Si buscas rgpd que es, la respuesta corta es esta: el RGPD es el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, que regula el tratamiento de datos personales en la Unión Europea y es aplicable directamente en España desde el 25 de mayo de 2018 junto con la LOPDGDD (LO 3/2018). Esta guía explica, en términos claros para una pyme o un autónomo, qué obligaciones implica el Reglamento General de Protección de Datos en 2026, qué derechos tienen las personas cuyos datos tratas, qué sanciones aplica la Agencia Española de Protección de Datos (AEPD) y los pasos concretos para cumplir sin gastar de más.
Tabla de contenidos
- Qué es el RGPD y a quién aplica
- Cuándo entró en vigor el RGPD y la LOPDGDD
- Principios del tratamiento (Art. 5 RGPD)
- Bases jurídicas del Art. 6 RGPD: las 6 alternativas
- Derechos del titular (Arts. 15-22)
- Obligaciones del responsable: ROPA, EIPD, DPO y brechas
- Sanciones del RGPD: rangos del Art. 83 y casuística AEPD
- Diferencia entre RGPD y LOPDGDD
- Pasos para cumplir el RGPD en una pyme
- Preguntas frecuentes
- Próximos pasos
Qué es el RGPD y a quién aplica
El RGPD (rgpd reglamento UE 2016/679) es la norma europea que armoniza el régimen de protección de datos personales en los veintisiete Estados miembros. Sustituyó a la Directiva 95/46/CE y se aplica directamente en España sin necesidad de transposición, aunque el legislador español lo ha completado con la LOPDGDD. La pregunta "qué es el rgpd" tiene una respuesta jurídica precisa: es un reglamento, por lo que su contenido vincula a empresas, autónomos y administraciones públicas sin intermediarios.
El ámbito material lo fija el Art. 2 RGPD: el Reglamento se aplica al tratamiento total o parcialmente automatizado de datos personales, y al tratamiento no automatizado contenido en ficheros. Se excluye el ámbito doméstico (la agenda del móvil personal) y determinadas actividades de seguridad nacional. El ámbito territorial está en el Art. 3 RGPD y es deliberadamente amplio: aplica a cualquier responsable o encargado establecido en la Unión, con independencia de dónde se realice el tratamiento, y también a empresas fuera de la UE que ofrezcan bienes o servicios a personas en la Unión o monitoricen su comportamiento.
En la práctica, esto significa que el RGPD aplica a cualquier pyme española con clientes, empleados o proveedores personas físicas. También aplica a un autónomo que tenga un sencillo formulario de contacto en su web, una lista de correo o una base de clientes en hoja de cálculo. La idea extendida de que "las empresas pequeñas no tienen que cumplir el RGPD" es falsa: el Reglamento parte de un principio de aplicación universal, modulado por el riesgo y el tamaño en obligaciones concretas como el registro de actividades (Art. 30.5 RGPD).
Los sujetos obligados son tres: el responsable del tratamiento (quien decide los fines y medios), el encargado (quien trata datos por cuenta del responsable bajo contrato del Art. 28 RGPD) y los corresponsables (Art. 26 RGPD), que determinan conjuntamente los fines. Una pyme suele ser responsable respecto a sus clientes y empleados, y encargada cuando presta servicios a otra empresa.
Cuándo entró en vigor el RGPD y la LOPDGDD
El RGPD se publicó en el Diario Oficial de la Unión Europea el 4 de mayo de 2016 y entró en vigor a los veinte días, el 24 de mayo de 2016. Sin embargo, su Art. 99.2 fijó un periodo de adaptación de dos años, por lo que la aplicación efectiva comenzó el 25 de mayo de 2018. Esa es la fecha clave para responsables y encargados: desde entonces, la AEPD puede sancionar conforme al Art. 83 RGPD.
En España, la LOPDGDD (Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales) se publicó en el BOE el 6 de diciembre de 2018 (BOE-A-2018-16673) y entró en vigor al día siguiente, el 7 de diciembre de 2018. Sustituyó a la antigua LO 15/1999 (LOPD), que quedó derogada. El RD 1720/2007 (Reglamento de desarrollo de la LOPD) sigue vigente únicamente en lo que no se oponga al RGPD y a la LOPDGDD, según ha confirmado la propia AEPD.
Junto al RGPD y a la LOPDGDD coexisten otras normas que un responsable español debe conocer:
- LSSI-CE (Ley 34/2002), vigente con modificaciones, regula las cookies (Art. 22.2) y las comunicaciones comerciales electrónicas (Art. 21).
- RD-ley 8/2019, que modificó el Estatuto de los Trabajadores para imponer el registro diario de jornada (Art. 34.9 ET), competencia inspectora de la Inspección de Trabajo y Seguridad Social (ITSS).
- Reglamento ODR (UE) 524/2013, derogado desde el 20 de julio de 2025, por lo que ya no procede incluir el enlace a la antigua plataforma europea de resolución de litigios.
- AI Act (Reglamento UE 2024/1689): prohibiciones aplicables desde febrero de 2025, obligaciones para modelos de propósito general desde agosto de 2025 y régimen para sistemas de alto riesgo desde agosto de 2026.
Esta arquitectura normativa explica por qué hablar solo del RGPD es incompleto: el cumplimiento real exige un mapa de varias normas coordinadas.
Principios del tratamiento (Art. 5 RGPD)
El Art. 5 RGPD enuncia los siete principios que rigen cualquier tratamiento y que la jurisprudencia del Tribunal de Justicia de la Unión Europea (TJUE) ha confirmado como columna vertebral de la protección de datos. Son simultáneos: no basta con cumplir uno, hay que cumplirlos todos.
El principio de licitud, lealtad y transparencia (Art. 5.1.a) obliga a tratar los datos con una base jurídica clara y a informar al titular de forma comprensible. La transparencia es el motor de los Arts. 13 y 14 RGPD, que detallan qué información ofrecer en el momento de la recogida.
El principio de limitación de la finalidad (Art. 5.1.b) impide reutilizar los datos para fines incompatibles con los originales sin nueva base. Una empresa que recoge el correo para enviar un presupuesto no puede, sin más, añadir ese contacto a una lista comercial.
La minimización (Art. 5.1.c) reduce la recogida a lo estrictamente necesario. Pedir el DNI para una suscripción a un boletín suele ser desproporcionado y la AEPD lo ha sancionado.
La exactitud (Art. 5.1.d) exige actualizar o suprimir datos inexactos, base material del derecho de rectificación (Art. 16 RGPD).
La limitación del plazo de conservación (Art. 5.1.e) obliga a fijar plazos máximos y a eliminar o anonimizar los datos cuando ya no sean necesarios. La conservación indefinida es uno de los hallazgos más frecuentes en auditorías.
La integridad y confidencialidad (Art. 5.1.f) impone medidas técnicas y organizativas adecuadas al riesgo, en línea con el Art. 32 RGPD.
Finalmente, la responsabilidad proactiva (accountability, Art. 5.2) cierra el cuadro: no basta con cumplir, hay que poder demostrarlo en cualquier momento ante la AEPD.
Bases jurídicas del Art. 6 RGPD: las 6 alternativas
El Art. 6.1 RGPD lista las seis únicas bases jurídicas que legitiman un tratamiento de datos personales. Sin una base válida, el tratamiento es ilícito y expone a sanción del Art. 83.5.a RGPD (hasta 20 millones de euros o el 4% del volumen de negocio).
La base del consentimiento (Art. 6.1.a) exige una manifestación libre, específica, informada e inequívoca según el Art. 7 RGPD. La AEPD ha publicado la Guía sobre el uso de cookies y la guía de consentimiento, ambas referencia obligada. El consentimiento es revocable en cualquier momento con la misma facilidad con la que se otorgó.
La ejecución de un contrato (Art. 6.1.b) cubre el tratamiento estrictamente necesario para prestar el servicio: una tienda online puede tratar la dirección postal del cliente sin pedir consentimiento adicional, porque sin ella no puede entregar el pedido.
El cumplimiento de una obligación legal (Art. 6.1.c) legitima tratamientos impuestos por la ley: por ejemplo, el registro de jornada laboral del Art. 34.9 ET, la facturación con datos fiscales o la conservación de documentación contable durante seis años conforme al Art. 30 del Código de Comercio.
El interés vital (Art. 6.1.d) cubre situaciones de urgencia sanitaria, raras en una pyme media pero relevantes en sectores como hostelería con alérgenos o residencias.
El interés público (Art. 6.1.e) lo usan administraciones y entidades con funciones públicas delegadas.
El interés legítimo (Art. 6.1.f) es la base más controvertida y útil en B2B: requiere un test de ponderación documentado entre el interés del responsable y los derechos del titular. La AEPD acepta el interés legítimo para prospección comercial a personas jurídicas y para seguridad de la red bajo condiciones estrictas.
Aplicado a una rgpd pyme o a un rgpd autónomo, la elección de base es la decisión más estratégica: condiciona la información a dar, los derechos disponibles para el titular (la portabilidad solo aplica si la base es consentimiento o contrato) y la posibilidad de revocación.
Derechos del titular (Arts. 15-22)
El RGPD reconoce siete derechos a las personas físicas (los titulares) que toda empresa debe atender, en general, en el plazo máximo de un mes desde la recepción de la solicitud, prorrogable dos meses adicionales cuando la complejidad lo justifique (Art. 12.3 RGPD).
El derecho de acceso (Art. 15) permite al titular saber qué datos suyos trata la empresa, con qué fines, durante cuánto tiempo, a quién los comunica y de dónde proceden si no se recogieron del propio interesado.
El derecho de rectificación (Art. 16) permite corregir datos inexactos o completar los incompletos. Es uno de los derechos más sencillos de atender y, sin embargo, una de las quejas más frecuentes en la AEPD por respuestas tardías o silencio.
El derecho de supresión o "derecho al olvido" (Art. 17) obliga a borrar los datos cuando ya no sean necesarios, se retire el consentimiento, exista oposición sin motivos prevalentes o el tratamiento sea ilícito. La sentencia del TJUE en el asunto Google Spain (C-131/12) es el origen jurisprudencial del derecho al olvido frente a buscadores.
El derecho de limitación (Art. 18) suspende el tratamiento mientras se verifica la exactitud o la legitimidad. Los datos siguen almacenados pero no pueden usarse, salvo conservación.
El derecho de portabilidad (Art. 20) permite recibir los datos en un formato estructurado y de uso común y transmitirlos a otro responsable. Solo aplica cuando la base es consentimiento o contrato y el tratamiento se realiza por medios automatizados.
El derecho de oposición (Art. 21) cobra especial fuerza frente a la prospección comercial directa: el titular puede oponerse en cualquier momento sin necesidad de justificación.
El derecho a no ser objeto de decisiones automatizadas (Art. 22) incluye el perfilado, salvo excepciones tasadas (contrato, ley o consentimiento explícito) con garantías reforzadas.
Una empresa que deniega un derecho debe motivar la respuesta y advertir al interesado de su facultad de reclamar ante la AEPD. Para gestionar las solicitudes con trazabilidad, conviene apoyarse en plantillas verificadas como las que ofrece el pack de cumplimiento de Cardeseo.
Obligaciones del responsable: ROPA, EIPD, DPO y brechas
El responsable del tratamiento debe acreditar su cumplimiento mediante una serie de obligaciones documentales y operativas. La primera es el Registro de Actividades de Tratamiento (ROPA) del Art. 30 RGPD, que debe contener los fines, las categorías de interesados y datos, los destinatarios, los plazos de conservación y una descripción general de las medidas de seguridad. El Art. 30.5 RGPD prevé una exención parcial para responsables con menos de 250 empleados, salvo que el tratamiento entrañe un riesgo para los derechos, no sea ocasional o incluya categorías especiales del Art. 9 RGPD; en la práctica, casi todas las pymes con empleados quedan obligadas igualmente.
La Evaluación de Impacto en la Protección de Datos (EIPD) del Art. 35 RGPD es obligatoria cuando un tratamiento "entraña un alto riesgo" para los derechos de las personas. La AEPD publica una lista de tratamientos que requieren EIPD; el control biométrico de acceso en una empresa, por ejemplo, suele exigir EIPD previa.
El Delegado de Protección de Datos (DPO) de los Arts. 37-39 RGPD es obligatorio en tres supuestos del Art. 37.1: autoridad pública (salvo tribunales en ejercicio de su función jurisdiccional), monitorización sistemática a gran escala, y tratamiento a gran escala de categorías especiales o datos penales. El Art. 34 LOPDGDD añade un listado nacional (centros docentes, entidades sanitarias, etc.). Una pyme estándar no suele requerir DPO obligatorio, aunque su designación voluntaria es buena práctica.
La notificación de brechas de seguridad del Art. 33 RGPD impone comunicar a la AEPD en un plazo máximo de 72 horas desde la constatación cualquier violación de seguridad que entrañe riesgo para los derechos. Si el riesgo es alto, también hay que comunicarlo a los afectados (Art. 34). El registro interno de brechas es obligatorio aunque no se notifique.
La tabla siguiente resume las obligaciones por tamaño de empresa, con la salvedad de que cada caso depende del riesgo del tratamiento.
| Obligación | Autónomo sin empleados | Microempresa (1-9) | Pyme (10-49) | Empresa media (50-249) |
|---|---|---|---|---|
| Política de privacidad pública | Sí | Sí | Sí | Sí |
| ROPA Art. 30 | Si hay riesgo o cat. especiales | Sí en la práctica | Sí | Sí |
| Contratos Art. 28 con encargados | Sí | Sí | Sí | Sí |
| Análisis de riesgos | Recomendado | Sí | Sí | Sí |
| EIPD Art. 35 | Solo si alto riesgo | Solo si alto riesgo | Solo si alto riesgo | Solo si alto riesgo |
| DPO Art. 37 | Solo casos tasados | Solo casos tasados | Solo casos tasados | Solo casos tasados |
| Protocolo de brechas 72h | Sí | Sí | Sí | Sí |
| Registro de brechas internas | Sí | Sí | Sí | Sí |
Documentar estas obligaciones, mantenerlas vivas y poder enseñarlas en una inspección es el núcleo del principio de responsabilidad proactiva del Art. 5.2 RGPD. Si necesitas un pack documental homogéneo, revisa el servicio de cumplimiento legal de Cardeseo y las plantillas de consentimiento RGPD.
Sanciones del RGPD: rangos del Art. 83 y casuística AEPD
Las sanciones del RGPD son uno de los regímenes administrativos más severos del Derecho de la Unión. El Art. 83 distingue dos grupos según la gravedad de la infracción.
El Art. 83.4 RGPD sanciona con multas administrativas de hasta 10 millones de euros o, tratándose de una empresa, el 2% del volumen de negocio total anual global del ejercicio anterior, optando por la cifra mayor. Cubre, entre otras, las infracciones de los Arts. 8, 11, 25 a 39, 42 y 43: registro de actividades insuficiente, falta de notificación de brechas, ausencia de privacidad desde el diseño, contratos Art. 28 inexistentes.
El Art. 83.5 RGPD sanciona con hasta 20 millones de euros o el 4% del volumen de negocio total anual global, optando por la cifra mayor. Cubre las infracciones de los principios básicos (Art. 5), las condiciones de consentimiento (Art. 7), los derechos del titular (Arts. 12 a 22), las transferencias internacionales (Arts. 44 a 49) y el incumplimiento de instrucciones de la autoridad de control.
| Infracción tipo | Base normativa | Tope multa | Tope % facturación |
|---|---|---|---|
| Falta de ROPA, sin notificación de brecha, sin contrato Art. 28 | Art. 83.4 RGPD | 10.000.000 € | 2% |
| Tratamiento sin base jurídica válida | Art. 83.5.a RGPD | 20.000.000 € | 4% |
| Vulneración derechos titulares | Art. 83.5.b RGPD | 20.000.000 € | 4% |
| Transferencia internacional ilícita | Art. 83.5.c RGPD | 20.000.000 € | 4% |
| Incumplir requerimiento AEPD | Art. 83.5.e RGPD | 20.000.000 € | 4% |
En la práctica de la AEPD frente a pymes, las multas se mueven habitualmente en un rango orientativo de 5.000 a 100.000 euros, sin perjuicio de los topes superiores y de las advertencias del Art. 58.2.b RGPD. La AEPD pondera los criterios de graduación del Art. 83.2 RGPD y del Art. 76 LOPDGDD (naturaleza, gravedad, duración, número de afectados, medidas adoptadas para mitigar el daño, grado de cooperación) y puede emitir advertencia previa en lugar de sanción cuando concurren circunstancias atenuantes.
El Art. 78 LOPDGDD regula la prescripción de las infracciones (tres años para muy graves, dos para graves, uno para leves), y el Art. 77 LOPDGDD prevé un régimen específico para responsables del sector público que limita la imposición de multa pero mantiene la apertura de procedimiento. Para verificar resoluciones concretas, la AEPD publica las decisiones sancionadoras en su buscador de resoluciones.
Diferencia entre RGPD y LOPDGDD
Una duda frecuente: si el RGPD ya es directamente aplicable, ¿para qué sirve la LOPDGDD? La respuesta está en el propio Reglamento, que deja a los Estados miembros margen para legislar en cuestiones específicas: edad mínima del consentimiento de menores, especialidades del DPO, infracciones nacionales, tratamientos con fines de investigación o salud, y derechos digitales.
La LOPDGDD desarrolla, complementa y no contradice el RGPD. Sus aportaciones principales son cuatro. Primero, el Título X consagra los derechos digitales (neutralidad de la red, seguridad digital, educación digital, derecho al olvido en buscadores y redes sociales, intimidad frente a dispositivos digitales en el ámbito laboral del Art. 87 LOPDGDD, desconexión digital del Art. 88, derechos ante sistemas de geolocalización del Art. 90). Segundo, el régimen sancionador adaptado del Art. 71 y siguientes, con la tipificación de infracciones del Art. 72 (muy graves), Art. 73 (graves) y Art. 74 (leves). Tercero, especialidades sectoriales: videovigilancia (Art. 22), sistemas de denuncias internas (Art. 24), tratamiento con fines estadísticos (Art. 27), solvencia patrimonial (Art. 20). Cuarto, la edad de consentimiento de menores se fija en 14 años (Art. 7 LOPDGDD), aprovechando el margen del Art. 8 RGPD que permite a los Estados fijarla entre 13 y 16.
En resumen: el RGPD es el "qué" europeo, y la LOPDGDD es el "cómo" español que afina, completa y refuerza. Una empresa española debe leer ambas normas como un cuerpo coordinado, no como alternativas. Para una visión consolidada, conviene revisar también la LOPDGDD en el BOE y el propio RGPD en EUR-Lex.
Pasos para cumplir el RGPD en una pyme
Cumplir el RGPD en una rgpd pyme o como rgpd autónomo no requiere un proyecto multimillonario, sino una hoja de ruta ordenada. Estos son los pasos típicos.
Comienza por una auditoría inicial de tratamientos: inventariar qué datos personales se tratan (clientes, empleados, proveedores, leads), en qué sistemas (CRM, correo, hojas de cálculo, RRHH, contabilidad), con qué finalidad y bajo qué base jurídica. Sin este mapa, el resto del cumplimiento es ficticio.
Sobre ese inventario se construye el ROPA del Art. 30 RGPD. Es el documento vertebrador: la AEPD lo pide en cualquier inspección y su ausencia es la infracción más fácil de constatar. La AEPD ofrece la herramienta gratuita Facilita_RGPD para pymes de bajo riesgo.
A continuación, redacta la política de privacidad ajustada al Art. 13 RGPD y los textos legales de la web, incluyendo aviso legal, política de cookies (con banner conforme a la Guía AEPD de cookies de 2023) y términos de contratación si corresponde.
Firma los contratos del Art. 28 RGPD con todos los encargados del tratamiento: el proveedor de email marketing, el gestor laboral, la consultoría informática, el alojamiento. Sin estos contratos firmados, cualquier brecha del proveedor se imputa al responsable.
Implanta un protocolo de derechos (acceso, rectificación, supresión, oposición, limitación, portabilidad) con plazo de un mes y registro documental, y un protocolo de brechas que active la notificación a la AEPD en 72 horas.
Forma a tu equipo: la formación periódica es exigida implícitamente por el Art. 39.1.b RGPD para el DPO y por el principio de accountability del Art. 5.2 para el resto.
Por último, revisa anualmente los tratamientos, el ROPA, los contratos y las medidas técnicas. Un cumplimiento de hace tres años es papel mojado si no se actualiza.
Si necesitas externalizar este recorrido con un equipo jurídico verificado, el servicio de onboarding RGPD de Cardeseo cubre los siete pasos con plantillas listas para usar.
Preguntas frecuentes
¿A quién aplica el RGPD?
El RGPD aplica a cualquier responsable o encargado del tratamiento establecido en la Unión Europea, con independencia de dónde se realice el tratamiento, y a empresas fuera de la UE que ofrezcan bienes o servicios a personas en la Unión o monitoricen su comportamiento (Art. 3 RGPD). En España, incluye pymes, autónomos, asociaciones, comunidades de propietarios y administraciones públicas.
¿Cuándo entró en vigor el RGPD?
El RGPD entró en vigor el 24 de mayo de 2016, veinte días después de su publicación en el Diario Oficial de la Unión Europea, pero su aplicación efectiva comenzó el 25 de mayo de 2018, tras el periodo de adaptación de dos años previsto en el Art. 99.2. La LOPDGDD entró en vigor el 7 de diciembre de 2018.
¿Cuál es la diferencia entre RGPD y LOPDGDD?
El RGPD es un Reglamento europeo de aplicación directa que armoniza la protección de datos en los veintisiete Estados miembros. La LOPDGDD (LO 3/2018) es la ley española que desarrolla los márgenes que el propio RGPD deja al legislador nacional, incluyendo régimen sancionador adaptado, derechos digitales del Título X y especialidades sectoriales como videovigilancia, denuncias internas o solvencia patrimonial.
¿Necesito un DPO siendo una pyme?
Una pyme estándar no necesita Delegado de Protección de Datos obligatorio. El Art. 37.1 RGPD solo lo exige a autoridades públicas, a quienes monitorizan a gran escala y a quienes tratan datos sensibles a gran escala. El Art. 34 LOPDGDD añade un listado nacional concreto. Fuera de esos supuestos, la designación es voluntaria y constituye una buena práctica.
¿Cuáles son las multas máximas del RGPD?
El Art. 83.5 RGPD prevé multas de hasta 20 millones de euros o el 4% del volumen de negocio total anual global, la cifra mayor, para las infracciones más graves (principios, consentimiento, derechos, transferencias internacionales). El Art. 83.4 RGPD prevé multas de hasta 10 millones de euros o el 2% del volumen de negocio para infracciones organizativas como falta de ROPA o de notificación de brechas.
¿Cómo notifico una brecha de seguridad a la AEPD?
Debes notificar a la AEPD en un plazo máximo de 72 horas desde la constatación de la brecha, mediante la sede electrónica de la AEPD, indicando la naturaleza de la violación, las categorías y número aproximado de afectados, las consecuencias probables y las medidas adoptadas. Si el riesgo es alto, también debes comunicarlo a las personas afectadas (Art. 34 RGPD). Todas las brechas, notificables o no, deben constar en el registro interno de brechas.
¿Aplica el RGPD a autónomos?
Sí. Un autónomo que trate datos personales de clientes, leads o proveedores personas físicas debe cumplir el RGPD. La forma jurídica no exime; lo que modula obligaciones concretas es el riesgo y el volumen del tratamiento. Un autónomo con un CRM y una lista de correos debe mantener ROPA, política de privacidad, contratos Art. 28 con sus proveedores y protocolo de derechos y brechas.
Próximos pasos
El RGPD es exigente pero perfectamente abordable cuando se trata como un proyecto ordenado y no como una emergencia ante una inspección. Si estás empezando, la calculadora gratuita del cumplimiento legal de Cardeseo te indica en menos de tres minutos qué documentación necesita tu pyme o tu actividad como autónomo. Si quieres delegar el cumplimiento, el onboarding RGPD de Cardeseo cubre auditoría inicial, ROPA, política de privacidad, contratos del Art. 28, protocolo de derechos y protocolo de brechas con plantillas jurídicas verificadas. Para tratamientos específicos puedes apoyarte en el modelo de consentimiento RGPD y en la cláusula de formulario RGPD, ambas alineadas con la Guía AEPD de consentimiento. Si necesitas la información legal y de contacto para resolver dudas formales, consulta el aviso legal con los datos identificativos completos.