El RGPD no es burocracia por capricho: protege a tus clientes, a tus empleados y, en última instancia, a tu empresa. Esta guía te lleva desde el diagnóstico inicial hasta tener un sistema de privacidad funcional en ocho semanas. Sin tecnicismos innecesarios.
Semana 1-2: Inventario de datos — saber qué tienes antes de actuar
El primer paso es mapear qué datos personales maneja tu empresa. Incluye datos de clientes (nombre, email, teléfono, NIF), empleados (nóminas, control horario, evaluaciones), proveedores y cualquier dato que gestiones para terceros. Para cada categoría, identifica: quién accede, dónde se almacena, cuánto tiempo lo guardas y si sale fuera de la empresa. Este inventario es la base del Registro de Actividades de Tratamiento (RAT), que es obligatorio para empresas de más de 250 empleados —aunque se recomienda para todas.
Semana 3: Base legal — ¿con qué derecho tratas cada dato?
Cada tratamiento de datos necesita una base legal que lo justifique. Las más habituales en pymes son: ejecución de un contrato (datos de clientes con quienes tienes relación contractual), obligación legal (datos de empleados para nóminas o tributación), interés legítimo (estadísticas internas anónimas) y consentimiento explícito (boletines de noticias, cookies no esenciales). El consentimiento es la base más débil porque puede retirarse en cualquier momento; siempre que puedas, apóyate en otra base legal más sólida.
El consentimiento debe ser libre, informado, específico e inequívoco. Un checkbox pre-marcado no vale. Silencio no vale. Consentimiento bundled con otras condiciones no vale.
Semana 4: Derechos de los interesados — cómo atenderlos
Derecho de acceso
El interesado puede pedir qué datos tienes de él. Tienes 30 días para responder y la respuesta es gratuita.
Derecho de rectificación
Si los datos son inexactos o incompletos, el interesado puede pedir que los corrijas.
Derecho de supresión
El «derecho al olvido»: puede pedir que elimines sus datos cuando ya no son necesarios o retira el consentimiento.
Derecho de oposición
Puede oponerse al tratamiento de sus datos para marketing directo. En ese caso, debes parar de inmediato sin excepción.
Semana 5-6: Contratos con proveedores y política de privacidad
Todo proveedor que acceda a datos personales de tus clientes o empleados es un «encargado del tratamiento». Con cada uno debes firmar un Contrato de Encargo de Tratamiento (CET). Esto incluye tu gestoría, tu plataforma de email marketing, tu CRM, tu proveedor de hosting y cualquier herramienta SaaS que procese datos tuyos. Solicita el DPA (Data Processing Agreement) estándar de cada proveedor: los grandes (Google, Microsoft, HubSpot) lo tienen publicado y firmado digitalmente. Con los pequeños tendrás que redactarlo tú o usar la plantilla de la AEPD.
Semana 7-8: Web, email marketing y medidas de seguridad
Tu web necesita: política de privacidad accesible desde cualquier página, aviso legal, política de cookies con banner de consentimiento granular (no vale «aceptar todo» sin opción de rechazar), y formularios con checkbox de consentimiento desvinculado de la aceptación de términos. Para el email marketing, audita tu lista: borra contactos sin consentimiento documentado. Para las medidas técnicas: activa 2FA en todas las cuentas con acceso a datos, encripta documentos sensibles y establece una política de contraseñas. Documenta todo: si hay una inspección, la carga de la prueba recae sobre ti.
Checklist de cumplimiento mínimo RGPD
RAT elaborado y actualizado
Registro de Actividades de Tratamiento con todas las categorías de datos, bases legales y plazos de conservación.
Contratos con encargados firmados
DPA / CET firmado con todos los proveedores que acceden a datos personales.
Web y formularios correctos
Política de privacidad, aviso legal, banner de cookies granular y checkboxes de consentimiento en formularios.
Procedimiento de brechas
Protocolo documentado para detectar, gestionar y notificar una brecha de seguridad en menos de 72 horas.
¿Quieres que auditemos el estado de cumplimiento de tu empresa sin coste? Contacta con nuestro equipo .