Cumplimiento real del RGPD en empresas: los 5 errores más frecuentes y cómo corregirlos
ity del art. 5.2 exige que la empresa no solo cumpla, sino que pueda demostrar que cumple.
Cuando preguntamos a empresas si cumplen con el RGPD, la respuesta más habitual es «sí». En muchos casos es cierta… en parte. Tienen una política de privacidad en la web, firmaron algo con su gestoría hace unos años y quizás tienen un registro de actividades. Pero el cumplimiento real va bastante más allá de los documentos.
Qué significa cumplir el RGPD de verdad
El RGPD no regula documentos: regula tratamientos. Lo que importa no es si tienes archivada una política de privacidad, sino si las personas cuyos datos tratas están correctamente informadas, si los sistemas técnicos minimizan los riesgos y si existen procedimientos reales para gestionar solicitudes de derechos, brechas de seguridad o relaciones con proveedores.
El principio de accountability (art. 5.2 RGPD)
El artículo 5.2 del RGPD establece el principio de responsabilidad proactiva: el responsable del tratamiento no solo debe cumplir con los principios del RGPD, sino que debe ser capaz de demostrar que los cumple.
Los 5 errores más frecuentes
Error 1 — Consentimientos mal recabados (art. 7 RGPD)
El art. 7 del RGPD y las Directrices 05/2020 del CEPD exigen que el consentimiento sea libre, específico, informado e inequívoco. Las casillas premarcadas y los consentimientos globales no cumplen estos requisitos.
Error 2 — Empleados sin información adecuada (art. 13 RGPD)
El art. 13 del RGPD obliga a informar a los interesados —incluidos los empleados— sobre las fin
alidades del tratamiento, la base jurídica, los plazos de conservación y sus derechos. El contrato de trabajo no es suficiente. La Guía para el cumplimiento del deber de informar de la AEPD proporciona los modelos aplicables.
Error 3 — Contratos con proveedores incompletos (art. 28 RGPD)
Cualquier proveedor que acceda a datos personales (gestoría, software en la nube, informático) actúa como encargado del tratamiento y debe tener firmado un contrato conforme al art. 28 del RGPD. Las Directrices 07/2020 del CEPD especifican el contenido mínimo.
Error 4 — Registro de actividades desactualizado (art. 30 RGPD)
El art. 30 del RGPD obliga a mantener un registro que refleje la realidad operativa: qué datos se tratan, con qué finalidad, durante cuánto tiempo y quién tiene acceso. Un registro genérico creado hace años sin actualizar no cumple.
Error 5 — Sin protocolo ante brechas de seguridad (art. 33 RGPD)
El art. 33 del RGPD obliga a notificar a la AEPD cualquier brecha en un plazo máximo de 72 horas. Sin un protocolo previo es imposible cumplirlo. La Guía de gestión y notificac
ión de brechas de la AEPD es el marco de referencia.
Señales de que tu empresa puede tener una brecha de cumplimiento
- Los empleados no saben qué hacer cuando un cliente solicita el derecho de acceso o supresión de sus datos.
- Los formularios de contacto de la web no han sido revisados por nadie con conocimiento de protección de datos.
- Se usan herramientas en la nube (Google Drive, SaaS) sin verificar si están sujetas a un contrato de encargo.
- La persona responsable de gestionar una reclamación de privacidad no conoce los plazos legales de respuesta.
📚 Curso de Iniciación a la Protección de Datos
- Duración: 40 horas, 100% online
- Contenido: RGPD y LOPDGDD · obligaciones · derechos · gestión de riesgos · brechas · contratos de encargo
- Prerrequisitos: Sin conocimientos técnicos ni jurídicos previos
- Bonificación: Bonificable a través de FUNDAE — puede ser gratuito para la empresa
📋 Marco normativo de referencia
- RGPD (arts. 5.2, 7, 13, 28, 30 y 33) — eur-lex.europa.eu
- CEPD — Directrices 05/2020 sobre el consentimiento — edpb.europa.eu
- CEPD — Directrices 07/2020 sobre responsable y encargado — edpb.europa.eu
- AEPD — Guía deber de informar — aepd.es
- AEPD — Guía gestión y notificación de brechas — aepd.es
- AEPD — Herramienta Facilita para pymes — aepd.es/herramientas/facilita
Preguntas frecuentes
¿Tener una política de privacidad en la web es suficiente para cumplir el RGPD?
No. La política de privacidad es un requisito de transparencia, pero no es el cumplimiento en sí. Cumplir el RGPD implica tener base jurídica para cada tratamiento, informar a los afectados, mantener contratos con encargados y tener un protocolo ante brechas de seguridad.
¿Qué es una casilla premarcada y por qué no es válida?
Una casilla premarcada aparece ya seleccionada en un formulario. El art. 7 del RGPD y las Directrices 05/2020 del CEPD establecen que el consentimiento debe ser una acción afirmativa clara: el silencio y las casillas premarcadas no son formas válidas.
¿Qué proveedores necesitan un contrato de encargo del tratamiento?
Cualquier proveedor que acceda o procese datos personales de la empresa: gestoría, asesoría laboral, proveedor de software en la nube (CRM, ERP, correo), empresa de informática, servicios de analítica web, plataformas de email marketing.
¿Cada cuánto tiempo hay que actualizar el registro de actividades?
No hay un plazo fijo, pero el registro debe reflejar en todo momento la realidad de los tratamientos. Cualquier cambio relevante —un nuevo software, un nuevo proveedor, una nueva finalidad— debe actualizarse. La práctica recomendada es una revisión anual.
¿Quieres saber en qué punto real está tu empresa?
Podemos hacer ese diagnóstico contigo. Sin tecnicismos, sin alarmas innecesarias. Contacta con nuestro equipo o visita formacion.datagestion.net.
