Checklist RGPD para pymes y autónomos en España

El RGPD lleva en vigor desde mayo de 2018. La sensación general en la pyme española es que "es para grandes empresas" o "ya me adaptaré cuando me digan algo". Las dos cosas son falsas. La AEPD publicó más de 600 resoluciones en 2024, una buena parte contra empresas pequeñas y autónomos.

Esta guía es una checklist práctica para autónomos y pymes con web española. No sustituye a un abogado especialista cuando el caso es complejo, pero cubre el 90 % de lo que pide la Agencia Española de Protección de Datos (AEPD) a una empresa estándar.

1. Identifica qué datos personales tratas

Cualquier información que pueda identificar a una persona física es dato personal. La lista típica de una pyme:

• Datos de clientes en el CRM (nombre, NIF, dirección, teléfono, correo)
• Suscriptores del boletín
• Currículums recibidos
• Historial de pedidos en la tienda online
• Logs del servidor con IPs de visitantes
• Cookies de analítica y marketing
• Datos de empleados si los tienes
• Datos de proveedores autónomos

Si has dudado en alguno, la respuesta es sí: el Tribunal de Justicia de la UE ya confirmó en 2016 que la dirección IP es un dato personal cuando puede vincularse a una persona.

2. Crea el registro de actividades de tratamiento

Es la base de todo. El Art. 30 del RGPD obliga a llevar un registro escrito (papel o digital) que liste, para cada tratamiento:

• Finalidad (gestión de clientes, envío de boletín, etc.)
• Categorías de datos (identificativos, financieros, etc.)
• Categorías de personas afectadas (clientes, empleados, suscriptores)
• Destinatarios a quienes se ceden los datos
• Plazos de conservación
• Base jurídica (consentimiento, contrato, obligación legal, interés legítimo)
• Medidas de seguridad

La AEPD ofrece una herramienta gratuita llamada Facilita_RGPD que genera un registro razonable en 30 minutos para empresas con tratamientos no complejos. Para casos más sensibles (sanidad, abogacía, datos de menores), no es suficiente y conviene apoyo profesional.

3. Revisa la base jurídica de cada tratamiento

El Art. 6 del RGPD lista seis bases legales. Las que más se usan en pymes:

• Consentimiento (Art. 6.1.a): para boletines, cookies de marketing, y poco más. El consentimiento debe ser explícito, granular y revocable.
• Ejecución de contrato (Art. 6.1.b): para gestionar pedidos, enviar facturas, atender al cliente.
• Obligación legal (Art. 6.1.c): para conservar facturas (Código de Comercio), datos fiscales (LGT), nóminas.
• Interés legítimo (Art. 6.1.f): para fraude, seguridad informática, estadísticas internas. NO sirve para marketing por correo en España.

Confundir consentimiento con contrato es el error más habitual. Si solo necesitas el correo del cliente para enviarle la factura, eso es base contractual, no consentimiento. No le pidas casilla de aceptación para algo que ya se cubre por el contrato.

4. Redacta una política de privacidad clara

Los Art. 13 y 14 del RGPD listan la información que debes dar al recoger datos. La política de privacidad típica de una pyme española debe incluir:

• Identidad del responsable (nombre o razón social, NIF/CIF, dirección, email)
• Finalidades del tratamiento
• Base jurídica
• Destinatarios y, si aplica, transferencias internacionales
• Plazos de conservación
• Derechos de las personas (acceso, rectificación, supresión, oposición, portabilidad, limitación)
• Derecho a presentar reclamación ante la AEPD
• Si hay decisiones automatizadas o perfilado

La política debe estar enlazada desde el pie de página de cada formulario y página. No vale "está en el aviso legal": el RGPD pide un documento accesible específico.

5. Configura el banner de cookies correctamente

Cualquier cookie no esencial (analítica, marketing, redes sociales) requiere consentimiento previo bajo el Art. 22.2 LSSI-CE. La Guía de Cookies de la AEPD (2023) exige:

• Botón "Aceptar todo" y botón "Rechazar todo" con la misma prominencia visual
• Configuración granular (técnicas, preferencias, analítica, marketing)
• Categorías no esenciales sin marcar por defecto
• Cero cookies no esenciales hasta el consentimiento

Para una checklist completa sobre el banner, mira ¿Necesito un banner de cookies en España? y la revisión de las resoluciones de la AEPD sobre cookies.

6. Revisa los formularios de la web

Cada formulario que recoja datos debe tener:

• Información clara de para qué se usan los datos (al menos, una nota corta)
• Enlace a la política de privacidad
• Si hay marketing por correo, casilla de aceptación SIN marcar por defecto
• Si hay menores potencialmente, una verificación de edad (la edad mínima en España para consentir es 14 años bajo la LOPDGDD)

Los formularios de contacto suelen tener marketing escondido. Revísalos: si pides un teléfono "por si necesitamos llamarte" y luego usas ese teléfono para campañas, eso es marketing y necesita consentimiento separado.

7. Define plazos de conservación realistas

"Hasta que el cliente se baje" no es un plazo válido. Para cada categoría de datos, fija un plazo concreto:

• Datos de facturación: 4 años (LGT) o 6 años (Código de Comercio). Quédate con el más largo.
• Datos de clientes activos: mientras dure la relación + 4 años para responsabilidad
• Suscriptores del boletín: mientras dure el consentimiento. Si llevan 2 años sin abrir un correo, da de baja.
• Currículums sin contratar: máximo 1 año si el candidato consintió ser archivado, 6 meses si no
• Datos de cámaras de seguridad: 30 días (Art. 22 LOPDGDD)
• Logs del servidor con IPs: lo mínimo necesario, normalmente 12 meses

Los plazos deben aparecer en la política de privacidad. Y debes purgar realmente los datos cuando vencen.

8. Firma contratos con tus encargados del tratamiento

Si usas Mailchimp, Stripe, Hostinger, Google Workspace u otros servicios que tratan datos por ti, son encargados del tratamiento bajo el Art. 28 del RGPD. Necesitas un contrato (DPA, Data Processing Agreement) con cada uno.

La buena noticia: los grandes proveedores ya ofrecen un DPA estándar firmable online. Mailchimp, Google y Stripe lo tienen en su panel de cuenta. Pequeños proveedores españoles a veces ni saben de qué hablas; en ese caso, manda tú el contrato.

9. Implanta medidas de seguridad razonables

El Art. 32 RGPD pide medidas "apropiadas al riesgo". No exige medidas absolutas, pero sí estas como mínimo:

• HTTPS en toda la web (no solo en el formulario de pago)
• Contraseñas fuertes y distintas para cada servicio (gestor de contraseñas)
• Doble factor de autenticación en correo y servicios críticos
• Copias de seguridad cifradas y probadas
• Acceso a los datos por rol (no todos los empleados ven todo)
• WordPress, plugins y antivirus al día
• Política de uso aceptable para empleados con acceso a datos

INCIBE ofrece guías gratuitas para pymes. Vale la pena pasarse 1-2 horas al año revisando.

10. Prepárate para una brecha de datos

El Art. 33 RGPD exige notificar a la AEPD en 72 horas cualquier brecha que pueda suponer un riesgo para los derechos de las personas. Tener un protocolo escrito ayuda a no improvisar:

• Quién detecta y comunica internamente
• Quién decide si hay que notificar
• Quién comunica a la AEPD (formulario online en aepd.es)
• Quién comunica a los afectados si el riesgo es alto
• Cómo se documenta el incidente y las medidas correctoras

La AEPD valora positivamente la rapidez. Notificar tarde con explicaciones es peor que notificar pronto con datos parciales y completar después.

11. Atiende los derechos de las personas

Cualquier persona puede pedir acceso, rectificación, supresión, oposición, portabilidad o limitación de sus datos. Tienes un mes para responder (Art. 12.3 RGPD), prorrogable a tres en casos complejos.

Una pyme suele recibir muy pocas solicitudes al año. Cuando llega una, no tires de plantilla genérica: contesta con los datos concretos que tienes de esa persona y qué has hecho con su solicitud.

12. Documenta y revisa anualmente

El RGPD funciona por principio de responsabilidad proactiva (Art. 5.2). Tienes que poder demostrar que cumples, no solo decirlo.

Una vez al año, dedica medio día a:

• Revisar el registro de actividades
• Confirmar que la política de privacidad sigue siendo correcta
• Borrar los datos que han vencido el plazo de conservación
• Comprobar que los encargados del tratamiento siguen siendo los mismos
• Probar el banner de cookies en una ventana de incógnito
• Actualizar contraseñas y revisar permisos de acceso

Documéntalo en una nota interna. Si la AEPD pregunta dentro de tres años, esa nota vale más que cualquier discurso.

---

¿Quieres comprobar cómo está tu web ahora mismo? Ejecuta un análisis gratis y revisa si tu banner, tu política de privacidad y tus cabeceras de seguridad cumplen lo básico. Si quieres profundizar en una sola área, mira ¿Necesito un banner de cookies en España?, las resoluciones reales de la AEPD y los requisitos del aviso legal según el Art. 10 LSSI-CE.

Para los requisitos completos por país, consulta nuestra guía de cumplimiento web en España.