RGPD para pymes en Gijón: panorama 2026
El RGPD en Gijón es el régimen jurídico que obliga a toda pyme con sede o actividad en la ciudad a documentar, justificar y proteger cualquier tratamiento de datos personales que realice, ya sea de clientes, empleados, proveedores o usuarios web. Está formado por el Reglamento (UE) 2016/679 (RGPD), la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD) y la Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE) para todo lo que toca cookies y comunicaciones comerciales electrónicas.
Gijón concentra el grueso del tejido empresarial del Principado de Asturias junto con Oviedo y Avilés. La economía gijonesa combina industria pesada heredada del siglo XX (siderurgia, naval, energía), hostelería costera de alta densidad en zonas como Cimavilla, El Muro o La Calzada, turismo urbano y de congresos, agroalimentario con denominaciones de origen y un sector pesquero activo en el puerto de El Musel. Cada uno de estos sectores trata datos personales con riesgos y obligaciones distintas, pero todos comparten un mismo regulador: la Agencia Española de Protección de Datos (AEPD).
Para una pyme gijonesa típica de entre 1 y 50 trabajadores, las obligaciones núcleo son cinco: Registro de Actividades de Tratamiento (Art. 30 RGPD), cláusulas informativas en formularios y contratos (Arts. 13 y 14 RGPD), gestión de derechos del titular en plazo (Arts. 15 a 22 RGPD), contratos de encargo del tratamiento con cada proveedor que acceda a datos (Art. 28 RGPD) y política de cookies conforme a la Guía AEPD vigente. A esto se añade la obligación de notificar brechas de seguridad a la AEPD en 72 horas (Art. 33 RGPD) cuando supongan riesgo para los derechos del titular.
AEPD como autoridad competente en Asturias
A diferencia de Cataluña, País Vasco o la Comunidad de Madrid, el Principado de Asturias no dispone de autoridad autonómica propia de protección de datos. Esto significa que cualquier pyme privada con sede en Gijón se rige íntegramente por la AEPD estatal, con sede en C/ Jorge Juan 6, Madrid, sin capa autonómica intermedia ni regulador regional al que dirigirse para consultas, denuncias o procedimientos sancionadores.
La AEPD ejerce sus competencias en Asturias a través del procedimiento ordinario regulado en la LOPDGDD y en la Ley 39/2015 del Procedimiento Administrativo Común. Una denuncia presentada por un cliente o ex empleado gijonés se tramita en Madrid; las comunicaciones llegan por vía electrónica a través de la sede electrónica sedeagpd.gob.es; los requerimientos de información se contestan también por sede electrónica y los plazos son los generales del procedimiento administrativo: 10 días hábiles para alegaciones, ampliables motivadamente.
La AEPD publica anualmente su Memoria con las cifras de actuaciones realizadas. Las sanciones a pymes españolas oscilan habitualmente entre 5.000 € y 100.000 € en función de la gravedad, el volumen de datos afectados, la intencionalidad o negligencia y la reincidencia. Las infracciones leves se castigan con apercibimiento (Art. 58.2.b RGPD) en muchos casos cuando hay buena fe acreditada por la pyme; las graves van directamente a sanción económica. La Audiencia Nacional y el Tribunal Supremo valoran positivamente en sentencias firmes los esfuerzos de diligencia documental previa a la denuncia, lo que en la práctica significa que tener el Registro de Actividades, las cláusulas informativas y los contratos de encargo en orden reduce de forma material la cuantía final cuando hay sanción.
Para una pyme gijonesa el corolario práctico es claro: no hay un regulador "más cercano" o "más comprensivo" en Oviedo al que apelar. La AEPD es la única ventanilla, lo que obliga a tener el expediente documental cerrado antes de cualquier eventual inspección. El art. 78 LOPDGDD recoge las infracciones consideradas leves y la posibilidad de apercibimiento cuando concurren circunstancias atenuantes.
Tejido empresarial gijonés y riesgos RGPD
Cada sector productivo de Gijón presenta un perfil de riesgo RGPD diferente. Conocer el mapa permite priorizar dónde poner el foco documental y de seguridad.
| Sector gijonés | Riesgo RGPD dominante | Obligación clave |
|---|---|---|
| Industria pesada (siderurgia, naval, energía) | Datos de empleados, videovigilancia perimetral, datos de salud por baja laboral | RAT del tratamiento "Recursos Humanos" + cláusula videovigilancia Art. 22 LOPDGDD |
| Hostelería costera (Cimavilla, El Muro) | Reservas, marketing por WhatsApp y email, videovigilancia | Consentimiento expreso para marketing + base contractual para reservas |
| Turismo y hoteles | Registro de viajeros, transferencias internacionales, fidelización | Base legal de obligación (Art. 6.1.c RGPD) para registro de viajeros + cláusula multilingüe |
| Agroalimentario (sidra, queso, conservas) | Trazabilidad de proveedores y consumidores | Reglamento UE 178/2002 + RAT específico |
| Pesca y puerto de El Musel | Datos tripulantes, contratistas | Convenios laborales del sector + cláusula específica |
| Comercio centro Gijón | Datos de clientes, fidelización, cookies en web | Política cookies Guía AEPD + RAT clientes |
La industria pesada gijonesa hereda décadas de relaciones laborales con convenios colectivos sectoriales (siderurgia, naval) que contienen cláusulas específicas sobre tratamiento de datos del personal: control de presencia, evaluaciones de desempeño, datos médicos por accidentes laborales y vigilancia mediante cámaras en zonas operativas. El registro horario obligatorio del Real Decreto-ley 8/2019 añade un tratamiento extra que debe documentarse en el RAT.
Para pymes industriales auxiliares (componentes, mantenimiento, logística portuaria) el riesgo se concentra en los contratos de encargo del tratamiento con proveedores tecnológicos: software de nóminas, plataformas de fichaje, ERP cloud. Sin contrato firmado Art. 28 RGPD con cada uno de ellos, la pyme principal asume responsabilidad por incumplimientos del proveedor.
El sector agroalimentario asturiano (sidra natural, queso Cabrales, conservas) combina obligaciones de trazabilidad alimentaria del Reglamento UE 178/2002 con tratamiento de datos personales de pequeños productores, lagareros y consumidores finales de visitas a la planta. La compatibilidad entre ambos regímenes exige documentar el plazo de conservación: la trazabilidad alimentaria puede exigir guardar registros más allá de la prescripción contable de cuatro años cuando hay riesgo sanitario.
Hostelería gijonesa y datos del cliente
La hostelería es uno de los pilares de Gijón y, simultáneamente, uno de los sectores con mayor exposición RGPD por la cantidad y variedad de datos personales tratados: reservas con teléfono y email, listas de espera, programas de fidelización, tarjetas de regalo, marketing por WhatsApp y por email, videovigilancia interior y de terrazas, alergias e intolerancias alimentarias (categoría especial Art. 9 RGPD), datos de empleados con horarios variables, fichaje obligatorio y datos económicos de propinas digitalizadas.
La base legal de cada tratamiento es distinta y la pyme hostelera debe documentarla en su Registro de Actividades. La reserva con datos de contacto se sostiene en la ejecución contractual (Art. 6.1.b RGPD): sin teléfono y sin email no hay forma de confirmar, recordar o cancelar la reserva. El envío de boletines comerciales, promociones de menú del día o invitaciones a degustación de sidra no se sostiene en esa base contractual y exige consentimiento expreso, libre, específico e informado del cliente (Art. 6.1.a RGPD y Art. 21 LSSI-CE para el canal electrónico).
El uso de WhatsApp Business como canal de marketing en bares y restaurantes gijoneses, muy extendido, requiere consentimiento previo del cliente para esa finalidad concreta, no basta con que el cliente haya facilitado su número para una reserva. La Guía AEPD sobre cookies y comunicaciones comerciales es explícita: la base contractual de la reserva no se extiende automáticamente al marketing.
Las alergias e intolerancias alimentarias son datos de salud (Art. 9 RGPD) y exigen un tratamiento reforzado: consentimiento explícito si se almacenan más allá de la propia velada, anonimización si solo se usan para esa cena concreta, formación específica del personal sobre confidencialidad. La videovigilancia interior debe cumplir el Art. 22 LOPDGDD: cartel informativo visible, formulario de información detallada disponible para el cliente y plazo máximo de conservación de 30 días salvo incidencia documentada.
Para fidelización y tarjetas regalo, la pyme hostelera debe documentar plazos de conservación distintos: el contrato exige guardar la operación al menos los 4 años de prescripción mercantil; el saldo de la tarjeta regalo exige guardarlo hasta su consumo o caducidad; los datos de fidelización exigen revisión anual para borrar inactivos.
Cómo opera Cardeseo en Gijón (100% remoto)
Cardeseo (Groove Factory Studios SL, CIF B42915165) tiene su sede física en Mataró pero presta servicio a pymes gijonesas con un modelo 100% remoto que cubre las siete fases del servicio RGPD: contacto inicial, análisis previo, firma y pago, documentación, implementación web, entrega y certificado y mantenimiento anual continuo.
El alta del cliente gijonés arranca con una videollamada de 30 a 45 minutos donde el asesor de Cardeseo recoge los datos identificativos, el sector, el número de trabajadores y los tratamientos no estándar: cámaras, fichaje biométrico, ecommerce, datos de salud, marketing digital, transferencias internacionales por uso de cloud no UE. Con ese input se calcula la tarifa y se emite la propuesta firme, sin sorpresas posteriores.
Tras la firma del contrato y el pago, el equipo Cardeseo construye el pack documental personalizado en 5 a 7 días laborables. El pack incluye Registro de Actividades de Tratamiento adaptado al sector de la pyme gijonesa, cláusulas informativas para web y formularios físicos, contratos de encargo del tratamiento con los proveedores tecnológicos del cliente, política de cookies conforme a la Guía AEPD vigente, política de privacidad, aviso legal y términos y condiciones para la web. Si la pyme tiene videovigilancia, se añade el bloque específico Art. 22 LOPDGDD con cartel, formulario detallado y RAT.
La implementación web se gestiona también en remoto: el cliente entrega accesos a su CMS (WordPress, Shopify, Prestashop) y el equipo técnico de Cardeseo publica los textos legales, configura el banner de cookies y verifica la conformidad final. Si el cliente prefiere implementarlo con su propio desarrollador, se entrega el contenido en HTML listo para pegar y la documentación de configuración del banner.
El soporte AEPD posterior es continuo: cualquier requerimiento, denuncia o consulta del cliente gijonés tiene respuesta del equipo en 24 horas hábiles. El servicio anual incluye además la actualización automática de plantillas cuando cambia la normativa (cambio en Guía AEPD de cookies, nuevas resoluciones AN/TS relevantes, modificaciones de la LOPDGDD) sin coste adicional, y la asistencia ante inspección si llegara.
Para clientes gijoneses que prefieran reunión presencial puntual en un caso complejo (litigio AEPD avanzado, requerimiento judicial, brecha grave con cobertura mediática), Cardeseo se desplaza a Asturias con cobro de gastos. Para el flujo estándar el modelo remoto cubre el 100% de las necesidades documentales y de soporte.
Inspección AEPD en Gijón: protocolo
Una inspección AEPD en una pyme gijonesa no implica visita física: la AEPD trabaja con requerimientos de información por sede electrónica. El protocolo habitual cuando llega un requerimiento es contestar en plazo (10 días hábiles desde la notificación, ampliables motivadamente) aportando la documentación que acredite cumplimiento.
Las inspecciones más frecuentes a pymes derivan de denuncias de tres tipos: ex empleados que denuncian tratamiento incorrecto de sus datos tras la baja, clientes que reciben marketing sin consentimiento expreso o usuarios web que detectan banner de cookies no conforme. En todos los casos la AEPD pide a la pyme el RAT, las cláusulas informativas firmadas por el denunciante en su día, la política de cookies y los logs del banner cuando aplica.
El protocolo Cardeseo ante requerimiento es: llamada con el cliente gijonés en menos de 24 horas para entender el caso, revisión del expediente documental existente, preparación de la respuesta con la documentación de prueba, envío por sede electrónica dentro del plazo y seguimiento posterior. Si la AEPD abre procedimiento sancionador, se preparan alegaciones formales y se acompaña al cliente hasta la resolución firme.
La buena noticia para pymes que llegan con la documentación en orden es que la AEPD valora positivamente la diligencia documental previa. Las infracciones leves del Art. 78 LOPDGDD admiten apercibimiento sin sanción económica (Art. 58.2.b RGPD) cuando se acredita buena fe y voluntad de subsanación inmediata.
Tarifa para pymes gijonesas
La tarifa Cardeseo para pymes gijonesas es la misma que para cualquier pyme española: desde 349 €/año para empresas de hasta 5 trabajadores en sector estándar. La calculadora pública sin formulario en cardeseo.com permite obtener el precio firme introduciendo número de trabajadores y sector. No hay extras por ubicación geográfica ni por desplazamiento en el modelo remoto.
Los sectores con tratamientos más complejos (sanitario, educativo con menores, ONG ideológica, ecommerce con volumen alto) tienen tarifas Sectoriales superiores que se calculan caso a caso. Para una pyme gijonesa típica (hostelería, industria auxiliar, comercio, agroalimentario pequeño) la tarifa Estándar de 349 € a 749 € anuales cubre el servicio completo sin sorpresas.
El pago es manual (transferencia o link Stripe puntual). El servicio se renueva anualmente con revisión documental incluida, sin recargos por actualización normativa.
Preguntas frecuentes
¿Asturias tiene autoridad autonómica de protección de datos?
No para empresas privadas. El Principado de Asturias no dispone de regulador autonómico equivalente a la APDCAT catalana o la AVPD vasca. La competencia íntegra sobre cualquier pyme privada gijonesa corresponde a la AEPD estatal con sede en Madrid.
¿Mi sidrería gijonesa puede enviar promociones por WhatsApp Business?
Solo con consentimiento expreso del cliente para esa finalidad concreta de marketing. El número facilitado para una reserva no habilita automáticamente el envío de promociones. Cardeseo te facilita la cláusula de consentimiento y el flujo de captación correcto conforme a la Guía AEPD y al Art. 21 LSSI-CE.
¿Mi empresa industrial de Gijón con videovigilancia perimetral qué tiene que tener?
Cartel informativo visible en zonas vigiladas conforme al Art. 22 LOPDGDD, formulario de información detallada disponible para empleados y visitantes, RAT específico del tratamiento de videovigilancia con plazo máximo de conservación de 30 días salvo incidencia documentada y cláusula en contratos laborales que informe del tratamiento.
¿Cardeseo opera en Gijón o solo en Cataluña?
Cardeseo presta servicio en toda España. La sede física está en Mataró pero la atención a pymes gijonesas es 100% remota con la misma calidad: videollamada de alta, pack documental personalizado en 5 a 7 días laborables y soporte AEPD continuo en 24 horas hábiles.
¿Cuánto cuesta el servicio anual para una pyme gijonesa?
Desde 349 €/año para empresas de hasta 5 trabajadores en sector estándar. La calculadora pública sin formulario en cardeseo.com te da el precio firme introduciendo trabajadores y sector. Sectores con tratamientos complejos (sanitario, ecommerce con volumen, ONG) tienen tarifa Sectorial calculada caso a caso.
¿Mi hotel gijonés con clientes internacionales tiene obligaciones extra?
Sí. El registro de viajeros para Policía Nacional o Guardia Civil es obligación legal (base Art. 6.1.c RGPD). Si tu hotel almacena datos en cloud no UE (Estados Unidos), debes verificar el mecanismo de transferencia internacional (Data Privacy Framework). El aviso de privacidad debe ofrecerse en castellano y, recomendable, en inglés para visitantes internacionales.
Próximos pasos
Si tu pyme gijonesa todavía no tiene el expediente RGPD cerrado o llevas más de un año sin revisarlo, el camino más directo es consultar la calculadora pública en /cumplimiento-legal/ para obtener tarifa firme sin formulario ni datos personales previos. Desde ahí puedes contratar el servicio anual y tener el pack documental personalizado en 5 a 7 días laborables, con soporte AEPD continuo durante todo el año.
Si prefieres entender primero el alcance del régimen, revisa la guía /cumplimiento-legal/que-es-el-rgpd/ para el marco general y la guía /cumplimiento-legal/aepd-guia-completa/ para entender cómo opera la AEPD. Para el detalle de la LOPDGDD española, /cumplimiento-legal/lopdgdd-explicado/. Si tu pyme gijonesa procesa volumen alto de datos sensibles, conviene revisar /cumplimiento-legal/dpo-delegado-proteccion-datos/ para evaluar si necesitas Delegado de Protección de Datos.
El onboarding paso a paso del servicio Cardeseo se describe en /cumplimiento-legal/onboarding-rgpd/, con las siete fases del manual operativo. Las plantillas y recursos descargables están en /recursos/plantillas/.