¿Puedo usar ChatGPT con datos de mis clientes?

Sí, con cuidado. Versión ChatGPT Team o Enterprise no entrena con tus datos por defecto, política tratamiento más controlable. Versión gratuita o Plus personal: cuidado con datos sensibles. Documentar evaluación impacto. Política IA interna que defina qué se puede meter en LLMs. Ver GDPR LLMs configurar bien .

¿Cómo gestiono una solicitud de derecho de supresión?

Plazo 1 mes (ampliable 2 más justificando). Pasos: identificar al solicitante (no entregar datos a impostor), localizar todos los datos en sistemas (CRM, ERP, email marketing, soporte), suprimir o anonimizar, conservar lo que ley exige (factura 6 años, contrato 5 años, etc.), comunicar al interesado lo hecho. Documentar todo.

¿Si uso Mailchimp/HubSpot/Salesforce qué tengo que hacer?

Firmar Data Processing Addendum (DPA) que ofrecen estandarizado. Verificar adhesión Data Privacy Framework para transferencias UE-USA. Incluir el SaaS en tu Registro Actividades como encargado tratamiento. Política privacidad mencionar transferencias internacionales.

¿Tengo que pedir consentimiento para mandar newsletter a clientes existentes?

No si: la newsletter es sobre productos/servicios similares a los que ya contrataron, opt-out fácil en cada email, no haya manifestado oposición previa. Es el "marketing a clientes existentes" del 21.2 LSSI. Para destinatarios nuevos sin relación previa: consentimiento previo expreso (B2C) o interés legítimo (B2B con criterios).

¿Cuándo necesito hacer evaluación impacto (DPIA)?

Cuando el tratamiento implica alto riesgo: scoring automatizado, vigilancia sistemática, datos sensibles a gran escala, IA con decisiones automatizadas, biometría, datos menores, geolocalización. AEPD publica lista orientativa. En duda: hacerla. DPIA bien hecha es defensa primera en inspección.

¿Qué pasa con datos de exempleados?

Conservar 4-5 años (prescripción acciones laborales) en archivo bloqueado, no acceso uso normal. Pasado ese plazo: borrar todo salvo lo que ley exige más tiempo (contratos seguridad social, ciertos documentos hacienda). Política conservación documentada en RAT y a disposición de inspección.

¿Y los datos en backups que no se pueden borrar fácilmente?

Política backups documentada. Cuando ejercitan derecho supresión: borrar de sistemas productivos y dejar nota en backup. Cuando rota backup (suele ser 6-12 meses), datos se eliminan también. Comunicar al interesado este enfoque es admisible si está bien documentado.

¿Cuánto cuesta poner RGPD en orden en pyme?

Para pyme estándar (sin uso especial datos sensibles): 2.000-6.000€ diagnóstico + documentación + procedimientos. Para pyme con tratamientos complejos (IA, vigilancia, datos sensibles): 8K-25K. Soporte continuo (revisión anual, soporte ARSULIPO, brechas): 150-600€/mes según volumen. Manejable.

¿AEPD avisa antes de sancionar?

No siempre. Puede haber requerimiento previo, pero también puede haber procedimiento sancionador directo si la infracción es clara y grave. Mejor cumplir antes que esperar inspección. Las sanciones publicadas en AEPD son ejemplo público para otras pymes.

Regulatorio · RGPD 2026

RGPD pyme 2026: práctico, sin teoría innecesaria.

Lo que una pyme tiene que cumplir en 2026: registro tratamientos, base legal, derechos ARSULIPO, gestión brechas, transferencias internacionales y el solapamiento con AI Act. Aplicable mañana mismo.

Hablar con un consultor

Actualizado mayo 2026

Por dónde empezar

RGPD no es burocracia: es protección legal de la empresa.

El RGPD y la LOPDGDD son el marco legal de tratamiento de datos personales en España. Mucha pyme lo vive como burocracia o teatro. La realidad: cumplir bien protege de multas (10-20M€ o 4% facturación), pero sobre todo protege del cliente que reclama, del competidor que denuncia y del exempleado que se va con datos.

La AEPD en España es una de las autoridades europeas más activas. En 2024-2025 ha sancionado a centenares de pymes por: registro de tratamientos inexistente o desactualizado, brechas no notificadas, base legal incorrecta (sobre todo cookies y marketing), gestión deficiente derechos de los interesados, contratos encargado tratamiento ausentes.

En 2026 el RGPD se solapa cada vez más con el AI Act (datos personales tratados por IA), el Data Act (datos no personales y compartición), y la NIS2 (ciberseguridad). La pyme con compliance básico bien hecho está cubierta para casi todo. Ver también AI Act por sector y GDPR LLMs.

Lo no negociable

Las cuatro obligaciones que toda pyme tiene que cumplir

Registro de actividades de tratamiento

Documento interno con todos los tratamientos: empleados, clientes, proveedores, candidatos, marketing, web. Por cada uno: finalidad, base legal, categorías datos, plazo conservación, destinatarios. Sin esto, presunción de incumplimiento.

Base legal documentada

Cada tratamiento bajo una de las 6 bases legales RGPD: consentimiento, contrato, obligación legal, interés vital, misión interés público, interés legítimo. Marketing necesita consentimiento o interés legítimo justificado.

Política privacidad accesible y completa

Política privacidad en web actualizada con: identidad responsable, finalidades, bases legales, plazo conservación, destinatarios, transferencias internacionales, derechos del interesado. Vínculo desde formularios. Sin esto, base legal cae.

Gestión derechos ARSULIPO en plazo

Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición. Plazo 1 mes (ampliable 2 más si complejidad justificada). Procedimiento interno claro. No responder o responder mal genera sanción casi automática si reclaman.

Casos típicos

Lo que sí complica en RGPD de pyme.

1. Marketing y cold email B2B. Base legal: interés legítimo si destinatario en rol profesional + oferta relevante + opt-out fácil. Marketing a particulares: consentimiento previo expreso. Mezclar criterios es la mayor causa de sanción AEPD en marketing. Ver cold mailing B2B legal.

2. Cookies y tracking web. Política cookies actualizada, banner cookies con opciones reales (no solo "aceptar todo"), bloqueo cookies analítica/marketing antes de consentimiento. Plausible/Fathom resuelven la analítica sin cookies. AEPD muy activa sancionando aquí.

3. Transferencias internacionales (USA). Usar Google Analytics, HubSpot, ChatGPT, Salesforce implica transferencia datos UE-USA. Base legal: DPF (Data Privacy Framework, 2023) si proveedor adherido + cláusulas contractuales tipo. Documentar evaluación impacto si datos sensibles.

4. Encargados tratamiento (proveedores SaaS). Contrato encargado tratamiento (28 RGPD) con cada SaaS que trata datos por ti: CRM, email marketing, atención cliente, ERP, RRHH. Casi todos lo tienen estandarizado. Pyme que no los firma se expone.

5. Brechas de seguridad. Si tienes brecha (ataque ransomware, fuga datos, error humano que filtra), tienes 72 horas para notificar AEPD (si riesgo). Si afecta a interesados con riesgo alto, también notificarles. No notificar bien es agravante en sanción posterior. Ver consultoría IA pymes.

Plan 90 días pyme

Cómo poner RGPD en orden si lo tienes flojo

Semana 1-2 · Auditoría inicial

Inventario tratamientos actuales (clientes, empleados, marketing, web, RRHH, proveedores). Estado registro actividades, política privacidad, cookies, contratos encargado. Identificar gaps críticos.

Semana 3-4 · Registro actividades actualizado

Documento Registro de Actividades de Tratamiento (RAT) por cada tratamiento. Plantilla AEPD si pyme estándar. Asignar base legal coherente con uso real.

Semana 5-6 · Política privacidad, cookies, contratos

Política privacidad reescrita y publicada. Banner cookies bien configurado con preferencias reales. Solicitar contratos encargado tratamiento a SaaS sin firmar. Actualizar avisos legales web.

Semana 7-9 · Procedimientos internos

Procedimiento ARSULIPO documentado y operativo (cómo se recibe solicitud, quién responde, plazo, formato). Procedimiento brechas (detección, notificación 72h, comunicación afectados). Formación equipo.

Semana 10-12 · DPIA y residuos

Evaluación impacto (DPIA) en tratamientos de alto riesgo (IA, vigilancia, scoring). Revisión cuentas SaaS proveedores con datos personales. Política conservación y borrado documentada.

Errores típicos

Lo que más sanciona AEPD a pymes

Registro de actividades inexistente o desactualizado

Pyme con RAT de hace 5 años o sin él. Cuando inspecciona AEPD, pide RAT en 24h. Si no existe o no refleja realidad: sanción casi automática.

Banner cookies que no permite rechazar

Banner con "aceptar todo" como única opción real (el "rechazar" requiere 4 clics). Hasta 2026 AEPD multa esto cada vez más. Cookiebot, Iubenda, Onetrust resuelven con compliance real.

Cold email B2C disfrazado de B2B

Email a autónomo o profesional liberal en su rol personal sin consentimiento previo. Si la oferta no es claramente B2B profesional, no vale interés legítimo. Sanción típica 6K-50K.

Brecha sin notificar en plazo

Ataque ransomware o fuga datos no notificada AEPD en 72h. Cuando AEPD se entera por otra vía (denuncia, prensa, autoridad), el incumplimiento de notificación agrava la sanción del incidente original.

Contratos encargado no firmados

Pyme con 12 SaaS que tratan datos clientes y ningún contrato encargado firmado. Cuando inspecciona AEPD, pide contratos. La mayoría SaaS los tiene digital, pero si no firmaste, no estás cubierto.

20M€

Multa máxima RGPD

O facturación global anual

72h

Plazo notificación brecha AEPD

1 mes

Plazo respuesta derecho RGPD

Preguntas frecuentes

Dudas que nos hacéis llegar

Obligatorio si: autoridad pública, tratamiento sistemático a gran escala de categorías especiales (salud, biometría), observación sistemática a gran escala. Pyme estándar (clientes B2B, empleados, web sin uso especial) no requiere DPO formal. Asesoramiento puntual es suficiente.

RGPD pyme

¿Tienes el RGPD en orden o llevas años con la documentación a medias?

Diagnóstico + plan compliance realista pyme + soporte continuo. Sin teoría, sin papelorio inútil. Lo que realmente protege a tu empresa.

Pedir propuesta Contactar →

RGPD pyme 2026: práctico, sin teoría innecesaria.

RGPD no es burocracia: es protección legal de la empresa.

Las cuatro obligaciones que toda pyme tiene que cumplir

Registro de actividades de tratamiento

Base legal documentada

Política privacidad accesible y completa

Gestión derechos ARSULIPO en plazo

Lo que sí complica en RGPD de pyme.

Cómo poner RGPD en orden si lo tienes flojo

Semana 1-2 · Auditoría inicial

Semana 3-4 · Registro actividades actualizado

Semana 5-6 · Política privacidad, cookies, contratos

Semana 7-9 · Procedimientos internos

Semana 10-12 · DPIA y residuos

Lo que más sanciona AEPD a pymes

Registro de actividades inexistente o desactualizado

Banner cookies que no permite rechazar

Cold email B2C disfrazado de B2B

Brecha sin notificar en plazo

Contratos encargado no firmados

Dudas que nos hacéis llegar

¿Tienes el RGPD en orden o llevas años con la documentación a medias?

IA por sector (51)

Generación de leads por ciudad (49)

Automatización IA por ciudad (13)

Google Ads por ciudad (18)

CRO web por ciudad (7)

Consultoría IA por ciudad (10)

Sector + servicio (52)

Guías largas (15)

Guías escritas por consultores en activo

IA, agentes y automatización (19)

Generación de leads y outbound (14)

Web, ads y SEO (14)

Kit Consulting (5)

Por sector (15)

Términos de IA, ventas y marketing B2B

Herramientas y alternativas