¿Cuánto puede multar la AEPD a una pyme?

Las sanciones RGPD pueden llegar a 20 millones de euros o el 4% de la facturación anual mundial (lo que sea mayor). En la práctica, multas a pymes españolas oscilan entre 1.000 € y 60.000 € en la mayoría de casos. La AEPD considera tamaño de empresa, gravedad, intencionalidad y colaboración para fijar el importe.

¿Necesito un DPO (Delegado de Protección de Datos)?

Solo es obligatorio si: eres administración pública, tu actividad principal requiere observación sistemática a gran escala (publicidad targeted, vigilancia), o tratas datos de categorías especiales (salud, religión, biometría) a gran escala. La mayoría de pymes no necesitan DPO obligatorio , pero designar un responsable interno de privacidad siempre es recomendable.

¿Qué es una brecha de seguridad y cuándo notificarla?

Cualquier incidente que afecte a la confidencialidad, integridad o disponibilidad de datos personales: hackeo, ransomware, email enviado al destinatario equivocado, portátil robado con BBDD. Si supone riesgo para los afectados , hay que notificar a la AEPD en 72 horas desde detección. Si el riesgo es alto, también a los afectados.

¿Puedo enviar emails comerciales B2B sin consentimiento?

Depende. La LSSI permite envíos a empresas (b2b puro a email de empresa, no de persona física identificada como info@) sin consentimiento previo, pero con interés relacionado y opción de baja clara. A direcciones nominales (juan.perez@empresa.com) la AEPD interpreta cada vez más como dato personal: mejor consentimiento o interés legítimo bien documentado.

¿Tengo que pedir DPA a Google, Meta, HubSpot?

Sí, todos los grandes proveedores tienen DPA online: Google (en consola Workspace o Ads), Meta (Business Manager), HubSpot, Mailchimp, AWS, Stripe. Hay que aceptar/firmar y archivar . Sin DPA firmado, en caso de brecha del proveedor tu pyme también responde por no haber documentado el encargo.

¿Qué herramienta de gestión de cookies usar?

Para pymes españolas: Cookiebot , Iubenda , Didomi (más enterprise) son las más usadas y reconocidas por AEPD. Coste entre 10-100 €/mes según volumen. Soluciones gratis (cookie-consent.js casero) son válidas legalmente si están bien implementadas, pero el mantenimiento recae en tu desarrollador.

¿Cuánto cuesta poner una pyme al día de RGPD?

Para una pyme estándar (web, CRM, newsletter, 5-50 empleados): entre 1.500 € y 6.000 € de implantación inicial (documentación legal + implementación técnica + formación) + 30-100 €/mes recurrente (herramienta de cookies + revisión anual). Bien hecho una vez, el mantenimiento es bajo.

Glosario · Regulación

¿Qué es el RGPD para pymes y qué tienes que hacer si tienes web, CRM o newsletter?

Q: ¿Una pyme pequeña tiene que cumplir el RGPD?

Sí. No hay umbral mínimo . Una pyme de 3 personas con web y CRM está sujeta al RGPD igual que una multinacional. Lo que cambia son obligaciones específicas: DPO obligatorio o evaluaciones de impacto solo aplican en ciertos casos (>250 empleados, datos sensibles a gran escala, monitorización sistemática).

Reglamento General de Protección de Datos aplicado al día a día de una pyme española en 2026. Sin teoría legalista: lo mínimo viable y lo que se sanciona.

Auditoría RGPD para tu web

Actualizado mayo 2026

Definición

RGPD: el reglamento europeo que regula cómo tratas datos personales.

El RGPD (Reglamento General de Protección de Datos, Reglamento UE 2016/679) es la norma europea que regula cómo cualquier organización trata datos personales de personas físicas en la UE. En España se complementa con la LOPDGDD (Ley Orgánica 3/2018). Se aplica a cualquier empresa que recoja, almacene o procese datos personales — desde un email de contacto a una IP en un log — independientemente del tamaño.

Una pyme española está obligada al RGPD desde el momento en que tiene web con formulario, CRM, newsletter, nómina, lista de clientes en Excel o cámaras de seguridad. No hay umbral mínimo de facturación o empleados. Lo que cambia con el tamaño son obligaciones específicas: nombrar un DPO obligatorio (delegado de protección de datos), evaluaciones de impacto o registros formales de actividades de tratamiento.

Los principios básicos del RGPD son seis: licitud (necesitas base legal para tratar el dato), minimización (recoge solo lo necesario), limitación de finalidad (no reutilices para otra cosa), exactitud (mantén el dato correcto), limitación del plazo (no guardes indefinidamente) y integridad y confidencialidad (protege el dato). Toda decisión sobre datos personales debe poder justificarse con estos principios.

En la práctica diaria de una pyme, RGPD significa: política de privacidad clara en la web, banner de cookies con consentimiento real, contratos de encargado de tratamiento con cada proveedor que vea datos (Google, Mailchimp, HubSpot — ver DPA), registro de actividades de tratamiento, medidas de seguridad razonables y procedimiento para responder a derechos (acceso, rectificación, supresión).

Mínimo viable

Seis obligaciones que toda pyme con web debe cumplir

Lo que la AEPD revisa primero si entra una denuncia o inspección.

Política de privacidad clara y accesible

Texto en la web (no enterrado) que explique quién trata los datos, finalidad, base legal, plazos de conservación, derechos del usuario y cómo ejercerlos. Sin esto, sanción casi automática.

Banner de cookies con consentimiento real

Botones "Aceptar", "Rechazar" y "Configurar" con igual peso visual. Cookies no esenciales NO se cargan hasta que el usuario acepta. AEPD multa con miles de euros patrones oscuros (botón rechazar oculto o gris).

Base legal documentada para cada tratamiento

Para newsletter comercial: consentimiento expreso. Para emails a clientes: ejecución de contrato o interés legítimo (con análisis). Para cookies de marketing: consentimiento. Cada tratamiento necesita su base.

DPA con cada proveedor que vea datos

Hubspot, Mailchimp, Google Analytics, Stripe, AWS. Cada uno debe tener firmado un acuerdo de encargado de tratamiento (DPA). Casi todos lo ofrecen online en su panel — hay que descargarlo y archivarlo.

Registro de actividades de tratamiento (RAT)

Documento interno (Excel sirve) con todos los tratamientos: nóminas, clientes, leads, newsletter, cámaras. Finalidad, base legal, categorías de datos, plazo, destinatarios. La AEPD lo pide en inspección.

Procedimiento para derechos ARSULIPO

Acceso, Rectificación, Supresión, Limitación, Portabilidad, Oposición. Email a privacidad@empresa.com debe responderse en 30 días. Tener procedimiento escrito de cómo se gestiona. Plantilla y log de solicitudes.

Sanciones reales

Lo que la AEPD ha multado a pymes españolas en 2024-2026

Casos reales publicados en resoluciones AEPD. No teoría.

Cookies sin consentimiento válido

Multas de 2.000 a 30.000 € por cargar Google Analytics, Meta Pixel o Hotjar antes del consentimiento, o por banner que dificulta rechazar. Caso típico en pymes 2024-2026.

Email marketing sin opt-in

Sancionado entre 5.000 y 60.000 € comprar bases de datos B2C o enviar newsletters a contactos sin consentimiento previo verificable. Excepción acotada: clientes propios con servicios similares.

Brecha de seguridad sin notificar

No notificar a la AEPD en 72h una brecha (filtración de BBDD, ransomware, email mal enviado con datos): agravante mayor en la multa. Hay que tener procedimiento de brecha listo.

No responder solicitudes de derechos

Usuario pide acceso o supresión y no se responde en 30 días: denuncia y sanción casi automática (3.000-20.000 €). La AEPD da más importancia a ignorar al usuario que a errores menores.

Falta de DPA con encargados

No tener contrato firmado con Mailchimp, HubSpot, Google: cuando hay brecha en el proveedor, la pyme también responde. Multas adicionales por no haber documentado el encargo.

Webs sin política de privacidad

Multa habitual de 1.000-10.000 € por web sin política, política copiada genérica o que no refleja los tratamientos reales. Es de lo primero que revisa AEPD cuando recibe una denuncia.

Cómo cumplir

Hoja de ruta RGPD para una pyme con web y CRM

Cuatro fases ordenadas. Tres meses si se hace con disciplina.

Diagnóstico inicial

Mapear todos los puntos donde recoges datos personales: formularios, CRM, newsletter, cámaras, ERP, herramientas SaaS. Inventario completo. 1-2 semanas.

Documentación legal

Política de privacidad, política de cookies, aviso legal, condiciones de uso, cláusulas de consentimiento en formularios, contratos de encargado. Plantillas adaptadas a tu negocio. 2-3 semanas.

Implementación técnica

Banner de cookies con CMP (Cookiebot, Iubenda, Didomi), <a href="/glosario/que-es-consent-mode-v2" class="text-magnetia-red underline">Consent Mode v2</a> en GA4/Meta, formularios con doble opt-in, cifrado en BBDD, copias de seguridad. 3-4 semanas.

Procedimientos y formación

Registro de actividades, plan de respuesta a brechas, procedimiento de derechos, formación a equipo (especialmente quienes manejan datos). Auditoría anual. Recurrente.

Cómo se relaciona con otros conceptos

RGPD en el mapa regulatorio y técnico.

El RGPD es la base de todo el marco de privacidad en España. La AEPD es la autoridad que vigila su cumplimiento y aplica sanciones. Para cada proveedor que trate datos en tu nombre necesitas un DPA firmado.

En la práctica web/marketing, RGPD se cruza con Consent Mode v2 de Google (obligatorio desde 2024 si usas Google Ads o GA4 en Europa) y con Conversion API de Meta, que solo puede enviarse con consentimiento. Sin cumplimiento bien hecho, tu tracking se rompe o tu cuenta de Ads queda en riesgo.

Cuando usas IA con datos personales (chatbots, asistentes RAG, clasificadores), el RGPD sigue aplicando: hay que evaluar si el proveedor del LLM trata datos personales, dónde se procesan (UE vs EEUU) y firmar DPA específicos. Anthropic, OpenAI, Google y Microsoft ofrecen versiones empresariales con DPA. Ver guía RGPD para LLMs.

En Magnetia integramos cumplimiento RGPD en cualquier proyecto de CRO web B2B y generación de leads: si el tracking no es legal, no sirve. Para casos complejos derivamos a abogado especialista. Hablar es gratis: contacto.

Preguntas frecuentes

Dudas que nos hacéis llegar

Sí. No hay umbral mínimo. Una pyme de 3 personas con web y CRM está sujeta al RGPD igual que una multinacional. Lo que cambia son obligaciones específicas: DPO obligatorio o evaluaciones de impacto solo aplican en ciertos casos (>250 empleados, datos sensibles a gran escala, monitorización sistemática).

45 min, sin compromiso

¿Cumple tu web el RGPD de verdad?

Auditamos política de privacidad, banner de cookies, tracking y formularios. Te entregamos informe con riesgos reales y plan de acción priorizado. Sin venderte tonterías.

Reservar diagnóstico RGPD Ver Kit Consulting IA →

¿Qué es el RGPD para pymes y qué tienes que hacer si tienes web, CRM o newsletter?

RGPD: el reglamento europeo que regula cómo tratas datos personales.

Seis obligaciones que toda pyme con web debe cumplir

Política de privacidad clara y accesible

Banner de cookies con consentimiento real

Base legal documentada para cada tratamiento

DPA con cada proveedor que vea datos

Registro de actividades de tratamiento (RAT)

Procedimiento para derechos ARSULIPO

Lo que la AEPD ha multado a pymes españolas en 2024-2026

Cookies sin consentimiento válido

Email marketing sin opt-in

Brecha de seguridad sin notificar

No responder solicitudes de derechos

Falta de DPA con encargados

Webs sin política de privacidad

Hoja de ruta RGPD para una pyme con web y CRM

Diagnóstico inicial

Documentación legal

Implementación técnica

Procedimientos y formación

RGPD en el mapa regulatorio y técnico.

Dudas que nos hacéis llegar

¿Cumple tu web el RGPD de verdad?

IA por sector (51)

Generación de leads por ciudad (49)

Automatización IA por ciudad (13)

Google Ads por ciudad (18)

CRO web por ciudad (7)

Consultoría IA por ciudad (10)

Sector + servicio (52)

Guías largas (15)

Guías escritas por consultores en activo

IA, agentes y automatización (19)

Generación de leads y outbound (14)

Web, ads y SEO (14)

Kit Consulting (5)

Por sector (15)

Términos de IA, ventas y marketing B2B

Herramientas y alternativas