El RGPD sí va contigo
Muchos autónomos y pequeños empresarios creen que el Reglamento General de Protección de Datos (RGPD) es cosa de grandes corporaciones. Error. Si tienes una lista de clientes, envías newsletters, usas un CRM o simplemente guardas nombres y teléfonos en una agenda, el RGPD te aplica.
Y las sanciones no son testimoniales: la Agencia Española de Protección de Datos (AEPD) impuso más de 400 sanciones en 2024, muchas a PYMEs y autónomos, con multas que van desde 1.000 hasta 300.000 euros.
Los 7 puntos que debes cumplir
1. Registro de actividades de tratamiento
Debes documentar qué datos personales recoges, para qué los usas, dónde los almacenas y cuánto tiempo los conservas. No necesitas un documento de 200 páginas: una hoja con las categorías de datos (clientes, empleados, proveedores) y su finalidad es suficiente.
2. Base legal para cada tratamiento
No puedes tratar datos personales "porque sí". Necesitas una base legal:
- Consentimiento: el cliente te ha dado permiso explícito (checkbox en formulario, no prechecked).
- Ejecución de contrato: necesitas los datos para prestar el servicio contratado.
- Interés legítimo: acciones de marketing a clientes existentes (con opt-out fácil).
- Obligación legal: datos que la ley te obliga a conservar (facturas, nóminas).
3. Información transparente
Cuando recoges datos, debes informar de:
- Quién eres (responsable del tratamiento).
- Para qué usas los datos.
- Cuánto tiempo los conservas.
- Con quién los compartes (si aplica).
- Los derechos del titular (acceso, rectificación, supresión, portabilidad).
En la práctica: política de privacidad en tu web y cláusula informativa en tus formularios.
4. Derechos de los titulares
Cualquier persona puede pedirte:
- Acceso: qué datos tienes suyos.
- Rectificación: corregir datos incorrectos.
- Supresión: borrar sus datos (derecho al olvido).
- Portabilidad: que le des sus datos en formato electrónico.
- Oposición: que dejes de usar sus datos para marketing.
Debes responder en un plazo máximo de 30 días.
5. Medidas de seguridad
Proteger los datos que almacenas:
- Contraseñas seguras en todos los sistemas.
- Cifrado en la transmisión de datos (HTTPS obligatorio).
- Copias de seguridad periódicas.
- Control de acceso (no todo el mundo debe ver todo).
- Actualización de software y sistemas.
6. Contratos con encargados de tratamiento
Si usas un CRM en la nube, un servicio de email marketing o cualquier herramienta que procese datos de tus clientes, necesitas un contrato de encargado de tratamiento con ese proveedor. La mayoría de SaaS serios ya lo incluyen en sus términos de servicio.
7. Notificación de brechas de seguridad
Si sufres un robo de datos o un acceso no autorizado, debes notificarlo a la AEPD en un plazo máximo de 72 horas. Y si afecta a los derechos de los titulares, también debes informarles a ellos.
Sanciones reales en España
| Tipo de infracción | Multa |
|---|---|
| Leve (no informar correctamente) | 40.000 euros |
| Grave (tratar datos sin base legal) | 300.000 euros |
| Muy grave (datos de salud sin consentimiento) | 20 millones de euros |
salescloud y RGPD
salescloud cumple el RGPD de serie: servidores en España, cifrado en reposo y tránsito, control de acceso por roles, registro de actividades de tratamiento incluido, y gestión de consentimientos en formularios web. Además, incluye las cláusulas legales necesarias (privacidad, cookies, aviso legal) generadas automáticamente para tu web.
