Protección de datos en empresas: guía práctica del RGPD

Tu empresa recoge datos personales. Da igual que seas tres personas o trescientas. Si tienes clientes, empleados o proveedores, tratas datos personales. Y si tratas datos personales, el RGPD te afecta.
El problema no es que la normativa exista. El problema es que la mayoría de pymes no saben exactamente qué les exige, qué riesgos corren y por dónde empezar a cumplir sin dedicar meses de trabajo.
Esta guía va de eso: explicar la protección de datos en empresas en términos prácticos, sin lenguaje legal innecesario, con ejemplos reales y pasos concretos.
Qué es el RGPD y por qué importa
El RGPD (Reglamento General de Protección de Datos) es la normativa europea que regula cómo las empresas recogen, almacenan y usan datos personales. Está en vigor desde mayo de 2018 y aplica a cualquier empresa que trate datos de ciudadanos europeos, tenga su sede donde la tenga.
En España, el RGPD se complementa con la LOPDGDD (Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales), que adapta el reglamento europeo al contexto español. En la práctica, cumplir el RGPD cubre casi todo lo que la LOPDGDD exige.
Lo que el RGPD establece se resume en una idea: los datos personales son de las personas, no de las empresas. Las empresas los usan bajo ciertas condiciones, con ciertos límites y con la obligación de protegerlos.
Si te suena abstracto, piensa en esto: cada vez que un cliente te da su nombre y correo electrónico, te está confiando información que le identifica. El RGPD dice que tú tienes que justificar por qué la necesitas, usarla solo para lo que dijiste, protegerla mientras la tengas y borrarla cuando ya no la necesites.
Qué son datos personales (y qué no)
Un dato personal es cualquier información que permita identificar a una persona. Directa o indirectamente.
Son datos personales:
- Nombre y apellidos
- Dirección de correo electrónico
- Número de teléfono
- Dirección postal
- DNI, NIE o pasaporte
- Dirección IP
- Datos bancarios (IBAN, número de tarjeta)
- Fotografías donde se identifique a alguien
- Datos de ubicación
- Identificadores de cookies
No son datos personales (generalmente):
- Datos agregados o estadísticos donde no se puede identificar a nadie
- Información de empresas como persona jurídica (CIF, dirección fiscal)
- Datos completamente anonimizados donde es imposible volver a la persona original
Hay una categoría especial: los datos sensibles. Información sobre salud, orientación sexual, creencias religiosas, afiliación política o datos biométricos. El RGPD los protege con reglas más estrictas. Si tu empresa trata este tipo de datos, las obligaciones son mayores.
La trampa está en los datos indirectos. Un código de cliente que, cruzado con una base de datos, permite identificar a alguien, también es un dato personal. Un log de servidor que registra la IP de un usuario, también. Los datos personales aparecen en sitios donde no esperas encontrarlos.
Los 7 principios del RGPD que tu empresa debe cumplir
El RGPD se construye sobre siete principios. Todos son obligatorios. Ninguno es opcional o "recomendado":
1. Licitud, lealtad y transparencia
Necesitas una base legal para tratar datos. Las más habituales son el consentimiento del interesado, la ejecución de un contrato, una obligación legal o el interés legítimo. Además, tienes que explicar a las personas qué haces con sus datos de forma clara, sin enterrarlo en 40 páginas de letra pequeña.
2. Limitación de la finalidad
Los datos que recoges solo puedes usarlos para lo que dijiste cuando los recogiste. Si pides el correo de un cliente para enviarle facturas, no puedes usarlo después para mandarle newsletters sin su consentimiento.
3. Minimización de datos
Solo puedes recoger los datos que realmente necesitas. Si para prestar un servicio necesitas nombre y correo, no pidas también fecha de nacimiento, dirección y número de teléfono "por si acaso". Este principio tiene implicaciones técnicas directas: tus formularios, tus bases de datos y tus procesos internos deben recoger lo mínimo necesario.
4. Exactitud
Los datos que guardas tienen que ser correctos y estar actualizados. Si un cliente te pide que corrijas un dato, tienes que hacerlo sin demora.
5. Limitación del plazo de conservación
No puedes guardar datos personales para siempre. Cuando ya no los necesitas para la finalidad original, tienes que borrarlos o anonimizarlos. Esto aplica a todo: bases de datos de clientes antiguos, CVs de candidatos que no contrataste, logs de servidor con IPs.
6. Integridad y confidencialidad
Tienes que proteger los datos contra accesos no autorizados, pérdida o destrucción. Esto incluye medidas técnicas (cifrado, control de accesos, copias de seguridad) y organizativas (formación del equipo, políticas internas).
7. Responsabilidad proactiva
No basta con cumplir. Tienes que poder demostrarlo. Documentar qué datos tratas, por qué, cómo los proteges y durante cuánto tiempo. Si la AEPD (Agencia Española de Protección de Datos) te inspecciona, necesitas pruebas de que haces las cosas bien.
Qué obligaciones concretas tiene tu pyme
Saber los principios está bien. Pero lo que necesitas es una lista de cosas que hacer. Estas son las obligaciones principales para una pyme:
Registro de actividades de tratamiento
Documenta qué datos tratas, con qué finalidad, cuál es la base legal, quién tiene acceso, durante cuánto tiempo los conservas y qué medidas de seguridad aplicas. No es un formulario que rellenas una vez y olvidas. Se actualiza cada vez que cambias algo.
Política de privacidad
Texto claro y accesible que explique a tus clientes qué datos recoges, por qué, durante cuánto tiempo y cuáles son sus derechos. Debe estar visible en tu web, en tus formularios y en cualquier punto donde recojas datos.
Consentimiento explícito
Cuando la base legal sea el consentimiento (por ejemplo, para enviar newsletters), ese consentimiento tiene que ser libre, informado, específico e inequívoco. Las casillas premarcadas no valen. El silencio no vale. La inacción no vale.
Contratos con encargados del tratamiento
Si usas servicios externos que acceden a datos de tus clientes (tu gestoría, tu proveedor de email marketing, tu CRM en la nube), necesitas un contrato que establezca cómo deben tratar esos datos.
Evaluación de impacto (EIPD)
Si tu tratamiento supone un alto riesgo para los derechos de las personas (perfilado automático, videovigilancia a gran escala, tratamiento de datos sensibles), tienes que hacer una evaluación de impacto antes de empezar.
Delegado de protección de datos (DPO)
Solo es obligatorio en ciertos casos: administraciones públicas, empresas cuya actividad principal implique observación sistemática de personas a gran escala, o tratamiento de datos sensibles a gran escala. La mayoría de pymes no necesitan uno, pero sí necesitan a alguien internamente que se responsabilice del cumplimiento.
Gestión de brechas de seguridad
Si sufres una brecha que afecte a datos personales, tienes 72 horas para notificarlo a la AEPD. Y si el riesgo para los afectados es alto, tienes que avisarlos a ellos también.
Errores que las pymes cometen con los datos personales
Después de trabajar con docenas de empresas, estos son los patrones que se repiten:
Recoger datos "por si acaso"
Formularios con 15 campos cuando necesitas 3. Bases de datos llenas de información que nadie usa pero que sigues almacenando. Cada dato que guardas sin necesidad es un riesgo que mantienes sin motivo.
No borrar nada nunca
CVs de candidatos de hace cinco años. Correos de clientes que dejaron de serlo hace tres. Backups con datos que deberías haber eliminado. La inercia de "guardar todo" va directamente contra el principio de limitación del plazo de conservación.
Enviar datos personales en claro
Adjuntar un Excel con datos de clientes en un correo sin cifrar. Compartir hojas de cálculo con nombres y teléfonos por WhatsApp. Copiar datos personales en tickets de soporte que luego pasan por cinco personas.
Ignorar los logs y los sistemas internos
Tu servidor web registra IPs. Tu herramienta de analytics recoge datos de navegación. Tu CRM almacena historiales de comunicación. Tus automatizaciones pueden mover datos personales entre sistemas sin que nadie lo supervise. Los datos personales no solo están en las bases de datos obvias.
No formar al equipo
Puedes tener la mejor política de privacidad del mundo. Si tu equipo no sabe qué puede y qué no puede hacer con los datos de los clientes, el riesgo sigue ahí. La formación no tiene que ser un curso de 20 horas. Unas reglas claras y ejemplos concretos son suficientes.
Usar herramientas de IA sin pensar en los datos
Este es un error cada vez más frecuente. Empresas que envían datos de clientes a ChatGPT, que alimentan modelos con información personal, que copian textos con nombres y teléfonos en herramientas de terceros. Cada vez que envías un texto con datos personales a un servicio externo, estás haciendo una transferencia de datos. Y esa transferencia necesita cumplir con el RGPD.
Cómo cumplir en la práctica (sin volverse loco)
Cumplir el RGPD no requiere un departamento legal. Requiere organización y sentido común. Esta es una hoja de ruta práctica para una pyme:
Paso 1: haz un mapa de datos
Identifica qué datos personales tratas, dónde están y quién accede a ellos. No hace falta un documento de 50 páginas. Una hoja de cálculo con estas columnas es suficiente:
- Qué datos recoges (nombre, email, teléfono, etc.)
- De quién (clientes, empleados, proveedores, candidatos)
- Para qué (facturación, marketing, soporte, contratación)
- Dónde se guardan (CRM, Excel, email, servidor, nube)
- Quién tiene acceso (personas o departamentos)
- Cuánto tiempo los conservas
- Base legal (contrato, consentimiento, obligación legal, interés legítimo)
Paso 2: limpia lo que sobra
Revisa tu mapa de datos y elimina lo que no necesitas. Borra los datos de clientes antiguos que ya no tienen relación contigo. Elimina CVs de procesos de selección cerrados. Reduce los campos de tus formularios al mínimo necesario.
Paso 3: protege lo que queda
Tres medidas básicas que cubren el 80% de los riesgos:
- Control de accesos. No todo el mundo necesita ver todos los datos. El becario de marketing no necesita acceso a las nóminas.
- Cifrado. Los datos sensibles deben estar cifrados tanto en tránsito (HTTPS, TLS) como en reposo (cifrado de disco, bases de datos cifradas).
- Copias de seguridad. Automatizadas, cifradas y probadas. Una copia que nunca has restaurado no es una copia de seguridad, es una esperanza.
Paso 4: automatiza la minimización
Aquí es donde la tecnología ayuda de verdad. Revisar manualmente cada texto, log y ticket para encontrar datos personales no escala. Existen herramientas que detectan y ocultan datos personales de forma automática.
Por ejemplo, si tu equipo usa IA para procesar textos, necesitas limpiar los datos personales antes de enviarlos al modelo. Herramientas como Sanitext detectan nombres, correos, teléfonos y direcciones en cualquier texto y los sustituyen por etiquetas genéricas con una sola llamada a su API. Sin que el texto pase por un modelo de lenguaje de terceros.
La diferencia entre hacerlo a mano y automatizarlo es la misma que entre buscar errores en un Excel línea por línea y usar una fórmula: funciona en los dos casos, pero uno escala y el otro no.
Paso 5: documenta y mantén
Guarda evidencias de lo que haces: tu registro de actividades, las políticas que has publicado, los consentimientos que has recogido, los contratos con proveedores, las medidas de seguridad que aplicas. Revisa todo al menos una vez al año para asegurarte de que sigue siendo correcto.
Sanciones del RGPD: qué se juega tu empresa
Las multas del RGPD pueden llegar hasta 20 millones de euros o el 4% de la facturación global anual (lo que sea mayor). Pero esa cifra es el máximo para infracciones muy graves de grandes corporaciones. Las sanciones reales para pymes suelen ser más moderadas, aunque no por ello insignificantes.
La AEPD ha impuesto multas de entre 1.000 y 100.000 euros a pequeñas y medianas empresas por infracciones como:
- Enviar comunicaciones comerciales sin consentimiento
- No atender derechos de acceso o supresión en plazo
- No tener política de privacidad o tenerla incompleta
- Exponer datos personales por falta de medidas de seguridad
- No notificar brechas de seguridad
Pero el riesgo no es solo económico. Una brecha de datos puede costarte la confianza de tus clientes. Y la confianza, en un mercado donde el cliente tiene cien alternativas a un clic de distancia, no se recupera con un comunicado de prensa.
Protección de datos y uso de la IA en empresas
La adopción de herramientas de inteligencia artificial en empresas ha creado un nuevo frente en la protección de datos. Cada vez que un empleado pega un texto con datos de clientes en un asistente de IA, está haciendo una transferencia de datos personales a un tercero. Y esa transferencia tiene que cumplir con el RGPD.
Los casos más habituales:
- Asistentes de texto. Empleados que usan herramientas de IA para redactar correos, resumir reuniones o generar informes. Si el texto de entrada contiene nombres, correos o números de teléfono, esos datos están saliendo de tu empresa.
- RAG y bases de conocimiento. Empresas que alimentan sistemas RAG con documentos internos que contienen datos de clientes o empleados. Si los documentos no se limpian antes de indexarlos, el sistema puede devolver datos personales en sus respuestas.
- Automatizaciones. Flujos de n8n o Make que procesan tickets, correos o formularios y los envían a APIs externas. Si esos textos contienen datos personales y no se minimizan antes de la transferencia, hay un problema.
- Fine-tuning y entrenamiento. Empresas que entrenan modelos con datos propios sin verificar que los datos de entrenamiento están libres de información personal identificable.
La solución no es dejar de usar IA. Es aplicar el principio de minimización antes de enviar datos a cualquier servicio externo. Detectar los datos personales en el texto, sustituirlos por etiquetas genéricas y enviar solo el texto limpio al modelo. Después, si necesitas los datos originales, los reinsertas en la respuesta.
Este flujo (detectar, redactar, procesar, reinsertar) es exactamente lo que hace una API de detección y redacción de datos personales. Se integra en el pipeline de datos entre tu sistema y la IA, de forma que el modelo nunca ve información personal real.
Checklist rápido de cumplimiento para pymes
Si quieres saber dónde estás, revisa esta lista. No sustituye una auditoría profesional, pero cubre lo esencial:
- Tienes un registro de actividades de tratamiento actualizado
- Tu web tiene política de privacidad visible y clara
- Tus formularios piden solo los datos necesarios
- Los consentimientos son explícitos (sin casillas premarcadas)
- Tienes contratos firmados con todos los proveedores que acceden a datos
- Los datos se cifran en tránsito y en reposo
- Solo las personas necesarias tienen acceso a cada tipo de dato
- Tienes un procedimiento para atender derechos (acceso, rectificación, supresión)
- Borras datos cuando ya no los necesitas
- Tienes un plan de respuesta ante brechas de seguridad
- Tu equipo sabe qué puede y qué no puede hacer con datos personales
- Revisas las herramientas de IA que usa tu equipo y cómo manejan los datos
Si has marcado menos de la mitad, no te alarmes. La mayoría de pymes están en una situación similar. Lo importante es empezar, y empezar por el mapa de datos es siempre el primer paso.
Recursos y siguiente paso
La protección de datos no es un proyecto con fecha de fin. Es una práctica continua que mejora con el tiempo. El primer paso siempre es el mismo: saber qué datos tienes, dónde están y quién accede a ellos.
Si tu empresa trabaja con textos que contienen datos personales (y casi todas lo hacen), automatizar la detección y redacción de esos datos es la forma más eficiente de cumplir con el principio de minimización sin ralentizar tu operativa.
Sanitext es nuestra herramienta para resolver exactamente ese problema: una API que detecta y oculta datos personales en cualquier texto, en 30 idiomas, con un modelo propio que no reenvía tus datos a terceros. Sin coste por token, con precios planos.
Para profundizar en cómo la tecnología puede ayudarte a gestionar mejor tu empresa, te recomendamos estas guías: