Compliance
RGPD para empresas: cinco obligaciones que no puedes ignorar en 2026
Francisco José Pastor Abellán · 15 jun 2026
El Reglamento General de Protección de Datos lleva en vigor desde mayo de 2018, pero la Agencia Española de Protección de Datos mantiene un ritmo creciente de inspecciones y sanciones. En 2025 se superaron los 800 procedimientos sancionadores, con una cuantía media de sanción que se incrementó un 34% respecto al año anterior.
La mayoría de esas sanciones no derivaron de ataques informáticos ni de filtraciones masivas de datos, sino de incumplimientos documentales que una auditoría preventiva habría identificado. Estas son las cinco obligaciones que con mayor frecuencia presentan brechas en las pymes españolas.
El Registro de Actividades de Tratamiento
El artículo 30 del RGPD obliga a mantener un registro escrito de todas las actividades de tratamiento de datos personales que realiza la organización. No es un formulario que se cumplimenta una vez: debe actualizarse cada vez que se incorpora una nueva herramienta, se cambia de proveedor o se inicia un tratamiento con una finalidad diferente.
El registro debe identificar la finalidad de cada tratamiento, la base jurídica que lo legitima, las categorías de datos tratados, los destinatarios y los plazos de conservación. Su ausencia o desactualización es una de las infracciones más detectadas en inspecciones de la AEPD.
La base jurídica del tratamiento
Tratar datos personales requiere una base jurídica válida conforme al artículo 6 del RGPD. El consentimiento es solo una de las seis posibles, y no siempre la más adecuada. El contrato, el interés legítimo y el cumplimiento de una obligación legal son bases jurídicas que en muchos casos fundamentan el tratamiento de forma más sólida y sin las limitaciones que impone el consentimiento revocable.
Un error frecuente es invocar el consentimiento como base jurídica para tratamientos que en realidad son necesarios para la ejecución de un contrato. Esto genera una obligación de solicitar consentimiento que, si se revoca, obliga a cesar el tratamiento aunque sea imprescindible para prestar el servicio.
Los contratos con encargados del tratamiento
Cuando una empresa cede datos personales a un tercero que los trata por su cuenta —un proveedor de software, una gestoría, una empresa de marketing o un servicio de cloud—, el artículo 28 del RGPD exige formalizar un contrato de encargo del tratamiento con cláusulas específicas sobre seguridad, subcontratación, devolución o destrucción de datos y obligaciones ante brechas de seguridad.
La ausencia de estos contratos con proveedores es una de las brechas más frecuentes y menos visibles. Muchas empresas desconocen que son responsables de los tratamientos que realizan sus proveedores sobre datos de sus clientes.
La gestión de brechas de seguridad
El artículo 33 del RGPD obliga a notificar a la AEPD cualquier brecha de seguridad que afecte a datos personales en un plazo máximo de 72 horas desde que se tiene constancia de ella. Si la brecha entraña un alto riesgo para los derechos de los afectados, también debe notificarse a estos directamente.
La mayoría de las empresas no tiene un protocolo de respuesta ante incidentes que permita detectar, evaluar y notificar en ese plazo. La ausencia de procedimiento —no solo el incidente en sí— es sancionable.
La política de cookies
El artículo 22.2 de la LSSI exige consentimiento informado para el uso de cookies no técnicas. Los requisitos del consentimiento son los del RGPD: libre, específico, informado e inequívoco. Esto excluye los banners que no ofrecen una opción de rechazo igual de accesible que la de aceptación.
Las directrices de la AEPD de 2023 y la jurisprudencia del TJUE han endurecido los requisitos: el scroll o la navegación no equivalen a consentimiento, y los colores o el diseño que dificulten el rechazo constituyen patrones oscuros sancionables.
Una auditoría de cumplimiento RGPD que revise estos cinco elementos proporciona una fotografía precisa de la exposición real al riesgo sancionador y permite priorizar las medidas correctoras con criterio jurídico.
FJ
Escrito por Francisco José Pastor Abellán
Abogado colegiado · ICAMUR nº 8138