El RGPD para Pequeñas Empresas: Guía de Cumplimiento para PYME (2026)

El RGPD se aplica a toda pequeña empresa que trate datos personales de personas en la UE, sin ninguna exención general basada en el tamaño. El artículo 30(5) prevé una excepción limitada de registros para organizaciones con menos de 250 empleados, pero solo si el tratamiento es ocasional, de bajo riesgo y excluye datos de categoría especial. La mayoría de las pequeñas empresas no cumplen las tres condiciones a la vez.
El RGPD se aplica a toda organización que trate datos personales de personas en la Unión Europea: un autónomo en Viena, una tienda de comercio electrónico de diez empleados en Varsovia y una startup de SaaS con sede en EE. UU. que tiene clientes europeos están todos sujetos a él. El tamaño no determina la aplicabilidad.
Dicho esto, el RGPD no es un reglamento de talla única. Varias disposiciones se calibran según la naturaleza y la escala del tratamiento y no únicamente según el número de empleados, y la UE ha propuesto recientemente nuevas reducciones de la carga administrativa para las organizaciones más pequeñas. Entender qué obligaciones son plenas, cuáles son reducidas y cuáles están actualmente en proceso de reforma es el punto de partida práctico para cualquier pequeña empresa.
Esta guía aborda qué se aplica a su PYME, la excepción de registros del artículo 30(5) y sus límites reales, la cuestión del DPD, la propuesta del Ómnibus Digital de noviembre de 2025, ejemplos sectoriales, medidas prácticas de bajo costo y aplicación normativa reciente que las pequeñas empresas deberían conocer. Para una visión general del reglamento, consulte ¿Qué es el RGPD?.
Este artículo tiene fines meramente informativos y no constituye asesoramiento jurídico. Consulte a un abogado especializado en protección de datos o a un profesional de la privacidad cualificado para obtener orientación específica sobre su situación.
¿Se Aplica el RGPD a su Pequeña Empresa?
La respuesta corta es que casi con toda seguridad sí, si maneja algún dato personal relacionado con personas de la UE.
La Comisión Europea es clara en este punto: la aplicabilidad del RGPD depende de la naturaleza de sus actividades, no del tamaño o la ubicación de su empresa. Conforme al artículo 3 del reglamento, el RGPD se aplica si se cumple alguna de las siguientes condiciones:
- Está establecido en la UE y trata datos personales en el marco de sus actividades, independientemente de dónde se realice el tratamiento.
- Está establecido fuera de la UE pero ofrece bienes o servicios a personas en la UE, incluida una aplicación gratuita, un sitio web que acepta pedidos de la UE o un boletín dirigido a lectores de la UE.
- Está establecido fuera de la UE pero controla el comportamiento de personas de la UE, por ejemplo mediante analítica web, píxeles publicitarios o seguimiento de ubicación.
¿Qué Cuenta Como Datos Personales para una Pequeña Empresa?
La mayoría de las pequeñas empresas manejan más datos personales de lo que creen. Las actividades de tratamiento habituales que generan obligaciones del RGPD incluyen:
- Nombres, direcciones de correo electrónico, direcciones postales e historial de compras de clientes
- Registros de empleados y contratistas: datos de nómina, expedientes de recursos humanos, notas de desempeño y currículums de candidatos
- Cookies del sitio web, analítica y píxeles de publicidad conductual
- Listas de suscriptores de marketing por correo electrónico
- Imágenes de videovigilancia y cámaras de seguridad que cubren a personas dentro o cerca de sus instalaciones
- Sistemas de reservas y citas en línea
- Registros de pago (incluso si el procesamiento de pagos lo gestiona un tercero)
- Publicidad en redes sociales dirigida a usuarios de la UE
Tratar cualquiera de estos datos en relación con personas de la UE somete plenamente a su empresa al RGPD.

La Excepción de Registros del Artículo 30(5): Qué Cubre Realmente
El artículo 30 del RGPD exige a los responsables y encargados del tratamiento mantener registros de las actividades de tratamiento. El artículo 30(5) prevé una excepción parcial para las organizaciones más pequeñas:
"Las obligaciones indicadas en los apartados 1 y 2 no se aplicarán a ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10."
En términos sencillos: una organización con menos de 250 empleados está exenta del mantenimiento obligatorio de registros únicamente si se cumplen simultáneamente las tres condiciones siguientes:
- Es improbable que el tratamiento entrañe un riesgo para los derechos y libertades de las personas.
- El tratamiento es ocasional, no rutinario ni sistemático.
- El tratamiento no incluye datos de categoría especial (salud, biométricos, genéticos, origen racial o étnico, opiniones políticas, creencias religiosas, afiliación sindical, orientación sexual) ni datos sobre condenas penales.
El documento de posición del CEPD sobre la excepción del artículo 30(5) confirma que se trata de una excepción restringida. El tratamiento de registros de clientes, la gestión de una nómina, el manejo de una lista de marketing por correo electrónico o la operación de un sitio web con analítica no superan la prueba de "ocasional". Se trata de actividades recurrentes y sistemáticas: la excepción no se les aplica.
La Realidad Práctica
La exención estaba pensada para un tratamiento genuinamente puntual, como una organización pequeña que procesa ocasionalmente una lista de asistentes a un evento único y no hace nada más con datos personales de forma habitual. En la práctica, casi ninguna empresa en funcionamiento califica plenamente.
La recomendación es la misma independientemente de la excepción técnica: mantenga registros de las actividades de tratamiento. Son su evidencia de responsabilidad proactiva, su referencia cuando las autoridades de control preguntan, y su herramienta para gestionar las solicitudes de los interesados. Una simple hoja de cálculo que recoja qué datos trata, por qué, dónde se almacenan, quién tiene acceso y durante cuánto tiempo los conserva es suficiente para la mayoría de las pequeñas empresas.
Cuándo una Pequeña Empresa Necesita un Delegado de Protección de Datos
El requisito de DPD conforme al artículo 37 no está vinculado al número de empleados. Se activa por la naturaleza y la escala de sus actividades principales de tratamiento. Un DPD es obligatorio en tres situaciones:
- La organización es una autoridad u organismo público (no aplicable a la mayoría de las pequeñas empresas).
- Las actividades principales de la organización requieren un seguimiento habitual y sistemático de personas a gran escala, por ejemplo, una empresa cuyo producto principal sea la tecnología de publicidad conductual o la vigilancia de usuarios a gran escala.
- Las actividades principales implican el tratamiento a gran escala de datos de categoría especial (salud, biometría, orientación sexual, etc.) o datos personales relativos a condenas penales.
La guía del CEPD para PYME sobre DPD es explícita: es poco probable que una organización pequeña necesite un delegado de protección de datos. Una tienda minorista local, una pequeña agencia de marketing, una empresa de software de diez personas o un bufete de dos socios no cumplen estos criterios.
Matices Sectoriales
Algunas PYME operan en sectores donde la cuestión del DPD es menos clara:
- Clínica pequeña o consultorio médico: el tratamiento de datos de salud de pacientes es un tratamiento de categoría especial conforme al artículo 9. Si es "a gran escala" depende del volumen y el contexto. Una consulta de dos médicos que atiende a una población local de pacientes generalmente no es a gran escala. Una cadena regional de clínicas con decenas de miles de expedientes de pacientes es una cuestión más cercana al límite. Muchos Estados miembros de la UE han emitido orientaciones sectoriales específicas para proveedores de atención médica.
- Startup de software de RR. HH.: si su producto trata sistemáticamente datos de empleados para grandes organizaciones clientes, sus propias actividades principales pueden implicar un tratamiento a gran escala de datos de categoría especial. Busque asesoramiento específico.
- Agencia de marketing: la elaboración de perfiles y la segmentación conductual a escala para clientes puede acercarla más al umbral de seguimiento sistemático que una PYME típica.
Designación Voluntaria
Puede designar un DPD voluntariamente incluso cuando no sea obligatorio. Si lo hace, se aplican automáticamente todas las normas del RGPD sobre independencia, recursos, funciones y protección frente al despido del DPD. Muchas pequeñas empresas consideran más práctico designar internamente a un responsable de privacidad (una persona nombrada, responsable de la protección de datos, que atienda consultas y solicitudes) sin utilizar el título formal de DPD.

El Ómnibus Digital de Noviembre de 2025: Simplificación Propuesta para PYME
El 19 de noviembre de 2025, la Comisión Europea publicó su paquete Ómnibus Digital, un conjunto de modificaciones específicas al RGPD, la Directiva de privacidad electrónica, la Ley de Datos, la Directiva NIS2 y la Ley de IA. El paquete forma parte de la agenda de competitividad más amplia de la Comisión para reducir la carga regulatoria sobre las empresas europeas, con las PYME identificadas como una prioridad particular.
Qué Propuso la Comisión para el Artículo 30(5) del RGPD
La propuesta de la Comisión introduciría dos cambios significativos en la excepción de registros:
- Elevar el umbral de empleados de menos de 250 a menos de 750 empleados, ampliando el alivio a una categoría que la Comisión denomina "pequeñas empresas de mediana capitalización" (SMC).
- Reestructurar las condiciones: en lugar de los tres factores descalificadores actuales (riesgo, no ocasional, datos de categoría especial), la excepción se aplicaría a menos que el tratamiento sea "probable que entrañe un alto riesgo" en el sentido del artículo 35 (el umbral de la EIPD). La propuesta elimina las referencias al "tratamiento ocasional" y a los datos de categoría especial como factores descalificadores independientes.
La Posición del Consejo de la UE (Septiembre de 2025)
Antes de la publicación de la Comisión en noviembre, el Consejo de la UE hizo circular en septiembre de 2025 una posición aún más amplia: las organizaciones con menos de 1000 empleados que realicen tratamiento de alto riesgo solo necesitarían mantener registros de esas actividades específicas de tratamiento que probablemente entrañen un alto riesgo, no un registro completo de todo el tratamiento.
Respuesta del CEPD y el SEPD
El CEPD y el SEPD acogieron con satisfacción la simplificación en su declaración conjunta, respaldando el objetivo general de reducir la carga administrativa para las PYME. Señalaron que la propuesta es específica y limitada, y solicitaron aclaraciones adicionales sobre la interacción con las obligaciones de responsabilidad proactiva. Fundamentalmente, subrayaron que otras obligaciones (incluidas la transparencia, la base jurídica, los derechos de los interesados y la seguridad) siguen siendo plenamente aplicables independientemente de las simplificaciones en el mantenimiento de registros.
Estado Actual: Negociación Activa, Todavía No Es Ley
A fecha de mayo de 2026, las modificaciones del RGPD del Ómnibus Digital están en negociación activa entre el Parlamento Europeo y el Consejo conforme al calendario legislativo. Se espera que las conversaciones tripartitas continúen durante 2026. La adopción final y cualquier período de transición antes de que las modificaciones entren en vigor significan que el texto actual del artículo 30(5) (el umbral de 250 empleados con tres condiciones descalificadoras) sigue siendo el derecho aplicable hoy.
No ajuste su enfoque de cumplimiento en función de los cambios propuestos. Continúe operando conforme a las normas actuales hasta que las modificaciones se adopten formalmente y entren en vigor.
Obligaciones Fundamentales que se Aplican Plenamente a Todas las Pequeñas Empresas
Aunque ciertas obligaciones administrativas se calibran según la escala, los siguientes requisitos del RGPD se aplican sin reducción a toda organización, sea cual sea su tamaño.
1. Base Jurídica para Cada Actividad de Tratamiento
Toda actividad de tratamiento requiere una base jurídica documentada conforme al artículo 6. Las tres bases más relevantes para las pequeñas empresas son:
- Necesidad contractual (artículo 6(1)(b)): tratamiento necesario para ejecutar un contrato con la persona, por ejemplo, procesar una dirección de entrega para enviar un pedido, o procesar datos salariales para pagar a un empleado.
- Interés legítimo (artículo 6(1)(f)): un interés empresarial genuino y proporcionado que no prevalece sobre los derechos de la persona, por ejemplo, marketing directo básico a clientes existentes, prevención del fraude o seguridad de la red. Requiere una evaluación de interés legítimo documentada.
- Consentimiento (artículo 6(1)(a)): la persona opta libremente por un fin específico y claramente indicado. El consentimiento es revocable y genera obligaciones continuas de gestión. Las pequeñas empresas a menudo lo usan en exceso cuando otra base sería más sencilla y duradera.
Para un tratamiento completo de cuándo el consentimiento es o no la base adecuada, consulte Requisitos de Consentimiento del RGPD.
2. Avisos de Privacidad
Toda persona cuyos datos recopile debe ser informada en el momento de la recopilación sobre: quién es usted, qué datos recopila, por qué, la base jurídica, cuánto tiempo los conserva, con quién los comparte y cuáles son sus derechos. Esto se aplica a su sitio web, sus formularios en tienda, su documentación laboral y cualquier otro punto de recopilación de datos.
Un aviso de privacidad no necesita ser extenso. Debe ser claro, accesible y completo. La sección de recursos prácticos del CEPD ofrece plantillas gratuitas.
3. Derechos de los Interesados
Los ocho derechos individuales del RGPD se aplican a todas las organizaciones. Las pequeñas empresas deben:
- Contar con una vía clara y accesible para que las personas presenten solicitudes (el correo electrónico es suficiente).
- Identificar y responder a las solicitudes dentro del plazo de un mes natural (ampliable en dos meses más para solicitudes complejas, con aviso al solicitante).
- Proporcionar la primera copia de los datos personales de forma gratuita en respuesta a una solicitud de acceso.
- Tramitar adecuadamente las solicitudes de supresión, rectificación, oposición y portabilidad, y documentar las respuestas.
Una empresa rumana fue multada con 15 000 euros específicamente por no responder a una solicitud de acceso durante tres meses y luego proporcionar información incompleta. Este es el tipo de aplicación normativa que afecta a las pequeñas empresas.
4. Medidas Técnicas y Organizativas de Seguridad
El artículo 32 exige medidas de seguridad apropiadas y proporcionales al riesgo y a la naturaleza de los datos. Proporcionalidad significa que lo apropiado para una firma contable de dos personas difiere de lo apropiado para un proveedor de atención médica de 200 empleados, pero ambos deben tener algo implementado.
Medidas básicas prácticas para pequeñas empresas:
- Activar la autenticación multifactor en todas las cuentas empresariales (correo electrónico, almacenamiento en la nube, software de contabilidad).
- Usar un gestor de contraseñas y exigir contraseñas fuertes y únicas.
- Cifrar portátiles, unidades externas y dispositivos móviles que contengan datos personales.
- Limitar el acceso a los datos personales al personal que realmente lo necesite para su función.
- Aplicar con prontitud las actualizaciones de software y del sistema operativo.
- Mantener copias de seguridad periódicas y probadas, almacenadas por separado de los datos primarios.
- Contar con una política escrita sobre cómo manejar los datos personales y asegurarse de que el personal la comprenda.
- Guardar bajo llave los archivos físicos que contengan información personal.
5. Notificación de Violaciones de Seguridad de los Datos
Si se produce una violación de la seguridad de los datos personales y es probable que entrañe un riesgo para las personas, debe notificarlo a su autoridad de control dentro de las 72 horas siguientes a tener conocimiento. Si es probable que la violación entrañe un alto riesgo para las personas, también debe notificar directamente a las personas afectadas. Consulte Notificación de Violaciones de Seguridad del RGPD: La Regla de las 72 Horas para el procedimiento completo.
Un error común de las pequeñas empresas es suponer que solo los ciberataques a gran escala cuentan como violaciones. Un portátil robado con datos de clientes sin cifrar, un correo electrónico enviado al destinatario equivocado que contiene información sensible o un ataque de ransomware a una unidad compartida constituyen todos violaciones de datos que pueden requerir notificación.
6. Contratos de Encargo de Tratamiento con Proveedores
Conforme al artículo 28, siempre que comparta datos personales con un tercero que los trate en su nombre (proveedores de alojamiento en la nube, plataformas de marketing por correo electrónico, servicios de nómina, software de contabilidad, procesadores de pago, herramientas de analítica web), necesita un contrato de encargo de tratamiento vigente. La mayoría de los grandes proveedores ahora incluyen contratos de encargo conformes al RGPD en sus condiciones de servicio estándar u los ofrecen a solicitud. Revíselos y confirme que están vigentes.

El RGPD en la Práctica: Tres Ejemplos Sectoriales
Una Pequeña Tienda de Comercio Electrónico (10 Empleados)
Un minorista en línea de 10 personas que vende ropa a clientes de la UE trata a diario nombres, direcciones, correos electrónicos e historial de compras de clientes. Su tratamiento no es ocasional; es central en cada transacción.
Obligaciones clave: base jurídica para el procesamiento de pedidos (necesidad contractual), base separada para los correos de marketing (consentimiento o interés legítimo), banner de consentimiento de cookies para analítica y píxeles publicitarios, aviso de privacidad en el sitio web, contratos de encargo de tratamiento con el procesador de pagos y la plataforma de correo electrónico, y un proceso claro para gestionar solicitudes de acceso y supresión.
La excepción del artículo 30(5) no se aplica porque el tratamiento no es ocasional. El minorista debe mantener una hoja de cálculo de registros. No se requiere DPD. Un empleado designado gestiona las solicitudes de derechos.
Una Clínica Local o Consultorio de Medicina General (5 Empleados)
Una pequeña clínica médica trata a diario datos de salud de pacientes. Los datos de salud son datos de categoría especial conforme al artículo 9, lo que exige una base jurídica tanto del artículo 6 como del artículo 9(2). La base del artículo 9 apropiada para un proveedor de atención médica que trata pacientes es normalmente el artículo 9(2)(h): diagnóstico y tratamiento médico.
La excepción del artículo 30(5) no se aplica porque el tratamiento implica datos de categoría especial (historiales de salud). La clínica debe mantener registros completos del tratamiento. Si se requiere un DPD depende de si el tratamiento es "a gran escala" según el contexto; la mayoría de las autoridades de protección de datos de la UE consideran que una pequeña clínica local no alcanza el umbral de gran escala, aunque las orientaciones varían según el Estado miembro.
Obligaciones adicionales clave: controles de acceso estrictos sobre los expedientes de pacientes, medidas de seguridad apropiadas para datos de salud sensibles, acuerdos de intercambio de datos con cualquier sistema de terceros utilizado (resultados de laboratorio, plataformas de citas) y un manejo cuidadoso de las comunicaciones con pacientes por correo electrónico.
Una Pequeña Agencia de Marketing Digital (15 Empleados)
Una agencia de marketing que gestiona campañas y trata datos de consumidores de la UE en nombre de clientes se encuentra en una posición más compleja. La agencia actúa tanto como responsable (para los datos de su propio personal y contactos comerciales) como encargada (al gestionar datos de clientes en nombre del cliente).
Como encargada, la agencia debe: firmar contratos de encargo de tratamiento con cada cliente que especifiquen la naturaleza, el propósito y la duración del tratamiento; implementar medidas de seguridad apropiadas según las instrucciones del responsable; notificar a los clientes con prontitud de cualquier violación de seguridad; y no contratar subencargados sin la autorización del cliente.
Para las campañas de publicidad conductual que usan píxeles de seguimiento y cookies, se aplican los requisitos de consentimiento del RGPD para cookies. La agencia también debe tener en cuenta que el uso de Google Ads requiere la implementación del Modo de Consentimiento v2 desde marzo de 2024 para comunicar correctamente las decisiones de consentimiento del usuario.
Errores Comunes de Cumplimiento en PYME
Suponer que el Tamaño Crea una Exención
"Somos una empresa pequeña" no es una defensa legal conforme al RGPD. Las autoridades de control han multado a autónomos y microempresas por infracciones básicas. Las multas se aplican de forma proporcional, pero se aplican.
Usar en Exceso el Consentimiento como Base Jurídica
Muchas pequeñas empresas añaden una casilla de consentimiento a cada formulario porque parece seguro. En la práctica, el consentimiento suele ser la base incorrecta: crea derechos de revocación complejos de gestionar, y solo debe usarse cuando la persona tiene una elección libre genuina. Cuando se puede recurrir a la necesidad contractual o al interés legítimo, esas bases suelen ser más prácticas y duraderas.
Consentimiento de Cookies Inválido
Indicar "al usar este sitio acepta las cookies" en un aviso al pie de página no constituye un consentimiento válido conforme al RGPD. El consentimiento para cookies no esenciales requiere un mecanismo claro de aceptación que permita a los usuarios aceptar o rechazar las cookies antes de que se instalen. Las casillas premarcadas y el consentimiento implícito no son conformes.
Ausencia de Política de Conservación de Datos
El principio de limitación del plazo de conservación conforme al artículo 5(1)(e) exige que los datos personales no se conserven más tiempo del necesario. Mantener registros de clientes indefinidamente, o no eliminar nunca los expedientes de exempleados, infringe este principio. Defina períodos de conservación para cada categoría de datos e implemente un proceso para eliminarlos cuando esos períodos expiren.
Olvidar los Datos de los Empleados
El RGPD se aplica por igual a los datos del personal que a los datos de clientes. Los expedientes de empleados, la información salarial, los archivos disciplinarios y los currículums presentados por los candidatos requieren todos las mismas protecciones. Muchas pequeñas empresas centran sus esfuerzos de cumplimiento en los datos de clientes y descuidan por completo sus obligaciones en materia de recursos humanos.
Ausencia de un Plan de Respuesta a Violaciones de Seguridad
Sin un plan, es probable que una violación supere el plazo de notificación de 72 horas mientras el personal decide qué hacer. Un procedimiento básico por escrito que cubra cómo detectar una violación, cómo evaluar su gravedad, quién es responsable de la notificación y cómo contenerla y documentarla no cuesta nada crear y puede evitar una multa.
Ausencia de Contratos de Encargo con Proveedores
Usar almacenamiento en la nube, herramientas de marketing por correo electrónico o software de nómina sin revisar si existe un contrato de encargo de tratamiento vigente es una brecha común. También es un objetivo sencillo de aplicación normativa para las autoridades de control porque es fácil de demostrar como un documento faltante.
Medidas de Cumplimiento de Bajo Costo para Pequeñas Empresas
El cumplimiento no requiere grandes presupuestos ni software especializado. Los siguientes seis pasos abordan los requisitos del RGPD de mayor prioridad con un costo mínimo.
Paso 1: Inventario de datos (gratis): enumere cada tipo de dato personal que trata: qué es, de quién es, por qué lo conserva, dónde se almacena, quién puede acceder a él y cuánto tiempo lo conserva. Una hoja de cálculo es suficiente. Actualícela cada vez que introduzca una nueva herramienta o proceso.
Paso 2: Aviso de privacidad (gratis): redacte un aviso de privacidad en lenguaje sencillo que cubra toda la información requerida por los artículos 13 y 14. Publíquelo en su sitio web y hágalo disponible en cada punto de recopilación de datos. Use las plantillas gratuitas del CEPD como punto de partida.
Paso 3: Consentimiento de cookies (gratis o bajo costo): si su sitio web usa cookies no esenciales (analítica, publicidad, botones de redes sociales), implemente un banner de aceptación conforme. Varias herramientas gratuitas y de bajo costo ofrecen gestión de consentimiento conforme al RGPD.
Paso 4: Revisión de contratos con proveedores (gratis): revise su lista de proveedores de servicios y confirme que existe un contrato de encargo de tratamiento vigente con cada uno que trate datos personales en su nombre. La mayoría de los grandes proveedores ofrecen contratos de encargo en sus condiciones o a solicitud.
Paso 5: Seguridad básica (gratis o bajo costo): active la autenticación multifactor en todas las cuentas empresariales. Implemente un gestor de contraseñas. Cifre sus dispositivos. Mantenga el software actualizado. Estas medidas son en su mayoría gratuitas y abordan los vectores de violación de seguridad más comunes para pequeñas empresas.
Paso 6: Procedimientos de solicitudes de derechos y respuesta a violaciones de seguridad (gratis): designe un contacto nombrado para las solicitudes de los interesados. Cree un registro sencillo para rastrear las solicitudes, su tipo, la fecha de recepción y la fecha de resolución. Redacte una lista de verificación de una página para la respuesta a violaciones de seguridad que cubra el requisito de notificación de 72 horas.
Resumen de Obligaciones del RGPD para PYME
| Obligación | ¿Se Aplica a las PYME? | Notas |
|---|---|---|
| Base jurídica para el tratamiento | Sí | Documentar para cada actividad |
| Aviso de privacidad | Sí | Claro y accesible |
| Derechos de los interesados (8 derechos) | Sí | Plazo de respuesta de un mes |
| Registros de tratamiento (artículo 30) | Generalmente sí | La excepción es limitada; conserve registros de todos modos |
| Medidas de seguridad (artículo 32) | Sí | Proporcionales al riesgo |
| Notificación de violaciones de seguridad (72 horas) | Sí | Si la violación supone un riesgo para las personas |
| Designación de DPD | Raramente | La mayoría de las PYME no lo necesitan |
| EIPD | A veces | Solo para tratamiento de alto riesgo |
| Contratos de encargo de tratamiento | Sí | Con cada encargado que trate sus datos |
| Mecanismos de transferencia internacional | Sí | Si envía datos fuera de la UE/EEE |
| Consentimiento de cookies | Sí | Para cookies no esenciales |
Recursos Oficiales Gratuitos para Pequeñas Empresas
Guía de Protección de Datos del CEPD para Pequeñas Empresas: la guía del CEPD para PYME es el recurso oficial gratuito más completo. Cubre todos los temas principales del RGPD con vídeos, diagramas de flujo interactivos, infografías y ejemplos prácticos. La sección de recursos prácticos incluye plantillas descargables para registros de tratamiento, avisos de privacidad, formularios de consentimiento y contratos de encargo. Disponible en 17 idiomas de la UE desde 2024.
Asesoramiento de la ICO para Pequeñas Organizaciones: la Oficina del Comisionado de Información del Reino Unido ofrece orientación específica para pequeñas y medianas organizaciones y una herramienta de autoevaluación de protección de datos que genera un plan de acción personalizado.
Portal de Tu Europa para Empresas: el portal de Tu Europa ofrece orientación sobre el RGPD en todos los idiomas oficiales de la UE para empresas que operan en el mercado único.
Autoridades Nacionales de Control: la autoridad de protección de datos de cada Estado miembro de la UE publica sus propios recursos para PYME. La DPC de Irlanda, la CNIL francesa, la AP neerlandesa y las autoridades estatales alemanas ofrecen todas kits de herramientas gratuitos y líneas de ayuda para pequeñas empresas en sus jurisdicciones.
Qué Cambia con el Ómnibus Digital Propuesto (Cuando se Promulgue)
Si las modificaciones del Ómnibus Digital se adoptan tal como se proponen, los cambios prácticos para las PYME serían:
- Las organizaciones con menos de 750 empleados ya no necesitarían mantener registros de las actividades de tratamiento a menos que el tratamiento sea probable que entrañe un alto riesgo (el umbral de la EIPD conforme al artículo 35).
- El tratamiento rutinario de bajo riesgo (listas de correo de clientes, registros del personal, reservas en línea) ya no necesitaría ser documentado formalmente por estas organizaciones.
- Todas las demás obligaciones se mantienen sin cambios: base jurídica, avisos de privacidad, derechos de los interesados, seguridad, notificación de violaciones de seguridad y contratos con proveedores siguen aplicándose íntegramente.
La simplificación es real pero limitada. La gran mayoría de sus obligaciones de cumplimiento no se ven afectadas. Continúe con las prácticas de cumplimiento actuales y monitoree el avance legislativo antes de realizar cualquier cambio.
Guías Relacionadas sobre el RGPD
- ¿Qué es el RGPD? para una visión general completa del reglamento
- Lista de Verificación de Cumplimiento del RGPD para una guía de cumplimiento paso a paso
- Requisitos de Consentimiento del RGPD para conocer los estándares de consentimiento válido y cuándo el consentimiento es o no la base correcta
- Derechos de los Interesados en el RGPD para los ocho derechos individuales
- Multas y Sanciones del RGPD para datos de aplicación normativa y cálculo de sanciones
- Regla de Notificación de Violaciones de Seguridad en 72 Horas del RGPD para el procedimiento de notificación de violaciones de seguridad
- Ley de Cookies de la UE (Directiva de Privacidad Electrónica) para los requisitos de consentimiento de cookies
- Leyes de Privacidad de Datos de la UE para el centro completo de protección de datos de la UE
Preguntas frecuentes
¿Se aplica el RGPD a las pequeñas empresas?
Sí. El RGPD se aplica a cualquier organización que trate datos personales de personas en la UE, sin importar su tamaño. Un autónomo, una startup y una empresa de 200 empleados están todos sujetos a él si manejan datos personales de la UE. No existe una exención general para pequeñas empresas. Las obligaciones de cumplimiento se calibran según la naturaleza y el riesgo de sus actividades de tratamiento, no según el número de empleados.
¿Necesitan las pequeñas empresas un Delegado de Protección de Datos?
La mayoría no. Un DPD es obligatorio conforme al artículo 37 únicamente para autoridades públicas, organizaciones cuyas actividades principales requieran un seguimiento habitual y sistemático de personas a gran escala, y organizaciones cuyas actividades principales impliquen un tratamiento a gran escala de datos de categoría especial (salud, biométricos, genéticos, etc.). Un negocio típico de comercio minorista, servicios o tecnología no cumple estos criterios. La designación voluntaria es posible, pero en ese caso se aplican todas las normas del RGPD sobre independencia y protección del DPD.
¿Están las pequeñas empresas exentas del mantenimiento de registros del RGPD?
La excepción del artículo 30(5) para organizaciones con menos de 250 empleados es más restringida de lo que muchos suponen. La exención solo se aplica si se cumplen simultáneamente las tres condiciones: el tratamiento es ocasional, no supone ningún riesgo para las personas y no implica datos de categoría especial. La mayoría de las pequeñas empresas tratan datos de clientes o empleados de forma habitual, lo que significa que no superan la prueba de ocasionalidad y deben seguir manteniendo registros. La recomendación es conservar registros de todos modos como buena práctica.
¿Qué es el Ómnibus Digital del RGPD y ayuda a las pequeñas empresas?
El Ómnibus Digital es un paquete de modificaciones específicas del RGPD publicado por la Comisión Europea el 19 de noviembre de 2025. Propone ampliar la excepción de registros de las organizaciones con menos de 250 empleados a las de menos de 750 empleados, y limitar los registros obligatorios únicamente al tratamiento de alto riesgo. El CEPD y el SEPD acogieron con satisfacción la simplificación. A fecha de mayo de 2026, la propuesta está en negociación tripartita y no ha sido promulgada. El umbral actual de 250 empleados y la prueba de tres condiciones siguen siendo ley hasta que las modificaciones se adopten formalmente.
¿Puede multarse a una pequeña empresa conforme al RGPD?
Sí. Las multas del RGPD se aplican a organizaciones de todos los tamaños según la gravedad de la infracción. Las autoridades de control deben garantizar que las multas sean eficaces, proporcionadas y disuasorias, lo que significa que una pequeña empresa normalmente recibiría una multa absoluta más baja que una multinacional, pero las sanciones pueden seguir siendo significativas. Las multas alcanzan hasta 20 millones de euros o el 4% de la facturación anual global para infracciones graves. Existen casos documentados de multas contra pequeños proveedores de atención médica por condicionar la atención médica al consentimiento de marketing, y contra pequeñas empresas por ignorar solicitudes de acceso.
¿Cuáles son los pasos más importantes del RGPD para una pequeña empresa?
Comience con seis prioridades: (1) cree un inventario de datos que enumere todos los datos personales que trata y por qué; (2) redacte y publique un aviso de privacidad claro; (3) asegúrese de contar con una base jurídica documentada para cada actividad de tratamiento; (4) implemente medidas de seguridad básicas, incluida la autenticación multifactor y el cifrado de dispositivos; (5) cuente con un proceso sencillo para gestionar las solicitudes de derechos de los interesados dentro de un mes; y (6) confirme que existen contratos de encargo de tratamiento con todos los proveedores que traten datos personales en su nombre.
¿Se aplica el RGPD a una empresa fuera de la UE que vende a clientes de la UE?
Sí. Conforme al artículo 3(2), el RGPD se aplica a organizaciones fuera de la UE que ofrecen bienes o servicios a personas en la UE o controlan su comportamiento. Una tienda en línea con sede en EE. UU. con clientes de la UE, un proveedor canadiense de SaaS con usuarios de la UE y una empresa del Reino Unido que atiende a clientes de la UE tras el brexit deben cumplir todos. El brexit significa que las empresas del Reino Unido que atienden a clientes de la UE están sujetas al RGPD de la UE para sus operaciones en la UE, además del RGPD del Reino Unido independiente para sus operaciones en el Reino Unido.
¿Necesito un banner de consentimiento de cookies en mi sitio web?
Si su sitio web usa cookies no esenciales (incluidas cookies de analítica, píxeles publicitarios, botones de redes sociales o cualquier tecnología de seguimiento), necesita un mecanismo de consentimiento conforme. El consentimiento válido requiere una aceptación activa antes de que se instalen las cookies no esenciales, una opción igualmente sencilla para rechazarlas y ninguna casilla premarcada. Simplemente señalar que su sitio usa cookies en un pie de página no es suficiente. Consulte la guía de la Ley de Cookies de la UE para los requisitos completos.
Fuentes y referencias
- Texto completo del RGPD — Reglamento (UE) 2016/679(eur-lex.europa.eu).gov
- Comisión Europea — ¿Se Aplican las Normas del RGPD a las PYME?(commission.europa.eu).gov
- Guía de Protección de Datos del CEPD para Pequeñas Empresas(edpb.europa.eu).gov
- CEPD — Recursos Prácticos para PYME (Plantillas y Herramientas)(edpb.europa.eu).gov
- Guía del CEPD para PYME — Delegado de Protección de Datos(edpb.europa.eu).gov
- CEPD — Documento de Posición sobre la Excepción del Artículo 30(5)(edpb.europa.eu).gov
- CEPD/SEPD — Acogen con Satisfacción la Simplificación del Mantenimiento de Registros (2025)(edpb.europa.eu).gov
- Comisión Europea — ¿Necesita mi Organización un DPD?(commission.europa.eu).gov
- Comisión Europea — Propuesta de Simplificación del RGPD Ómnibus (noviembre de 2025)(commission.europa.eu).gov
- Tu Europa — Protección de Datos Conforme al RGPD(europa.eu).gov
- ICO — Asesoramiento para Pequeñas Organizaciones(ico.org.uk).gov
- ICO — ¿Quién Necesita Documentar sus Actividades de Tratamiento?(ico.org.uk).gov
- ICO — Autoevaluación de Protección de Datos para Pequeñas Empresas(ico.org.uk).gov
- ICO — Marketing y Protección de Datos en Detalle(ico.org.uk).gov
- CEPD — Preguntas Frecuentes para PYME(edpb.europa.eu).gov
- Tren Legislativo del Parlamento Europeo — Paquete Digital(europarl.europa.eu).gov
- GDPR-Info.eu — Artículo 30, Registros de las Actividades de Tratamiento(gdpr-info.eu)