RGPD y LOPDGDD: guía práctica para empresas en España
Todo lo que tu empresa necesita saber sobre el cumplimiento del RGPD y la LOPDGDD en España. Obligaciones, sanciones de la AEPD, DPO y herramientas como Facilita.
RGPD y LOPDGDD: guía práctica para empresas en España
Si tienes una empresa en España — o si trabajas con datos de residentes españoles — el cumplimiento del RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales) no es opcional. Y en 2025, la AEPD (Agencia Española de Protección de Datos) está apretando más que nunca, especialmente en materia de IA, cookies y transferencias internacionales.
Esta guía resume las obligaciones clave, las sanciones que te arriesgas y las herramientas que tienes a tu disposición.
¿Qué relación tienen el RGPD y la LOPDGDD?
El RGPD es la normativa europea de aplicación directa en todos los estados miembros. La LOPDGDD es la ley orgánica española que lo complementa y adapta al contexto nacional.
| Aspecto | RGPD (UE) | LOPDGDD (España) |
|---|---|---|
| Ámbito | Toda la UE | España |
| Naturaleza | Reglamento europeo | Ley orgánica nacional |
| Sanción máxima | 20M EUR o 4% facturación global | Misma que RGPD |
| Autoridad | DPA de cada país | AEPD |
Las 6 obligaciones que toda empresa debe cumplir
1. Consentimiento
El consentimiento debe ser libre, específico, informado e inequívoco. Las casillas premarcadas no valen. Y retirar el consentimiento tiene que ser tan fácil como darlo.
2. Delegado de Protección de Datos (DPO)
La LOPDGDD amplía los supuestos en los que el DPO es obligatorio:
- Organismos públicos
- Centros sanitarios, educativos y financieros
- Empresas que traten datos a gran escala de forma habitual y sistemática
- Aseguradoras y operadoras de telecomunicaciones
3. Registro de actividades de tratamiento
Aunque tu empresa tenga menos de 50 empleados, necesitas un registro si tratas datos sensibles o lo haces de forma regular.
4. Notificación de brechas de seguridad
En caso de brecha, tienes 72 horas para notificarlo a la AEPD. Si supone un alto riesgo para los afectados, también debes avisarles a ellos directamente.
5. Evaluación de Impacto (EIPD)
Antes de iniciar tratamientos de alto riesgo — perfilado, videovigilancia masiva, tratamiento de datos sensibles — hay que hacer una Evaluación de Impacto en la Protección de Datos.
6. Derechos digitales
La LOPDGDD incluye derechos que el RGPD no contempla explícitamente:
- Derecho a la desconexión digital en el trabajo
- Regulación de la videovigilancia laboral
- Protección reforzada de datos de menores
¿Qué está sancionando la AEPD en 2025?
La AEPD ha puesto el foco en:
- IA y decisiones automatizadas: Exige transparencia en perfilado y tratamientos automatizados
- Cookies y rastreadores: Inspecciona si los banners de cookies ofrecen un consentimiento real
- Transferencias internacionales: Verifica que existan garantías adecuadas para enviar datos fuera de la UE
Facilita RGPD: la herramienta gratuita de la AEPD
Para pymes y autónomos con tratamientos de bajo riesgo, la AEPD ofrece Facilita RGPD, una herramienta online gratuita que genera documentación básica de cumplimiento. Contestas unas preguntas sencillas y obtienes los documentos mínimos. No sustituye una auditoría completa, pero es un buen punto de partida.
Compartir documentación de cumplimiento de forma segura
Durante el proceso de adecuación al RGPD, es necesario compartir documentos internos sensibles: evaluaciones de impacto, registros de actividades, planes de respuesta ante brechas, datos del DPO…
Enviar estos documentos por correo electrónico sin protección o por WhatsApp crea riesgos adicionales. Con LOCK.PUB puedes compartir esta documentación a través de enlaces protegidos con contraseña y con fecha de caducidad, evitando que información sensible quede expuesta en bandejas de entrada o chats grupales.
Cuadro de sanciones
| Nivel de infracción | Sanción máxima |
|---|---|
| Leve | 40.000 EUR |
| Grave | 300.000 EUR |
| Muy grave | 20M EUR o 4% de la facturación anual global |
Checklist de cumplimiento
- ¿Has documentado la finalidad y la base jurídica de cada tratamiento?
- ¿Obtienes un consentimiento válido?
- ¿Has verificado si necesitas un DPO?
- ¿Mantienes un registro de actividades de tratamiento?
- ¿Tienes un protocolo de notificación de brechas?
- ¿Has realizado evaluaciones de impacto para tratamientos de alto riesgo?
El cumplimiento normativo en España no es una opción — es una obligación con consecuencias económicas serias. Usa este checklist como punto de partida, y herramientas como LOCK.PUB para gestionar y compartir la documentación de cumplimiento de forma segura.
Palabras clave
También te puede interesar
Guía RGPD (GDPR) para empresas en Francia: todo lo que necesitas saber
Multas de hasta 20 millones de euros o el 4% de la facturación. Guía práctica del RGPD para empresas que operan en Francia: consentimiento, DPO, registro de tratamientos, notificación en 72 horas y DPIA.
Planificación del legado digital: cómo organizar tus activos digitales para tu familia
Cuentas bancarias online, redes sociales, criptomonedas, suscripciones... Si te pasa algo, ¿tu familia podrá acceder a todo?
Enterradores Digitales en Corea: La Industria que Borra tu Pasado Online
Descubre la industria de enterradores digitales de Corea — profesionales que eliminan contenido no deseado de internet.
Crea tu enlace protegido con contraseña ahora
Crea enlaces protegidos, notas secretas y chats cifrados de forma gratuita.
Comenzar Gratis