El Reglamento General de Protección de Datos (RGPD) lleva vigente desde 2018, pero muchas pymes siguen sin cumplirlo correctamente. Las sanciones pueden llegar hasta 20 millones de euros o el 4% de la facturación global, aunque en la práctica las multas a pymes suelen ser de miles a decenas de miles de euros. Estas son las 5 obligaciones que no puedes ignorar.
1. Registro de Actividades de Tratamiento
Debes tener un documento interno que liste todos los tratamientos de datos personales que realiza tu empresa: clientes, empleados, proveedores, candidatos en procesos de selección, etc. Para cada tratamiento debes especificar: qué datos recogen, con qué finalidad, durante cuánto tiempo y quién tiene acceso.
Este documento no se presenta a ningún organismo, pero la AEPD puede pedírtelo en cualquier inspección.
2. Política de privacidad y aviso legal en la web
Si tienes una web (y prácticamente todas las empresas tienen), debes incluir:
- Política de privacidad detallada (qué datos recoges, para qué, durante cuánto tiempo)
- Aviso legal con datos de la empresa
- Política de cookies con banner de consentimiento correcto (no vale con solo informar, hay que dar opción a rechazar)
- Formularios con casilla de consentimiento explícito (no puede estar pre-marcada)
3. Contratos con proveedores que acceden a tus datos
Si contratas servicios en los que un tercero accede a datos personales de tus clientes o empleados (gestoría, software en la nube, empresa de marketing, etc.), debes tener firmado un contrato de encargado de tratamiento con ellos. Sin este contrato, tanto tú como el proveedor podéis ser sancionados.
4. Medidas de seguridad técnicas
El RGPD exige medidas de seguridad proporcionales al tipo de datos que tratas. Para una pyme típica, esto incluye:
- Contraseñas robustas y gestión de accesos (quién puede ver qué)
- Cifrado de dispositivos, especialmente portátiles y móviles
- Copias de seguridad regulares y verificadas
- Antivirus y firewall empresarial actualizados
- Procedimiento ante brechas de seguridad (qué hacer si hay un incidente)
5. Derechos de los interesados
Debes tener un procedimiento para responder a las solicitudes de las personas que te han dado sus datos cuando ejercen sus derechos: acceso, rectificación, supresión (el "derecho al olvido"), portabilidad y oposición. Tienes un mes para responder a estas solicitudes.
¿Necesitas un DPO?
La mayoría de pymes no están obligadas a tener un Delegado de Protección de Datos, pero sí si tratas datos sensibles a gran escala (médicos, sindicales, penales). En Ionia IT nos coordinamos con los abogados especializados en RGPD de nuestros clientes para asegurar que las medidas técnicas de seguridad cumplen con la normativa. Contáctanos para revisar el estado de cumplimiento técnico de tu empresa.