de Protección de Datos 01/2020 y la adjunta al expediente para acreditar la diligencia debida.

Tarifa para pymes burgalesas

La tarifa pública del servicio RGPD de Cardeseo es la misma en Burgos que en cualquier ciudad española, sin recargo por ubicación geográfica ni por sector base. El tier estándar arranca en 349 €/año para empresas con hasta cinco trabajadores y se calcula según número de empleados, sector (sanitario, educativo, ecommerce y ONG escalan al tier sectorial) y volumen de cesiones a encargados de tratamiento. La calculadora pública sin formulario está disponible en cardeseo.com/cumplimiento-legal y muestra el precio antes de recopilar dato alguno del cliente.

La factura la emite Groove Factory Studios, S.L. (CIF B42915165, domicilio en Calle Balançó i Boter 22, 08302 Mataró) y el pago se gestiona mediante transferencia o link Stripe puntual. La renovación se realiza manualmente cada año previa confirmación del cliente burgalés. Si la pyme cancela antes del cierre del primer año, Cardeseo devuelve la parte proporcional no consumida manteniendo la propiedad de los documentos ya entregados, que no se revocan.

Preguntas frecuentes

Próximos pasos

Si tu pyme está domiciliada en Burgos o en cualquier municipio de Castilla y León, el siguiente paso es calcular el precio en la calculadora pública sin formulario y, si encaja, reservar la videollamada de alta. En 5-7 días laborables el pack documental queda implementado en tu web y tu pyme entra en el ciclo anual de soporte continuo. Para conocer la metodología en profundidad puedes consultar la guía de adecuación RGPD, la guía completa de la AEPD, las obligaciones LOPDGDD explicadas o las plantillas RGPD disponibles. Si necesitas figura formal de DPO, revisa la guía del Delegado de Protección de Datos.

Fuentes: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 (LOPDGDD), Reglamento (CE) 178/2002 sobre legislación alimentaria, Real Decreto 933/2021 sobre registro de viajeros, Decisión de Ejecución (UE) 2021/914 sobre cláusulas contractuales tipo y Guía AEPD sobre el uso de cookies (2024).