RGPD para pymes en Tenerife: panorama 2026
El RGPD Tenerife es el mismo Reglamento (UE) 2016/679 que aplica al resto de España: la condición insular y el régimen económico y fiscal especial del archipiélago no crean obligaciones de protección de datos distintas. Para una pyme tinerfeña con sede en Santa Cruz, Adeje, Arona o La Laguna, la norma de referencia sigue siendo el RGPD junto con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).
Lo que sí cambia radicalmente en Tenerife es el perfil de los tratamientos. La isla recibió 7,2 millones de turistas en 2024 (datos del Cabildo Insular y el ISTAC), la mayoría procedentes de Reino Unido, Alemania, Países nórdicos y, en menor medida, Estados Unidos y Rusia. Cualquier hotel del sur, complejo de apartamentos en Costa Adeje, restaurante en Las Américas o clínica de turismo médico en Santa Cruz procesa datos personales de residentes de la UE y de terceros países a diario. Eso convierte las transferencias internacionales, la información multilingüe y el registro de viajeros (Real Decreto 933/2021) en los tres grandes focos de riesgo para el tejido pyme tinerfeño.
A diferencia de comunidades como Cataluña (APDCAT) o País Vasco (AVPD), Canarias no dispone de autoridad autonómica de protección de datos. La Agencia Española de Protección de Datos (AEPD), con sede en C/ Jorge Juan 6, Madrid, es la única autoridad de control competente sobre cualquier empresa privada tinerfeña. Esta guía aterriza qué significa eso para una pyme con menos de 50 empleados que opera entre Tenerife y el resto del mundo.
AEPD competente en Canarias (no hay autoridad autonómica propia)
La AEPD es la autoridad pública independiente encargada de velar por el cumplimiento de la normativa de protección de datos en España y de tutelar los derechos fundamentales de las personas físicas. Está regulada por el Título VII de la LOPDGDD (Arts. 44 a 53) y se relaciona con el Comité Europeo de Protección de Datos (CEPD) en el marco del Reglamento. En Canarias no existe ninguna autoridad autonómica equivalente: ni el Gobierno de Canarias ni los cabildos insulares han creado un organismo análogo a APDCAT, AVPD o la Autoridad Catalana, por lo que toda denuncia, requerimiento o procedimiento sancionador contra una pyme tinerfeña se sustancia directamente ante la AEPD estatal.
En la práctica, esto tiene cuatro consecuencias operativas. Primero, las denuncias se presentan en la sede electrónica de la AEPD (sedeagpd.gob.es) o por escrito en cualquier registro público; no existe ventanilla canaria específica. Segundo, las inspecciones se desarrollan típicamente por requerimiento documental escrito, sin desplazamiento físico de inspectores a la isla salvo casos excepcionales. Tercero, los plazos de los procedimientos siguen las reglas de la Ley 39/2015 con cómputo en días hábiles del calendario peninsular y autonómico canario combinados. Cuarto, el régimen sancionador es el del Art. 83 RGPD (multas de hasta 20 millones de euros o el 4 por ciento del volumen de negocio mundial anual) modulado por los Arts. 72 a 78 LOPDGDD, con la advertencia del Art. 58.2.b RGPD como medida menos lesiva para infracciones leves.
La AEPD publica anualmente su memoria con datos de actividad. Las pymes españolas con plantilla inferior a 50 personas reciben sanciones que oscilan entre 5.000 y 100.000 euros en función de la gravedad, el volumen de afectados, la intencionalidad y la reincidencia. Las pymes tinerfeñas no son una excepción y han sido objeto de procedimientos sancionadores reiterados en los sectores de hostelería, marketing digital y videovigilancia.
Turismo y hostelería tinerfeña: reservas, marketing, datos
El sector turístico tinerfeño concentra la mayor parte de los tratamientos sensibles de la isla. Un hotel de cuatro estrellas en Costa Adeje gestiona simultáneamente datos de reserva (nombre, pasaporte, tarjeta de crédito), datos de fidelización (preferencias, historial), datos de marketing (newsletters multilingües, ofertas), datos de empleados (alta del Régimen General, registro horario del Real Decreto-ley 8/2019), videovigilancia (recepción, pasillos, piscinas) y, cada vez con más frecuencia, datos biométricos del personal para control de acceso.
El primer foco crítico es el registro de viajeros. El Real Decreto 933/2021, de 26 de octubre, obliga a todos los establecimientos de hospedaje a comunicar a la Dirección General de la Policía y a la Guardia Civil los datos personales de los huéspedes mayores de 14 años. Este tratamiento se apoya en el Art. 6.1.c RGPD (obligación legal) y debe figurar correctamente reflejado en el Registro de Actividades del Tratamiento (RAT) del establecimiento, con plazos de conservación específicos y cesión a las Fuerzas y Cuerpos de Seguridad del Estado. La AEPD ha confirmado en su doctrina pública la compatibilidad de esta obligación con el RGPD, siempre que la información del Art. 13 RGPD se proporcione al viajero en el momento del check-in.
El segundo foco es el marketing turístico multilingüe. Las pymes tinerfeñas envían comunicaciones comerciales por WhatsApp, email y SMS a turistas que ya estuvieron alojados. Estas comunicaciones requieren consentimiento expreso conforme al Art. 21 de la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico (LSSI-CE) o, en su defecto, la relación contractual previa del Art. 21.2 LSSI-CE (productos o servicios similares). El consentimiento debe quedar documentado con fecha, hora, IP y mecanismo de captación, y el cliente debe poder oponerse en todo momento de forma sencilla.
El tercer foco es la videovigilancia hotelera. La Guía AEPD sobre videovigilancia (edición vigente) exige cartel informativo en zona visible, formulario de información ampliada disponible, conservación máxima de 30 días salvo incidente, y exclusión expresa de zonas reservadas (vestuarios, baños, habitaciones). La AEPD ha sancionado reiteradamente a establecimientos turísticos por cámaras orientadas a vía pública, conservación excesiva y falta de cartelería conforme.
Transferencias internacionales UE-USA/UK: DPF y SCC
El cliente turístico tinerfeño rara vez es exclusivamente nacional. Hoteles, apartamentos y restaurantes utilizan plataformas como Booking, Expedia, Airbnb o sistemas PMS (Property Management System) alojados en proveedores cloud globales como Amazon Web Services, Google Cloud, Microsoft Azure o Oracle. Toda esta cadena implica transferencias internacionales de datos personales fuera del Espacio Económico Europeo (EEE) que deben cumplir el Capítulo V del RGPD (Arts. 44 a 49).
Para Estados Unidos, el mecanismo vigente desde el 10 de julio de 2023 es el EU-US Data Privacy Framework (DPF), aprobado por la Decisión de Ejecución (UE) 2023/1795 de la Comisión Europea. El DPF permite transferir datos personales a empresas estadounidenses adheridas y certificadas en la lista pública del Departamento de Comercio (dataprivacyframework.gov). Antes de contratar cualquier proveedor estadounidense, la pyme tinerfeña debe verificar la inclusión en la lista y conservar evidencia documental.
Para Reino Unido, la Comisión Europea adoptó la Decisión de adecuación de 28 de junio de 2021, vigente hasta el 27 de junio de 2025 con prórroga aprobada hasta diciembre de 2025. Las transferencias a UK se consideran equivalentes a intracomunitarias mientras la decisión esté en vigor. Para el resto de terceros países sin decisión de adecuación (Marruecos, Rusia, países de Latinoamérica salvo Argentina y Uruguay), la pyme debe firmar Cláusulas Contractuales Tipo (SCC) aprobadas por la Decisión (UE) 2021/914 y completar una Evaluación de Impacto de la Transferencia (TIA) conforme a las Recomendaciones 01/2020 del Comité Europeo de Protección de Datos (CEPD).
Las pymes tinerfeñas con clientela alemana o nórdica también deben considerar que las autoridades de control del país de residencia del interesado pueden iniciar procedimientos colaborativos con la AEPD. En 2023 y 2024 se documentaron varios procedimientos sancionadores reiterados contra establecimientos turísticos españoles a iniciativa de la autoridad alemana (BfDI) por incumplimientos en información en lengua alemana.
REF canario y plazos de conservación fiscal
El Régimen Económico y Fiscal de Canarias (REF), regulado por la Ley 19/1994 y modificado por la Ley 8/2018, sustituye el IVA peninsular por el Impuesto General Indirecto Canario (IGIC) y añade incentivos como la Reserva para Inversiones en Canarias (RIC), la Zona Especial Canaria (ZEC) y la Deducción por Inversiones Generadora de Empleo (DIGE). Aunque el REF tiene impacto fiscal sustancial, NO modifica las obligaciones de conservación documental ni los plazos de retención de datos personales con finalidad fiscal.
El plazo general del Art. 66 de la Ley 58/2003, General Tributaria (LGT) sigue siendo de 4 años a contar desde el día siguiente a la finalización del plazo voluntario de presentación. Una empresa de la ZEC con facturación en Tenerife conserva sus facturas, justificantes y libros contables 4 años por el régimen fiscal, no 3 años. Este plazo no debe confundirse con el de prescripción civil del Art. 1964 del Código Civil (5 años) ni con los plazos mercantiles del Art. 30 del Código de Comercio (6 años para libros y documentación contable).
Para datos personales contenidos en estos documentos (nombre del cliente, NIF, dirección, datos de facturación), el principio de limitación del plazo de conservación del Art. 5.1.e RGPD obliga a borrarlos o anonimizarlos cuando expire la obligación legal de conservación. Una pyme tinerfeña con clientes de la ZEC debe distinguir entre el plazo fiscal (4 años Art. 66 LGT), el plazo mercantil (6 años Art. 30 Cco) y los plazos derivados de garantías o reclamaciones específicas, registrando cada uno con su justificación en el RAT.
Cómo opera Cardeseo en Tenerife (100% remoto)
Cardeseo (Groove Factory Studios SL, CIF B42915165) tiene su sede física en Mataró pero presta servicio a pymes tinerfeñas íntegramente de forma remota. El servicio anual de adecuación cuesta desde 349 € al año para empresas con hasta 5 trabajadores y se estructura en siete fases documentadas en el manual operativo del pack RGPD v1.3.
La distancia geográfica no es un obstáculo: el 100 por cien del trabajo es documental, jurídico y de soporte. La videollamada de alta dura entre 30 y 45 minutos y recoge sector, plantilla, sociedades vinculadas (multi-SL), proveedores cloud, transferencias internacionales y particularidades canarias como ZEC o RIC. En 5 a 7 días hábiles el cliente recibe el pack documental personalizado: Política de Privacidad, Política de Cookies, Aviso Legal, Registro de Actividades del Tratamiento (RAT), Contrato de Encargo del Tratamiento (Art. 28 RGPD), Manual del Personal unificado, plantillas de respuesta a derechos del titular y guía de implementación web.
Ante una inspección de la AEPD o un derecho ejercido por un titular, el cliente tiene una llamada con el equipo Cardeseo en menos de 24 horas hábiles desde su solicitud. Las 15 plantillas de respuesta a derechos del titular (acceso, rectificación, supresión, limitación, oposición, portabilidad, automatizadas) están validadas mediante dos rondas de auditoría jurídica cruzada por cuatro juristas senior cada una y se entregan listas para personalizar y enviar dentro del plazo de un mes del Art. 12.3 RGPD, prorrogable dos meses adicionales según complejidad.
Para clientes tinerfeños con clientela turística internacional, el pack incluye versión bilingüe español-inglés de Política de Privacidad y Aviso Legal, y se documenta correctamente la base de licitud de cada cesión a Booking, Expedia, Mailchimp y proveedores cloud. Si la pyme dispone de varias sociedades vinculadas operando en distintos puntos del archipiélago, el pack contempla la cláusula multi-SL específica del contrato v1.3 que evita duplicar documentación entre Groove Factory Studios SL y sociedades hermanas.
Inspección AEPD en Tenerife: protocolo
Una inspección de la AEPD a una pyme tinerfeña suele iniciarse por denuncia de un trabajador, un cliente o un competidor, no por inspección de oficio. La AEPD recibe la denuncia, la registra, la valora y notifica al responsable mediante requerimiento documental escrito remitido a la dirección del domicilio social que conste en el Registro Mercantil. El requerimiento típico solicita el RAT, las políticas de privacidad publicadas, los contratos de encargo del tratamiento, la prueba del consentimiento (si procede) y el análisis de riesgo o Evaluación de Impacto cuando aplica.
El plazo de respuesta es típicamente de 10 días hábiles, ampliable mediante solicitud motivada conforme al Art. 32 de la Ley 39/2015. El cliente Cardeseo tiene una llamada con el equipo en menos de 24 horas hábiles desde la recepción del requerimiento, prepara la respuesta documental con la asistencia de los juristas colaboradores y la presenta dentro del plazo. Si la AEPD considera que existe infracción, abre procedimiento sancionador con audiencia previa al interesado (Art. 64 Ley 39/2015) y resuelve con sanción o archivo en un máximo de 12 meses (Art. 78 LOPDGDD).
Las pymes tinerfeñas con tratamientos masivos turísticos (más de 5.000 clientes anuales) deben prestar especial atención a la documentación de transferencias internacionales y al consentimiento de marketing multilingüe. Estos son los dos focos donde más procedimientos sancionadores reiterados ha resuelto la AEPD contra el sector hostelero canario en los últimos tres años.
Tarifa para pymes canarias
El servicio anual de adecuación y cumplimiento normativo RGPD-LOPDGDD-LSSI cuesta desde 349 € al año para empresas con hasta 5 trabajadores, sin desplazamiento, sin coste de alta y con calculadora pública disponible en cardeseo.com/cumplimiento-legal. El precio escala con el número de trabajadores, el sector (sanitario, educativo, ONG ideológica, ecommerce activan bloques sectoriales adicionales) y la complejidad de la estructura societaria (multi-SL). Para pymes tinerfeñas del sector turístico, el bloque sectorial Hostelería añade la documentación específica de transferencias internacionales, registro de viajeros y videovigilancia hotelera sin coste adicional sobre la tarifa base correspondiente al volumen de plantilla.
La facturación se emite desde Groove Factory Studios SL (CIF B42915165, sociedad española) y aplica las reglas fiscales del cliente: si la pyme tinerfeña está acogida a IGIC, la factura se emite con la consideración correspondiente al servicio prestado a empresa canaria, según el régimen vigente del REF.
Preguntas frecuentes
¿La Zona Especial Canaria afecta a mis obligaciones RGPD?
No. La ZEC es un régimen fiscal regulado por la Ley 19/1994 que reduce el Impuesto sobre Sociedades al 4 por ciento para entidades certificadas. Las obligaciones de protección de datos son idénticas a las de cualquier otra pyme española: el RGPD y la LOPDGDD aplican íntegramente. Cardeseo te documenta correctamente las cesiones a la administración tributaria canaria en el RAT.
¿Mi hotel en Tenerife con clientes UK y alemanes qué transferencias internacionales necesita?
Reino Unido tiene decisión de adecuación de la Comisión Europea, vigente con prórroga aprobada hasta diciembre de 2025, por lo que las transferencias a UK funcionan como intracomunitarias. Para clientes alemanes residentes en la UE, no hay transferencia internacional. Si tu PMS o herramienta de marketing está alojada en USA, necesitas verificar la adhesión del proveedor al Data Privacy Framework en dataprivacyframework.gov.
¿Tengo que registrar a los viajeros de mi apartamento turístico en Costa Adeje?
Sí, es obligación legal del Real Decreto 933/2021 para todos los establecimientos de hospedaje. La cesión de datos a la Dirección General de la Policía o la Guardia Civil tiene base en el Art. 6.1.c RGPD (cumplimiento de obligación legal). Cardeseo te documenta este tratamiento en tu Registro de Actividades del Tratamiento con los plazos y cesionarios correctos.
¿Canarias tiene su propia autoridad de protección de datos?
No para empresas privadas. La AEPD estatal es la única autoridad de control competente sobre pymes tinerfeñas. Ninguna comunidad autónoma sin autoridad propia (Canarias, Madrid, Andalucía, Valencia entre otras) crea un nivel adicional de supervisión para el sector privado.
¿Cardeseo se desplaza a Tenerife si tengo una inspección AEPD complicada?
El servicio es íntegramente remoto y el 99 por ciento de las inspecciones se resuelven por requerimiento documental escrito sin necesidad de presencia física. Para casos excepcionales con vista oral, audiencia presencial o litigio penal, Cardeseo se desplaza con cobro de gastos previamente presupuestados y aprobados por el cliente.
¿Cuánto cuesta el servicio para una pyme tinerfeña de 8 trabajadores con clientela turística?
Desde 349 € al año para empresas con hasta 5 trabajadores, escalando según plantilla y sector. Una pyme de 8 trabajadores en hostelería tinerfeña entra típicamente en la franja 449-549 € al año con el bloque sectorial Hostelería incluido. La calculadora pública en cardeseo.com/cumplimiento-legal te da el precio exacto sin pedir formulario ni datos personales.
Próximos pasos
Si tu pyme tinerfeña aún no tiene Registro de Actividades del Tratamiento, política de privacidad multilingüe publicada o contratos de encargo del tratamiento firmados con tus proveedores cloud, conviene empezar por una revisión documental sin compromiso. Puedes consultar qué es el RGPD y la guía completa de la AEPD para entender el marco legal aplicable, revisar la LOPDGDD explicada para conocer las particularidades españolas, y valorar si necesitas Delegado de Protección de Datos según el volumen de datos turísticos que tratas.
Cuando estés listo para empezar la adecuación con onboarding RGPD de tu pyme tinerfeña, la calculadora pública en /cumplimiento-legal/ te da el precio exacto sin formulario, y las plantillas RGPD están disponibles para descarga libre como muestra del nivel documental que recibe el cliente del pack anual.