RGPD en 2026: checklist actualizado para empresas españolas

Checklist actualizado de cumplimiento RGPD para empresas españolas en 2026: obligaciones del responsable, derechos de los interesados, DPO, evaluaciones de impacto y sanciones recientes.

¿Qué obligaciones tiene una empresa bajo el RGPD en 2026?

El RGPD lleva en vigor desde mayo de 2018, pero ocho años después muchas empresas españolas siguen sin cumplirlo correctamente. La AEPD ha intensificado las inspecciones y las sanciones se han endurecido. Estas son las obligaciones principales del responsable del tratamiento en 2026:

Licitud del tratamiento. Todo tratamiento de datos personales necesita una base jurídica válida: consentimiento, ejecución de contrato, obligación legal, interés vital, interés público o interés legítimo. El consentimiento debe ser libre, específico, informado e inequívoco. Los consentimientos genéricos (“acepto todo”) no son válidos. Cada finalidad requiere un consentimiento separado.

Información y transparencia. Informar al interesado antes de recoger sus datos: quién es el responsable, con qué finalidad se tratan, cuál es la base jurídica, cuánto tiempo se conservarán, a quién se comunicarán, qué derechos tiene y cómo ejercerlos. La información debe ser clara, concisa y accesible (no enterrada en un PDF de 40 páginas).

Registro de actividades de tratamiento (RAT). Obligatorio para empresas con más de 250 empleados o que traten datos de categorías especiales, datos de condenas penales o traten datos de forma no ocasional. En la práctica, la AEPD recomienda mantenerlo independientemente del tamaño. El RAT debe documentar: finalidades, categorías de interesados, categorías de datos, destinatarios, plazos de conservación y medidas de seguridad.

Medidas de seguridad. Implementar medidas técnicas y organizativas apropiadas al riesgo: cifrado, seudonimización, control de accesos, copias de seguridad, gestión de vulnerabilidades, formación del personal. El RGPD no prescribe medidas concretas: exige que sean “apropiadas” según el estado de la técnica, el coste, la naturaleza del tratamiento y el riesgo.

Notificación de brechas. Notificar a la AEPD en un máximo de 72 horas desde que se tenga conocimiento de una brecha que afecte a datos personales y suponga riesgo para los derechos de los interesados. Si el riesgo es alto, también notificar a los afectados sin dilación indebida.

Responsabilidad proactiva (accountability). No basta con cumplir: hay que poder demostrarlo. Documentar las decisiones, mantener el RAT actualizado, realizar evaluaciones de impacto cuando proceda, designar DPO si es obligatorio, y conservar las evidencias de cumplimiento.

¿Cuándo es obligatorio designar un DPO?

El Delegado de Protección de Datos (DPO) es obligatorio en tres supuestos bajo el RGPD:

1. Autoridades y organismos públicos. Todas las administraciones públicas, empresas públicas y entidades de derecho público deben designar DPO. Sin excepciones.

2. Tratamiento a gran escala de categorías especiales. Organizaciones cuya actividad principal consiste en tratar a gran escala datos de salud, datos biométricos, datos genéticos, datos sobre convicciones religiosas, afiliación sindical, orientación sexual o datos relativos a condenas penales.

3. Observación sistemática a gran escala. Organizaciones cuya actividad principal consiste en la observación habitual y sistemática de interesados a gran escala: videovigilancia masiva, tracking online, geolocalización, profiling.

La LOPDGDD (Ley Orgánica 3/2018) amplía los supuestos. En España, también deben designar DPO:

• Colegios profesionales
• Centros docentes (públicos y privados)
• Entidades que exploten redes y presten servicios de comunicaciones electrónicas
• Prestadores de servicios de la sociedad de la información (cuando elaboren perfiles a gran escala)
• Entidades de crédito, aseguradoras, empresas de servicios de inversión
• Distribuidores y comercializadores de energía eléctrica y gas
• Entidades responsables de ficheros de solvencia patrimonial y crédito
• Centros sanitarios
• Empresas de seguridad privada

Perfil del DPO. Debe tener conocimientos especializados en derecho y práctica de protección de datos. Puede ser interno o externo (subcontratado). Debe reportar directamente al nivel más alto de dirección. No puede ser despedido ni sancionado por el ejercicio de sus funciones. No puede tener conflicto de intereses (no puede ser el CTO, el CISO ni el CEO).

Coste de un DPO externo. En España, los servicios de DPO externo oscilan entre 3.000 y 15.000 EUR/año para PYMES, y entre 15.000 y 50.000 EUR/año para grandes empresas, dependiendo del volumen y complejidad de los tratamientos.

¿Cómo realizar una evaluación de impacto (EIPD)?

La Evaluación de Impacto en Protección de Datos (EIPD o DPIA) es obligatoria antes de iniciar un tratamiento que presente alto riesgo para los derechos y libertades de los interesados. El artículo 35 del RGPD define tres supuestos obligatorios y la AEPD ha publicado una lista adicional de tratamientos que requieren EIPD.

¿Cuándo es obligatoria?

• Evaluación sistemática y exhaustiva de aspectos personales basada en tratamiento automatizado (profiling) con efectos jurídicos o significativos
• Tratamiento a gran escala de categorías especiales de datos o datos de condenas penales
• Vigilancia sistemática a gran escala de una zona de acceso público (videovigilancia)
• La lista de la AEPD añade: tratamientos que impliquen uso de tecnologías invasivas (reconocimiento facial, huella dactilar), geolocalización, tratamientos masivos de datos de menores, y tratamientos que combinen datos de múltiples fuentes

Metodología (fases):

1. Descripción del tratamiento. Qué datos se tratan, con qué finalidad, qué tecnología se usa, quién accede, a quién se comunican, cuánto tiempo se conservan, qué flujos de datos existen.

2. Evaluación de la necesidad y proporcionalidad. ¿El tratamiento es necesario para la finalidad? ¿Hay alternativas menos intrusivas? ¿Los datos recogidos son los mínimos necesarios? ¿Los plazos de conservación son proporcionados?

3. Evaluación de riesgos. Identificar los riesgos para los derechos de los interesados: acceso no autorizado, pérdida, destrucción, modificación, divulgación. Evaluar probabilidad e impacto de cada riesgo.

4. Medidas de mitigación. Para cada riesgo identificado, definir medidas técnicas (cifrado, seudonimización, control de accesos, auditorías) y organizativas (formación, procedimientos, contratos con encargados) que reduzcan el riesgo a un nivel aceptable.

5. Documentación y revisión. Documentar todo el proceso y sus conclusiones. Revisar la EIPD cuando cambien las circunstancias del tratamiento.

Si tras la EIPD el riesgo residual sigue siendo alto y no puede mitigarse, es obligatorio consultar a la AEPD antes de iniciar el tratamiento (consulta previa, artículo 36 RGPD).

Herramientas. La AEPD ofrece la herramienta GESTIONA-EIPD (gratuita, online) que guía el proceso paso a paso. PILAR (del CCN) también puede usarse para la evaluación de riesgos si se integra con el análisis de seguridad.

¿Cuáles son los derechos de los interesados?

El RGPD reconoce ocho derechos que toda empresa debe facilitar:

Derecho de acceso (art. 15). El interesado puede solicitar confirmación de si se están tratando sus datos y, en caso afirmativo, acceder a ellos y obtener información sobre las finalidades, categorías de datos, destinatarios, plazos de conservación y origen de los datos. Plazo de respuesta: 1 mes.

Derecho de rectificación (art. 16). Corregir datos personales inexactos o completar datos incompletos. Plazo: 1 mes.

Derecho de supresión / “derecho al olvido” (art. 17). Obtener la eliminación de datos personales cuando: ya no son necesarios para la finalidad, se retira el consentimiento, se opone al tratamiento, el tratamiento es ilícito, o hay obligación legal de suprimirlos. No aplica cuando el tratamiento es necesario por obligación legal, interés público o ejercicio de derechos en procedimientos judiciales.

Derecho de limitación del tratamiento (art. 18). Solicitar que se restrinja el tratamiento en determinadas circunstancias: mientras se verifica la exactitud de los datos, cuando el tratamiento es ilícito pero el interesado se opone a la supresión, o cuando los datos ya no son necesarios pero el interesado los necesita para reclamaciones.

Derecho a la portabilidad (art. 20). Recibir los datos personales en formato estructurado, de uso común y lectura mecánica (CSV, JSON, XML), y transmitirlos a otro responsable. Solo aplica cuando el tratamiento se basa en consentimiento o contrato y se realiza por medios automatizados.

Derecho de oposición (art. 21). Oponerse al tratamiento basado en interés legítimo o interés público. Si se ejerce para marketing directo, el responsable debe cesar el tratamiento sin necesidad de justificación.

Derecho a no ser objeto de decisiones automatizadas (art. 22). No ser objeto de una decisión basada únicamente en el tratamiento automatizado (incluyendo profiling) que produzca efectos jurídicos o significativos. Con excepciones: consentimiento explícito, necesidad contractual o autorización legal.

Derecho de información (arts. 13-14). Derecho a ser informado de forma clara y accesible sobre el tratamiento de datos antes de que este se inicie.

Obligaciones prácticas para la empresa:

• Canal accesible para ejercicio de derechos (formulario web, email dedicado)
• Plazo de respuesta: 1 mes (ampliable a 3 meses si la solicitud es compleja)
• Gratuito (salvo solicitudes manifiestamente infundadas o excesivas)
• Verificar la identidad del solicitante antes de responder
• Documentar todas las solicitudes y respuestas como evidencia de compliance

¿Qué cambios hay en la aplicación del RGPD en 2026?

El texto del RGPD no ha cambiado, pero su aplicación ha evolucionado significativamente:

Criterios de la AEPD más estrictos. La AEPD ha publicado nuevas guías interpretativas que endurecen los requisitos en áreas concretas: cookies y tracking (alineación con la guía del EDPB sobre consent banners), tratamientos con IA (exigencia de EIPD y transparencia algorítmica), y transferencias internacionales post-Schrems II.

Impacto del EU AI Act. Los sistemas de IA que tratan datos personales deben cumplir simultáneamente RGPD y EU AI Act. Esto afecta especialmente a: chatbots y asistentes virtuales (transparencia sobre el uso de IA), sistemas de scoring crediticio (decisiones automatizadas), sistemas de selección de personal (profiling), y sistemas de videovigilancia inteligente.

Transferencias internacionales. Tras la anulación del Privacy Shield (Schrems II, 2020) y la adopción del EU-US Data Privacy Framework (2023), la situación sigue siendo inestable. Las empresas que transfieren datos a EEUU deben verificar que sus proveedores están certificados bajo el DPF. Para transferencias a otros países sin decisión de adecuación, las cláusulas contractuales tipo (SCCs) del 2021 son obligatorias, con TIA (Transfer Impact Assessment) complementario.

Auge de las reclamaciones. Las reclamaciones de particulares ante la AEPD han crecido un 35% entre 2023 y 2025. Las más frecuentes: acceso indebido a datos por exempleados, falta de respuesta a ejercicio de derechos, brechas de seguridad no notificadas, y envío de comunicaciones comerciales sin consentimiento.

Coordinación con NIS2. La notificación de brechas de seguridad bajo RGPD (72 horas a la AEPD) debe coordinarse con la notificación de incidentes bajo NIS2 (24 horas al CSIRT). Son procesos paralelos ante autoridades diferentes, pero el hecho desencadenante puede ser el mismo. Las empresas necesitan un procedimiento unificado de notificación.

Checklist de cumplimiento RGPD: los 12 puntos clave

1. Registro de actividades de tratamiento. Inventario actualizado de todos los tratamientos de datos personales: finalidad, base jurídica, categorías de datos, destinatarios, plazos de conservación, medidas de seguridad.

2. Bases jurídicas documentadas. Para cada tratamiento, tener documentada la base jurídica: consentimiento (con evidencia de que se obtuvo de forma válida), contrato, obligación legal, interés legítimo (con ponderación documentada), etc.

3. Política de privacidad actualizada. Accesible desde el sitio web, con toda la información requerida por el artículo 13/14: identidad del responsable, finalidades, bases jurídicas, destinatarios, plazos, derechos, datos del DPO.

4. Gestión de consentimientos. Sistema que registre cuándo, cómo y para qué finalidad se obtuvo cada consentimiento. Capacidad de retirar el consentimiento de forma tan fácil como se otorgó. Consentimiento granular por finalidad (no genérico).

5. DPO designado (si aplica). Nombrado formalmente, comunicado a la AEPD, con contrato o designación que garantice independencia, recursos y acceso a dirección.

6. Evaluaciones de impacto realizadas. EIPD documentadas para todos los tratamientos de alto riesgo. Revisadas cuando cambian las circunstancias del tratamiento.

7. Contratos con encargados del tratamiento. Contrato conforme al artículo 28 con todos los proveedores que tratan datos personales por cuenta de la empresa: hosting, email marketing, CRM, analytics, nóminas externalizadas, etc.

8. Medidas de seguridad implementadas. Cifrado, control de accesos, backups, gestión de vulnerabilidades, formación del personal. Documentadas y auditadas periódicamente.

9. Procedimiento de gestión de brechas. Documentado, probado y con responsables asignados. Plantillas de notificación a la AEPD y a los afectados preparadas. Registro de brechas (incluso las que no se notifican).

10. Canal de ejercicio de derechos. Accesible, con procedimiento interno de gestión, plazos de respuesta controlados, verificación de identidad, documentación de solicitudes y respuestas.

11. Transferencias internacionales controladas. Inventario de proveedores que tratan datos fuera del EEE, mecanismo de transferencia válido (DPF, SCCs, normas corporativas vinculantes), TIA cuando proceda.

12. Formación y concienciación. Formación periódica del personal en protección de datos (al menos anual). Formación específica para personal con acceso a datos sensibles o con funciones críticas (RRHH, marketing, IT).

¿Qué sanciones por incumplimiento del RGPD ha habido en España?

La AEPD es una de las autoridades de protección de datos más activas de Europa. Estas son algunas de las sanciones más relevantes:

Sanciones significativas:

• CaixaBank (2021): 6 millones EUR. Tratamiento ilícito de datos personales de clientes para finalidades de marketing sin base jurídica adecuada. Falta de consentimiento válido.
• Vodafone España (2022): 8.15 millones EUR. Realización de llamadas comerciales no solicitadas a usuarios inscritos en la Lista Robinson y a personas que habían ejercido su derecho de oposición.
• Glovo (2022): 550.000 EUR. Falta de medidas de seguridad adecuadas que permitió el acceso no autorizado a datos de riders y clientes.
• EDP Energia (2023): 1.5 millones EUR. Tratamiento ilícito de datos de clientes y falta de atención a derechos de oposición.
• Endesa (2023): 6.1 millones EUR. Contrataciones fraudulentas y falta de medidas para verificar la identidad de los contratantes.

Sanciones a PYMES (patrón frecuente):

• Clínicas de salud: 10.000 a 100.000 EUR por acceso indebido a historias clínicas por personal no autorizado
• Comunidades de propietarios: 2.000 a 10.000 EUR por publicar datos de morosos en el tablón de anuncios
• Comercios: 5.000 a 30.000 EUR por cámaras de videovigilancia sin cartel informativo o apuntando a la vía pública
• Empresas de marketing: 20.000 a 300.000 EUR por envío de comunicaciones comerciales sin consentimiento

Tendencias en las sanciones de la AEPD:

• Las multas están creciendo en cuantía año tras año
• La AEPD sanciona tanto a grandes empresas como a PYMES y autónomos
• Las brechas de seguridad con medidas insuficientes son el supuesto más sancionado después del marketing sin consentimiento
• Las apercibimientos (sin multa) se reservan para infracciones leves y primera vez: en reincidencia, siempre hay sanción económica
• Los sectores más sancionados: telecomunicaciones, energía, banca, salud y marketing digital

Artículos relacionados:

• Políticas Seguridad Informatica Como Crearlas

Consultas frecuentes de compliance

Mi empresa tiene menos de 250 empleados, ¿tengo que cumplir el RGPD? Sí. El RGPD aplica a toda organización que trate datos personales, independientemente de su tamaño. La exención de 250 empleados solo afecta al Registro de Actividades de Tratamiento, y ni siquiera es absoluta: si tratas datos de categorías especiales, datos de condenas o tratamientos no ocasionales, el RAT es obligatorio aunque tengas 5 empleados.

¿Puedo usar Google Analytics sin problemas de RGPD? Depende de la configuración. Google Analytics 4 permite configurar la residencia de datos en la UE, pero los datos siguen siendo procesados por Google (entidad estadounidense). Necesitas: consentimiento del usuario (banner de cookies conforme), contrato de encargado del tratamiento con Google, y verificar que Google está certificado bajo el EU-US DPF para las transferencias. Alternativas conformes por defecto: Matomo (self-hosted), Plausible o PostHog (con hosting EU).

¿Qué pasa si no notifico una brecha a la AEPD? La no notificación es una infracción independiente de la brecha en sí. La AEPD puede sancionar tanto por la brecha (medidas de seguridad insuficientes) como por la falta de notificación. Las sanciones por no notificar oscilan entre 10.000 y 100.000 EUR. Además, si la brecha se descubre por otro medio (denuncia de un afectado, investigación periodística), la falta de notificación agrava la sanción.

¿Necesito un banner de cookies en mi web? Si tu web usa cookies no esenciales (analytics, marketing, personalización), si. El banner debe: informar de qué cookies se usan y con qué finalidad, permitir aceptar o rechazar de forma granular, no preseleccionar casillas de cookies no esenciales, no usar dark patterns (el botón “rechazar” debe ser tan visible como “aceptar”), y registrar el consentimiento como evidencia. Solo las cookies estrictamente necesarias para el funcionamiento de la web están exentas de consentimiento.

¿Cuánto tarda la AEPD en resolver una reclamación? La AEPD tiene un plazo legal de 12 meses para resolver un procedimiento sancionador, pero en la práctica los plazos varían: las reclamaciones simples se resuelven en 3 a 6 meses, los procedimientos sancionadores complejos pueden tardar 12 a 18 meses. Durante la tramitación, la empresa debe responder a los requerimientos de la AEPD en los plazos indicados (típicamente 10 días hábiles).