Desde 2018, el RGPD hace temblar a las PYMES. Historias sobre multas de 20 millones de euros circulan y paralizan a los pequeños empresarios que se dicen "estoy perdido, no soy conforme".
La realidad es más simple. La CNIL nunca ha sancionado a una PYME que hace un esfuerzo razonable de conformidad. Se ataca a los gigantes de la web, a las empresas que venden datos personales, a los reincidentes. No al fontanero que tiene un fichero Excel de clientes.
Esto no le exime de hacer su parte. Pero el nivel de esfuerzo es ampliamente manejable.
Las 5 acciones que cubren el 80% de sus obligaciones
Acción 1: el registro de tratamientos (la base)
Es el documento central del RGPD. Lista los datos personales que recopila, por qué, y cuánto tiempo los conserva.
Para una PYME típica, cabe en una página:
| Tratamiento | Datos recopilados | Finalidad | Duración de conservación |
|---|---|---|---|
| Fichero de clientes | Nombre, email, teléfono, dirección | Gestión comercial | 3 años después del último contacto |
| Contabilidad | Nombre, dirección, n° factura | Obligación legal | 10 años |
| Nómina (si empleados) | Estado civil, n° Seguridad Social, IBAN | Gestión de salarios | 5 años después de la salida |
| Sitio web | Cookies, IP, formulario de contacto | Marketing, analytics | 13 meses (cookies), 3 años (formulario) |
| Boletín informativo | Comunicación | Hasta la desuscripción |
La CNIL propone un modelo gratuito en su sitio. Rellénelo en 30 minutos y actualícelo una vez al año.
Acción 2: la información de las personas
Debe informar a las personas cuyas datos recopila. En la práctica:
-
En su sitio web: una página "Política de privacidad" (o "Protección de datos") accesible desde el pie de página. Describa en lenguaje simple qué datos recopila, por qué, cuánto tiempo los conserva y cómo ejercer sus derechos.
-
En sus formularios: una frase bajo cada formulario de contacto: "Los datos recopilados se utilizan para responder a su solicitud. Puede ejercer sus derechos contactándonos a [email]. Vea nuestra política de privacidad."
-
Para sus empleados: un documento entregado al contratarse que lista los datos recopilados en el marco de la relación laboral.
Acción 3: la gestión de cookies
Si su sitio utiliza cookies de medición de audiencia (Google Analytics, Matomo) o publicidad, debe obtener el consentimiento explícito del visitante ANTES de depositar estas cookies.
La acción: instale un banner de cookies conforme. Las soluciones gratuitas como Tarteaucitron.js o Cookiebot (gratuito hasta 100 páginas) hacen el trabajo.
Excepción: los cookies estrictamente necesarios para el funcionamiento del sitio (autenticación, carrito de compras) no requieren consentimiento.
Alternativa: utilice Matomo en configuración "exento de consentimiento" (declaración CNIL). Conserva sus analytics sin banner de cookies.
Acción 4: la seguridad de los datos
El RGPD impone proteger los datos personales con "medidas técnicas y organizativas apropiadas". Para una PYME, esto significa:
- Contraseñas robustas y únicas (consulte el artículo de ciberseguridad)
- Parches de seguridad aplicados
- Copias de seguridad regulares
- Acceso restringido a los datos (no todo el mundo accede a todo)
- Cifrado de ordenadores portátiles
No es ni más ni menos que las buenas prácticas de ciberseguridad que debería aplicar de todas formas.
Acción 5: la gestión de los derechos de las personas
El RGPD otorga a las personas derechos sobre sus datos: acceso, rectificación, supresión, portabilidad. En la práctica, las PYMES reciben muy pocas solicitudes de este tipo.
La acción: designe un interlocutor (usted mismo o un colaborador) y una dirección de correo electrónico de contacto (tipo datos@suempresa.es). Cuando llegue una solicitud, responda en el plazo de un mes. Eso es todo.
Lo que puede esperar
El DPO (delegado de protección de datos) — obligatorio únicamente para empresas que tratan datos a gran escala o datos sensibles. Una PYME de 5 personas no necesita DPO.
El análisis de impacto (AIPD) — obligatorio únicamente para tratamientos de riesgo elevado (videovigilancia a gran escala, perfilado sistemático, datos de salud). El fichero de clientes de su carpintería no es un tratamiento de riesgo elevado.
La certificación RGPD — ninguna certificación es obligatoria. Las empresas que le venden "certificaciones RGPD" explotan el miedo. La conformidad es un proceso continuo, no una etiqueta.
En caso de violación de datos
Si datos personales se filtran (piratería, pérdida de llave USB, email enviado al destinatario equivocado), tiene 72 horas para notificar a la CNIL si la violación presenta un riesgo para las personas.
El formulario de notificación está en línea en el sitio de la CNIL. Rellénelo con honestidad: qué sucedió, cuántas personas se ven afectadas, qué medidas ha tomado.
La CNIL es más indulgente con una empresa que notifica rápidamente que con una empresa que oculta el incidente.
El RGPD no es un monstruo burocrático para las PYMES. Es un marco de sentido común: proteja los datos de sus clientes como le gustaría que protegieran los suyos.