RGPD para pymes en Málaga: panorama 2026
RGPD Málaga es el conjunto de obligaciones de adecuación al Reglamento (UE) 2016/679 y a la LOPDGDD (Ley Orgánica 3/2018) que afectan a cualquier pyme con domicilio fiscal, establecimiento o actividad de tratamiento en la provincia de Málaga. La capital de la Costa del Sol vive un ciclo económico atípico para una ciudad andaluza: el Polo de Contenidos Digitales y el cluster Málaga TechPark conviven con un sector turístico que supera los 14 millones de pernoctaciones anuales según el Instituto Nacional de Estadística (INE, 2025) y con un mercado inmobiliario donde el 33% de las operaciones las firman compradores no residentes según datos del Colegio de Registradores. Esta mezcla genera una densidad de tratamientos de datos personales muy superior a la media andaluza: cuentas de clientes SaaS, reservas hoteleras, fichas de pacientes en clínicas de estética, expedientes de blanqueo de capitales en agencias inmobiliarias y bases de datos de prospección comercial internacional. Cardeseo presta servicio remoto a pymes malagueñas con un pack documental personalizado en 5-7 días laborables, soporte AEPD en 24 horas y precio público desde 349 € al año para empresas de hasta cinco trabajadores. La adecuación cubre los tres bloques que la AEPD exige en sus inspecciones recientes: documentación interna (Registro de Actividades de Tratamiento, política de seguridad, análisis de riesgos), textos web (aviso legal, política de privacidad, política de cookies conforme a la Guía AEPD 2023 actualizada) y procedimientos operativos (gestión de derechos, brechas de seguridad, encargados de tratamiento).
CTPDA y AEPD en Andalucía: distribución competencial
Andalucía cuenta desde 2014 con el Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA), organismo autonómico creado por la Ley 1/2014 de Transparencia Pública de Andalucía. Su competencia se limita a las Administraciones públicas andaluzas, entidades del sector público autonómico, universidades públicas y corporaciones de derecho público. Las pymes privadas de Málaga, sea cual sea su sector, se rigen íntegramente por la Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan 6, Madrid. Esta distribución es relevante por dos motivos prácticos: primero, porque las pymes que prestan servicios a Ayuntamientos malagueños (proveedores de software municipal, empresas de limpieza de centros públicos, asesorías que tratan datos de funcionarios) actúan como encargadas de tratamiento de entidades supervisadas por el CTPDA y deben firmar contratos Art. 28 RGPD que cubren ambas autoridades; segundo, porque las denuncias cruzadas (un ciudadano que se queja simultáneamente del Ayuntamiento de Málaga y de una empresa subcontratada) pueden derivar en dos expedientes paralelos. El CTPDA publica anualmente un informe de actividad en consejodetransparencia.es donde detalla resoluciones por entidad pública, mientras que la AEPD publica todas sus resoluciones sancionadoras en aepd.es/informes-y-resoluciones. En 2024 la AEPD impuso sanciones por más de 30 millones de euros en toda España, con cuantías para pymes que oscilan entre 5.000 € y 100.000 € según la gravedad valorada conforme al Art. 83 RGPD.
Málaga Tech (Polo TIC) y RGPD para startups
El Málaga TechPark (antes Parque Tecnológico de Andalucía) alberga más de 670 empresas y 25.000 trabajadores según su memoria 2024, con presencia destacada de Google for Startups Málaga, Vodafone Innovation Hub, TDK European Technology Center y un ecosistema de scaleups SaaS B2B. Para estas empresas el RGPD plantea cuatro frentes simultáneos. Primero, la condición de corresponsable o encargado: una startup que vende software a clientes europeos casi siempre actúa como encargada de tratamiento (Art. 28 RGPD) y debe firmar contratos de encargo con cada cliente, además de las sub-encargadas de tratamiento (proveedores cloud como AWS, Google Cloud, Azure) con cláusula de autorización previa. Segundo, las transferencias internacionales: el almacenamiento en regiones estadounidenses requiere acogerse al EU-US Data Privacy Framework (DPF) mediante verificación de la certificación del proveedor en dataprivacyframework.gov, complementado con cláusulas contractuales tipo (Decisión 2021/914) si la región es no DPF como Reino Unido (donde se aplica el UK IDTA). Tercero, los perfilados algorítmicos: cualquier scoring automatizado, recomendación basada en machine learning o detección de fraude requiere análisis de la base legitimadora del Art. 6 RGPD y, si produce efectos jurídicos o significativos, evaluación de impacto Art. 35 RGPD y derecho a intervención humana Art. 22 RGPD. Cuarto, la AEPD ha multiplicado las inspecciones a empresas tech en los últimos ejercicios, con sanciones orientativas para startups y scaleups que se mueven en horquilla 5.000–100.000 € por consentimiento defectuoso en cookies o por defectos en el aviso del Art. 13 RGPD a usuarios, sin perjuicio de los topes legales superiores del Art. 83 RGPD. Cardeseo elabora EIPD específicas para perfilados, contratos Art. 28 bilaterales y multilaterales y revisa los avisos de privacidad multilingües que las startups del TechPark necesitan para vender al mercado europeo.
Turismo y hostelería en Costa del Sol: reservas y datos
La Costa del Sol (Torremolinos, Benalmádena, Fuengirola, Mijas, Marbella, Estepona) concentra más de 100.000 plazas hoteleras y 75.000 viviendas turísticas registradas en el Registro de Turismo de Andalucía (RTA). Cada reserva genera entre 8 y 15 datos personales por huésped (nombre, documento, fecha de nacimiento, contacto, datos de pago, preferencias dietéticas en ocasiones equiparables a datos de salud Art. 9 RGPD). Las obligaciones se acumulan en tres planos. Primero, la base contractual del Art. 6.1.b RGPD cubre la ejecución de la reserva (datos imprescindibles para alojar), pero el marketing posterior (newsletter, promociones por email o WhatsApp) requiere base de consentimiento expreso del Art. 6.1.a RGPD y, para comunicaciones electrónicas comerciales, consentimiento previo conforme al Art. 21 LSSI-CE. Segundo, la cesión obligatoria a las Fuerzas y Cuerpos de Seguridad mediante el formulario de partes de viajeros tiene base legal en el Art. 6.1.c RGPD (obligación legal) y desde octubre de 2024 se canaliza a través del sistema SES.HOSPEDAJES gestionado por la Secretaría de Estado de Seguridad, conforme al Real Decreto 933/2021. Tercero, el tratamiento de datos de menores no acompañados, alergias alimentarias o enfermedades crónicas declaradas en el check-in cae bajo el Art. 9 RGPD y requiere base reforzada. Cardeseo entrega a hoteles y apartamentos turísticos un pack con cláusulas multilingües (español, inglés, alemán, francés), procedimiento de partes de viajeros conforme al RD 933/2021 y flujo de consentimiento separado para marketing.
Real estate internacional y transferencias UE-USA/UK (DPF)
El mercado inmobiliario malagueño es estructuralmente internacional: según el Colegio Notarial de Andalucía, el 33% de las compraventas formalizadas en la provincia en 2024 las firmaron extranjeros, con británicos, alemanes, franceses, suecos y estadounidenses como nacionalidades dominantes. Las agencias inmobiliarias de Marbella, Benalmádena y Estepona deben combinar tres cuerpos normativos. RGPD: cada lead cualificado genera tratamiento con base de consentimiento (newsletter) o interés legítimo (prospección si hay relación previa). Ley 10/2010 de prevención del blanqueo de capitales y financiación del terrorismo: las agencias son sujetos obligados y deben recabar copia del documento de identidad, justificación del origen de fondos y declaración de Persona Expuesta Políticamente (PEP). Esta documentación incluye categorías especiales si el cliente declara enfermedades, lo que activa el Art. 9 RGPD. Transferencias internacionales: cuando la agencia comparte el expediente con notarios extranjeros, abogados de origen o bancos del país del comprador (incluyendo Estados Unidos, Reino Unido, Suiza), debe verificar el mecanismo legal de transferencia. Para Estados Unidos, el EU-US Data Privacy Framework (DPF) vigente desde julio de 2023 permite transferencias a entidades certificadas; para Reino Unido la decisión de adecuación de junio de 2021 (renovada en 2025) sigue vigente. Cardeseo documenta el Registro de Actividades de Tratamiento de la agencia con bloque específico de blanqueo y de transferencias internacionales, redacta las cláusulas tipo cuando la transferencia es a un país sin adecuación y elabora EIPD si el volumen de datos lo justifica.
Cómo opera Cardeseo en Málaga (100% remoto)
Cardeseo es una marca operada por Groove Factory Studios SL (CIF B42915165), con sede física en Mataró (Barcelona). El servicio a clientes malagueños se presta 100% en remoto sin coste extra por desplazamiento. El flujo operativo cuenta con siete fases documentadas en el manual interno: contacto inicial por web o llamada Aircall; análisis previo por videollamada de 30-45 minutos; firma del contrato unificado v1.1 y pago anual; generación del pack documental personalizado en 5-7 días laborables mediante el motor Python interno que renderiza plantillas Jinja2 con los datos del cliente; implementación de los tres textos web (aviso legal, política de privacidad y política de cookies) por equipo técnico que se conecta al CMS del cliente; entrega del ZIP con todos los PDFs firmados y certificado de adecuación; y mantenimiento anual con soporte ilimitado por email a departamentojuridico@cardeseo.com. El SLA AEPD en 24 horas se activa cuando el cliente recibe un requerimiento, notificación de inicio de procedimiento sancionador o solicitud de información de la Agencia: en menos de un día laborable hay una videollamada con el equipo jurídico y, en las siguientes 48-72 horas, un borrador de respuesta listo para firmar. Cardeseo cuenta con seguro de responsabilidad civil profesional de 1.500.000 € y jurista colaborador externo que valida cada versión del pack documental. La pyme malagueña interactúa siempre con la misma persona desde el contacto inicial hasta la entrega, evitando el ping-pong entre departamentos que caracteriza a las consultoras grandes.
Inspección AEPD en Málaga: protocolo
Si la pyme malagueña recibe una comunicación de la AEPD, el protocolo Cardeseo es claro. Día 0: el cliente reenvía la notificación a departamentojuridico@cardeseo.com. Día 0-1: videollamada de evaluación donde se identifica el tipo de procedimiento (información previa Art. 65 LOPDGDD, inicio de procedimiento sancionador, requerimiento documental, denuncia por particular). Días 1-3: preparación del borrador de respuesta con la documentación del pack ya entregado al cliente, ampliada con evidencias específicas del caso (logs, capturas, contratos firmados). Día 5-10: presentación de la respuesta a través de la sede electrónica de la AEPD en sedeagpd.gob.es. Si la AEPD valora positivamente la respuesta puede archivar el expediente, emitir advertencia conforme al Art. 58.2.b RGPD (sin sanción económica) o continuar el procedimiento. En este último caso Cardeseo asiste durante la fase de propuesta de resolución y, si la sanción se confirma, deriva a colaboradores letrados para recurso contencioso-administrativo ante la Audiencia Nacional (competente en primera instancia para resoluciones AEPD). Las cuantías habituales para pymes según los criterios del Art. 83 RGPD aplicados por la AEPD oscilan entre 5.000 € (incumplimientos formales aislados) y 100.000 € (vulneraciones graves con afectación a múltiples titulares).
Tarifa para pymes malagueñas
El pack anual de adecuación RGPD/LOPDGDD/LSSI-CE arranca en 349 € + IVA/año para empresas con hasta 5 trabajadores, escalando por tramos en función del número de empleados y del sector. La calculadora pública está disponible sin formulario en cardeseo.com/cumplimiento-legal e incluye los recargos sectoriales (sanitario, educativo con menores, ONG ideológica, ecommerce con tratamientos masivos). El precio cubre el primer año completo: pack documental, implementación web, mantenimiento por email y SLA AEPD 24h. Las renovaciones anuales mantienen el precio inicial salvo cambios estructurales en el negocio del cliente (alta de nuevos tratamientos, crecimiento de plantilla por tramos, apertura de nueva sede). No hay tarifas ocultas ni gastos de desplazamiento para clientes malagueños.
Preguntas frecuentes
¿La CTPDA puede sancionar a mi pyme en Málaga?
No. El Consejo de Transparencia y Protección de Datos de Andalucía (CTPDA) tiene competencia sobre Administraciones públicas y sector público andaluz. Las pymes privadas malagueñas se rigen íntegramente por la AEPD estatal. Si tu pyme presta servicios a un Ayuntamiento malagueño como encargada del tratamiento, tu cliente público sí está supervisado por CTPDA, pero tú sigues siendo supervisada por AEPD.
¿Mi startup en Málaga TechPark necesita un Delegado de Protección de Datos?
Depende de la actividad principal según el Art. 37 RGPD. Si tratas datos a gran escala, haces observación sistemática (perfilado, monitorización) o tratas categorías especiales del Art. 9 RGPD como actividad principal, la designación es obligatoria. Para SaaS B2B que solo procesa datos de usuarios profesionales y sin perfilado masivo, normalmente no es obligatorio pero sí recomendable. Cardeseo evalúa cada caso conforme a las Directrices WP 243 del Comité Europeo.
¿Cómo transfiero datos a Estados Unidos desde mi pyme malagueña?
Verifica si tu proveedor estadounidense (AWS, Google, Microsoft, HubSpot, Salesforce, etc.) está certificado en el EU-US Data Privacy Framework consultando dataprivacyframework.gov. Si lo está, la transferencia es legal sin más requisitos. Si no, debes firmar las cláusulas contractuales tipo de la Decisión 2021/914 y completar una evaluación de impacto de transferencia (TIA) conforme a las Recomendaciones EDPB 01/2020. Cardeseo incluye esta documentación en el pack.
¿Mi hotel en Marbella tiene que usar el sistema SES.HOSPEDAJES?
Sí. Desde octubre de 2024 los establecimientos de alojamiento (hoteles, apartamentos turísticos, campings, hostales) deben comunicar los datos de viajeros a través del sistema SES.HOSPEDAJES gestionado por la Secretaría de Estado de Seguridad, conforme al RD 933/2021. La base legal es el Art. 6.1.c RGPD (obligación legal) y debes informar a tus huéspedes en el aviso de privacidad. Cardeseo redacta la cláusula correspondiente y el procedimiento operativo.
¿Una sanción AEPD a mi pyme malagueña puede archivarse sin multa?
Sí. La AEPD puede archivar el expediente sin sanción si la respuesta del Art. 65 LOPDGDD demuestra adecuación y diligencia, o emitir advertencia conforme al Art. 58.2.b RGPD sin imposición de multa económica. La Audiencia Nacional valora positivamente en sus sentencias que la pyme acredite buena fe, colaboración activa y medidas correctoras inmediatas. Cardeseo asiste todo el procedimiento desde el día 0.
Próximos pasos
Si tu pyme está en Málaga, Marbella, Benalmádena, Fuengirola, Mijas, Estepona o cualquier punto de la provincia y necesitas adecuación RGPD/LOPDGDD/LSSI-CE en 5-7 días con soporte AEPD garantizado, calcula tu tarifa exacta en la calculadora pública de Cardeseo sin formulario y sin compromiso. Si prefieres consultar primero, escríbenos a info@cardeseo.com o lee el aviso legal para conocer cómo tratamos tus datos. Para servicios complementarios de presencia digital y web, visita /presencia-digital.
Fuentes consultadas: Agencia Española de Protección de Datos (aepd.es), Consejo de Transparencia y Protección de Datos de Andalucía (consejodetransparencia.es), EU-US Data Privacy Framework (dataprivacyframework.gov).