RGPD para pymes en Granada: panorama 2026
El RGPD en Granada se aplica con el mismo marco legal que en el resto del territorio español: Reglamento (UE) 2016/679 (RGPD), Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) y Ley 34/2002 de Servicios de la Sociedad de la Información (LSSI-CE). La adecuación al RGPD es el proceso por el que una pyme granadina documenta, implanta y mantiene las medidas técnicas y organizativas que exige el Reglamento europeo, desde el registro de actividades de tratamiento hasta el banner de cookies.
La provincia de Granada concentra cerca de 60.000 empresas activas según los registros del INE de 2025, con una densidad altísima de microempresas y pymes en el centro histórico, el Albaicín, la Vega y los polígonos industriales de Juncaril, Asegra y la zona norte de la capital. El tejido productivo combina cuatro motores fuertes: turismo cultural en torno a la Alhambra (con casi 2,8 millones de visitantes anuales antes de 2020), comercio de proximidad en Recogidas, Reyes Católicos y Mesones, hostelería de tapeo histórica, salud privada y un cluster universitario muy activo en torno a la UGR. Cada uno de estos sectores aporta riesgos RGPD específicos que conviene mapear antes de hablar de tarifa o pack documental.
La Agencia Española de Protección de Datos (AEPD) supervisa a las empresas privadas granadinas. En 2024 la AEPD impuso más de 350 millones de euros en sanciones a nivel estatal según su Memoria anual, con procedimientos sancionadores reiterados a pymes andaluzas por banners de cookies no conformes, videovigilancia sin cartel informativo y envíos de comunicaciones comerciales sin consentimiento expreso (especialmente por WhatsApp y SMS). Granada no escapa al patrón: cualquier negocio con web, cámaras de seguridad o lista de clientes está dentro del perímetro inspeccionable.
CTPDA y AEPD: distribución competencial en Andalucía
Andalucía cuenta con el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA), autoridad autonómica creada por la Ley 1/2014, de 24 de junio, de Transparencia Pública de Andalucía. Su sede está en Sevilla (Avenida de la Borbolla, 5) y su competencia se circunscribe a las Administraciones públicas andaluzas, entidades del sector público autonómico y local, universidades públicas, consorcios, fundaciones públicas y empresas públicas. La CTPDA no tiene competencia sancionadora sobre empresas privadas granadinas.
Para una pyme granadina (un restaurante en la calle Navas, una clínica dental en el Zaidín, una agencia de viajes en el centro, una tienda online de productos andaluces o una academia de español para extranjeros) la autoridad competente es la AEPD estatal, con sede en Madrid (C/ Jorge Juan 6). Esto tiene consecuencias prácticas: las denuncias se presentan en la sede electrónica sedeagpd.gob.es, las inspecciones se ordenan desde Madrid (con desplazamiento de inspectores o requerimientos telemáticos) y las sanciones siguen el régimen del Capítulo VIII del RGPD y los artículos 70 a 78 LOPDGDD.
El artículo 77 LOPDGDD establece la potestad sancionadora de la AEPD y los plazos: las infracciones muy graves prescriben a los tres años, las graves a los dos años y las leves al año. El artículo 78 LOPDGDD regula la prescripción de las sanciones impuestas. Para una pyme con sanción de hasta 40.000€ el plazo de prescripción de la sanción firme es de un año desde su firmeza administrativa. Sobre la advertencia prevista en el artículo 58.2.b RGPD (medida correctora no sancionadora) la AEPD la viene utilizando en casos de pequeñas infracciones formales sin perjuicio relevante: es una opción real para pymes que actúan de buena fe.
La Universidad de Granada, como entidad pública, sí está sometida a la supervisión de la CTPDA en lo que respecta a su tratamiento de datos de estudiantes, personal docente y personal de administración. Las spin-offs y empresas privadas vinculadas a la UGR, en cambio, vuelven al perímetro de la AEPD estatal.
Tejido empresarial granadino y riesgos RGPD
El tejido empresarial granadino tiene cuatro clusters dominantes que concentran la mayoría de los riesgos RGPD sobre los que la AEPD ha venido sancionando con doctrina consolidada en los últimos cuatro años.
Turismo cultural en torno a la Alhambra. Hoteles, hostales, apartamentos turísticos y guías oficiales granadinos tratan datos de visitantes nacionales e internacionales con bases legales mixtas: contrato (Art. 6.1.b RGPD) para la reserva, obligación legal (Art. 6.1.c RGPD) para el registro de viajeros previsto en el Real Decreto 933/2021 ante la Policía Nacional o la Guardia Civil, y consentimiento (Art. 6.1.a RGPD) para acciones de marketing posteriores. El registro de viajeros entró en vigor con sus campos ampliados el 2 de diciembre de 2024 y exige conservar 36 datos por viajero durante tres años, con cesión telemática diaria a las Fuerzas y Cuerpos de Seguridad del Estado. Una pyme hotelera granadina con web propia, motor de reservas y CRM tiene como mínimo cinco tratamientos diferenciados que documentar en el Registro de Actividades de Tratamiento.
Comercio del centro histórico. Las tiendas de Mesones, Reyes Católicos y Recogidas combinan videovigilancia (Art. 22 LOPDGDD obliga a cartel informativo y a la conservación máxima de 30 días salvo necesidad probada), tratamiento de datos de fidelización, marketing por email o WhatsApp y, cada vez más, ecommerce con cookies analíticas y publicitarias. El banner de cookies sigue siendo el incumplimiento más sancionado por la AEPD en pymes: la Guía sobre el uso de cookies de julio de 2023 obliga a opciones simétricas "aceptar" y "rechazar" en el primer nivel, sin botón "rechazar" relegado a un segundo paso.
Hostelería tradicional y bares de tapeo. Restaurantes, bares y locales granadinos con sistemas de reservas (TheFork, CoverManager), listas de cumpleaños y promociones por WhatsApp tienen riesgo alto de sanción por envío de comunicaciones comerciales sin consentimiento expreso (Art. 21 LSSI-CE) y por captación de datos sin información previa (Arts. 13 y 14 RGPD).
Salud privada. Clínicas dentales, fisioterapia, podología, estética y residencias de mayores tratan datos de salud (Art. 9 RGPD, categoría especial) que exigen consentimiento explícito o una de las excepciones del Art. 9.2, medidas técnicas reforzadas, conservación condicionada a la Ley 41/2002 (cinco años desde el alta del paciente o desde la última actuación, ampliable según normativa autonómica) y, en algunos supuestos, designación de Delegado de Protección de Datos por gran escala.
| Sector granadino | Riesgo RGPD principal | Sanción AEPD orientativa pymes |
|---|---|---|
| Turismo y alojamiento | Registro de viajeros + marketing internacional | 5.000 - 40.000 € |
| Comercio centro histórico | Cookies + videovigilancia | 2.000 - 30.000 € |
| Hostelería de tapeo | Marketing WhatsApp/SMS sin consentimiento | 2.000 - 40.000 € |
| Salud privada | Datos Art. 9 + conservación | 10.000 - 100.000 € |
Las horquillas reflejan la práctica orientativa de la AEPD para pymes en el rango 5.000 - 100.000 €, ajustada por los criterios de graduación del Art. 83 RGPD y Art. 76 LOPDGDD: gravedad, intencionalidad, daño causado, medidas adoptadas, cooperación con la autoridad y reincidencia.
Universidad de Granada y datos académicos
La Universidad de Granada (UGR) es uno de los actores más relevantes del tejido socioeconómico granadino, con cerca de 60.000 estudiantes matriculados, más de 5.000 trabajadores entre PDI y PAS, cinco campus (Cartuja, Aynadamar, Centro, PTS y Melilla-Ceuta) y un volumen de investigación que genera ecosistema empresarial a través de la Oficina de Transferencia de Resultados de Investigación (OTRI).
La UGR como entidad pública está supervisada por la CTPDA en su rol de Administración pública andaluza, pero las empresas spin-off, startups vinculadas y proveedores privados que tratan datos académicos en virtud de contratos de encargo del tratamiento (Art. 28 RGPD) vuelven al perímetro AEPD. Las pymes granadinas que prestan servicios al ecosistema UGR (academias de idiomas, plataformas de e-learning, residencias de estudiantes, copisterías, software académico, consultoras de TFG/TFM) suelen actuar como encargados del tratamiento y tienen que firmar el correspondiente contrato de encargo con las cláusulas obligatorias del artículo 28.3 RGPD: objeto, duración, naturaleza, finalidad, tipo de datos, categorías de interesados, obligaciones del encargado, medidas de seguridad, subencargos, asistencia al responsable, devolución o supresión al final y auditoría.
Las academias de español para extranjeros (Cervantes Granada, Escuela Internacional Don Quijote, Carmen de las Cuevas y muchas pymes) tienen un perfil RGPD particular: trabajan con estudiantes UE y no UE, lo que activa potencialmente transferencias internacionales de datos según el país de origen, idiomas múltiples para los textos legales y bases legales mixtas (contrato + consentimiento para marketing). La conservación de expedientes académicos en pymes formativas se rige por el plazo de prescripción de las acciones contractuales del Código Civil (cinco años desde la finalización del contrato según el Art. 1964 CC), pero la documentación fiscal asociada se conserva cuatro años por exigencia del Art. 66 LGT — son plazos distintos que el RAT debe diferenciar con claridad.
Cómo opera Cardeseo en Granada (100% remoto)
Cardeseo es una consultora RGPD para pymes de Groove Factory Studios SL (CIF B42915165), con sede física en Mataró (Barcelona). Para las pymes granadinas operamos en modalidad 100% remota con la misma calidad de servicio que para nuestros clientes presenciales del Maresme. El servicio se ha diseñado para que ningún cliente fuera del Maresme necesite desplazamientos para tener una adecuación RGPD completa y defendible ante una inspección AEPD.
El flujo operativo para una pyme granadina sigue siete fases bien documentadas. Fase 1: contacto inicial por web, teléfono o referido, con cualificación de actividad, número de empleados, sector, tratamientos especiales (salud, menores, biometría) y existencia de web. Fase 2: análisis previo por videollamada de 30-45 minutos en la que documentamos los tratamientos efectivos del cliente (clientes, proveedores, candidatos, empleados, videovigilancia, marketing). Fase 3: firma del contrato unificado de servicio y pago (link Stripe o transferencia, sin domiciliación automática). Fase 4: generación del pack documental personalizado en 5-7 días laborables, con 21 documentos parametrizados (política de privacidad web, aviso legal, política de cookies, Registro de Actividades de Tratamiento, contrato de encargado del tratamiento, cláusula informativa para clientes, cláusula para empleados, manual del personal, plantillas de respuesta a derechos del titular y otros). Fase 5: implementación web: nuestro técnico publica los tres textos legales en la web del cliente (WordPress, Shopify, PrestaShop, Wix o web a medida) coordinándose con el desarrollador del cliente si lo hay. Fase 6: entrega del ZIP firmado y certificado de adecuación. Fase 7: mantenimiento anual continuo con soporte por correo electrónico ilimitado y respuesta SLA en 24 horas laborables ante inspección AEPD, brecha de seguridad o requerimiento.
El servicio incluye actualización sin coste adicional ante cambios normativos (reformas LOPDGDD, nuevas Guías AEPD, nuevas Directrices del Comité Europeo de Protección de Datos), revisión anual del pack y plantillas listas para responder a los derechos del titular del Capítulo III del RGPD: acceso (Art. 15), rectificación (Art. 16), supresión (Art. 17), limitación (Art. 18), portabilidad (Art. 20), oposición (Art. 21) y a no ser objeto de decisiones automatizadas (Art. 22). Estas plantillas están en derechos-titular/ del pack y pasaron auditoría jurídica cruzada en mayo de 2026.
Si una pyme granadina necesita reunión presencial (caso muy infrecuente: típicamente solo en litigio AEPD complejo, requerimiento judicial o auditoría externa de un cliente grande del sector público), nos desplazamos con cobro de gastos. En cinco años no hemos tenido que hacerlo más de una vez por cliente y año.
Inspección AEPD en Granada: protocolo
Una inspección de la AEPD a una pyme granadina puede llegar por dos vías. La primera y más frecuente: denuncia de un particular o un competidor a través de la sede electrónica de la AEPD por motivos como banner de cookies no conforme, envío de comunicaciones comerciales sin consentimiento, videovigilancia sin cartel, acceso indebido a datos por un exempleado o respuesta inadecuada a un derecho del titular. La segunda: actuación previa de oficio dentro de los planes de inspección sectoriales que la AEPD publica periódicamente (en los últimos años ha priorizado cookies, redes sociales, IA y videovigilancia).
El protocolo recomendado para una pyme granadina ante un requerimiento o notificación de inicio de actuaciones previas es el siguiente. Primero, no responder en caliente: el plazo legal del Art. 73 LPACAP es de 10 días hábiles desde la notificación, ampliable mediante solicitud motivada. Segundo, contactar con su consultora RGPD en menos de 24 horas para activar el SLA de soporte. Tercero, documentar internamente el origen de la notificación, las personas que tienen acceso a los datos objeto del requerimiento, los sistemas implicados y la trazabilidad disponible. Cuarto, redactar la respuesta con prueba documental adjunta (RAT, contratos de encargo, política de privacidad publicada con timestamp, registros de consentimiento, cláusulas informativas en formularios). Quinto, presentar telemáticamente en sedeagpd.gob.es con certificado digital o Cl@ve y solicitar acuse de recibo.
En la fase de actuaciones previas la AEPD valora positivamente la cooperación diligente, la documentación previa adecuada y la adopción de medidas correctoras inmediatas. Cuando estas tres condiciones concurren, la AEPD viene aplicando con frecuencia la advertencia del Art. 58.2.b RGPD o sanciones en el rango bajo de la horquilla. Cuando faltan, la sanción se sitúa en el medio o alto de la horquilla y se publica en el Boletín Oficial del Estado, con el daño reputacional añadido. La Audiencia Nacional, que conoce los recursos contencioso-administrativos contra resoluciones AEPD, valora positivamente la diligencia documental previa del sancionado y la jurisprudencia reciente del Tribunal Supremo ha consolidado el principio de proporcionalidad como criterio rector de la graduación.
Tarifa para pymes granadinas
La tarifa para pymes granadinas es la misma que para cualquier cliente fuera del Maresme: desde 349€ al año para empresas de hasta 5 trabajadores, sin extras por ubicación geográfica, sin domiciliación obligatoria y sin permanencia. El precio incluye pack documental completo, implementación de los tres textos legales en la web del cliente, soporte por email ilimitado, SLA de 24 horas laborables ante inspección AEPD, actualización ante cambios normativos y certificado de adecuación.
| Tramo de empleados | Tarifa anual orientativa |
|---|---|
| Autónomo / 1-5 trabajadores | desde 349 € |
| 6-15 trabajadores | desde 549 € |
| 16-30 trabajadores | desde 849 € |
| 31-50 trabajadores | desde 1.290 € |
| Más de 50 / tratamientos especiales | presupuesto a medida |
La calculadora pública está disponible sin formulario en cardeseo.com. Los tratamientos especiales que pueden requerir presupuesto a medida son: salud privada con DPD obligatorio, biometría laboral (control horario con huella o reconocimiento facial), tratamientos a gran escala de datos de menores, sistemas de IA con decisiones automatizadas Art. 22 RGPD, multinacionales con transferencias internacionales complejas y grupos con varias sociedades vinculadas.
Preguntas frecuentes
¿La CTPDA puede sancionar a mi pyme granadina por incumplir el RGPD?
No. El Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) tiene competencia exclusiva sobre Administraciones públicas andaluzas, sector público autonómico y local, universidades públicas y entidades vinculadas. Las pymes y empresas privadas granadinas se rigen por la AEPD estatal, con sede en C/ Jorge Juan 6 de Madrid y sede electrónica en sedeagpd.gob.es.
¿Tengo que registrar a los viajeros de mi hotel o apartamento turístico granadino?
Sí, es obligación legal con la Policía Nacional o Guardia Civil desde el Real Decreto 933/2021, con la ampliación de campos en vigor desde el 2 de diciembre de 2024. El registro de viajeros se basa en el Art. 6.1.c RGPD (obligación legal) y conserva los datos tres años con cesión telemática diaria a Fuerzas y Cuerpos de Seguridad. Cardeseo lo documenta correctamente en tu Registro de Actividades.
¿Mi clínica dental o residencia de mayores en Granada necesita Delegado de Protección de Datos?
Las clínicas pequeñas (uno o dos profesionales sin red de centros) normalmente no requieren DPD obligatorio. Las clínicas con tratamientos masivos de datos de salud (varios profesionales, alto volumen de pacientes, red de centros) y las residencias de mayores con muchos residentes activan habitualmente la obligación del Art. 37.1.c RGPD. Cardeseo evalúa tu caso concreto antes de decirte si es necesario o no.
¿Cuánto tarda Cardeseo en entregar el pack RGPD a una pyme granadina?
Entre 5 y 7 días laborables desde la videollamada de análisis previo y el pago. La implementación de los textos legales en la web del cliente añade 2-3 días laborables adicionales según la coordinación con el desarrollador web. En total, una pyme granadina puede estar plenamente adecuada al RGPD en menos de dos semanas desde el primer contacto.
¿Qué pasa si recibo un requerimiento de la AEPD y soy cliente de Cardeseo?
Activamos el SLA de soporte: llamada con nuestro equipo en menos de 24 horas laborables, análisis del requerimiento, preparación de la respuesta con prueba documental adjunta y acompañamiento durante toda la actuación previa o procedimiento sancionador. El soporte AEPD está incluido en la cuota anual sin coste adicional dentro del alcance contratado.
¿Mi academia de español para extranjeros en Granada necesita textos legales en varios idiomas?
Sí. Si tratas a estudiantes UE y no UE con web pública, lo recomendable es publicar la política de privacidad, el aviso legal y la política de cookies como mínimo en español e inglés. Para Reino Unido aplican adicionalmente las exigencias de la ICO británica post-Brexit. Cardeseo te facilita las versiones traducidas como servicio adicional.
Próximos pasos
Si tienes una pyme en Granada y quieres comprobar tu nivel de adecuación al RGPD, el itinerario habitual es: leer la guía completa de la AEPD para entender el marco sancionador, repasar qué es el RGPD si vienes de cero, revisar la explicación detallada de la LOPDGDD y consultar el onboarding RGPD para conocer las siete fases del servicio de Cardeseo. Si necesitas valorar la designación de Delegado de Protección de Datos, en /cumplimiento-legal/dpo-delegado-proteccion-datos/ está la guía dedicada.
Para arrancar el servicio puedes solicitar tu pack desde /cumplimiento-legal/ sin formulario y con tarifa pública desde 349€ al año. Tu pyme granadina queda cubierta sin desplazamientos, con soporte continuo y con respaldo jurídico validado.