Conformidad RGPD: la guía completa para las empresas

La conformidad RGPD no es una casilla a marcar. Es una postura. La de considerar que los datos personales de sus clientes, empleados y socios merecen el mismo cuidado que sus activos financieros.

Desde el 25 de mayo de 2018, el Reglamento General de Proteccion de Datos (RGPD) se aplica a toda organizacion que trate datos personales de residentes europeos. Ocho años despues, la realidad es brutal: en 2025, la CNIL (autoridad francesa de proteccion de datos) pronuncio 486,8 millones de euros en multas — nueve veces mas que en 2024. Google fue sancionado con 325 millones de euros por cookies depositadas sin consentimiento. SHEIN con 150 millones. France Travail con 5 millones por fallas de seguridad.

El mensaje es claro: la tolerancia ha terminado.

Esta guía detalla las 8 obligaciones fundamentales del RGPD, propone una checklist adaptada a su tamaño de empresa e identifica las herramientas concretas para cada obligacion.

Las 8 obligaciones clave del RGPD

1. Mantener un registro de tratamientos (articulo 30)

El registro de tratamientos es la columna vertebral de su conformidad RGPD. Documenta el conjunto de operaciones realizadas sobre datos personales: recopilacion, almacenamiento, uso, transferencia, eliminacion.

Lo que debe contener:

La finalidad de cada tratamiento
Las categorias de datos tratados
Los destinatarios de los datos
Las duraciones de conservacion
Las medidas de seguridad implementadas

El registro no es un documento estatico. Debe actualizarse con cada nuevo tratamiento, cada cambio de subcontratista, cada evolucion de finalidad.

Una herramienta como Complio automatiza la auditoría de conformidad de su sitio web e identifica los tratamientos de datos a documentar.

2. Designar un DPO cuando es obligatorio (articulo 37)

El Delegado de Proteccion de Datos (DPO) es obligatorio para:

Las autoridades y organismos publicos
Las empresas cuya actividad principal implica un seguimiento regular y sistematico de las personas a gran escala
Las empresas que tratan datos sensibles a gran escala (salud, biometria, opiniones politicas)

Incluso cuando no es obligatorio, la designacion de un DPO sigue siendo recomendada por la CNIL (autoridad francesa de proteccion de datos) como buena practica.

3. Realizar analisis de impacto (AIPD) (articulo 35)

El Analisis de Impacto relativo a la Proteccion de Datos es obligatorio cuando un tratamiento es susceptible de generar un riesgo elevado para los derechos y libertades de las personas.

4. Garantizar los derechos de las personas (articulos 15 a 22)

El RGPD confiere a los individuos derechos concretos sobre sus datos:

Derecho de acceso: saber que datos se recopilan
Derecho de rectificacion: corregir datos inexactos
Derecho al borrado (“derecho al olvido”): solicitar la eliminacion
Derecho a la portabilidad: recuperar sus datos en un formato explotable
Derecho de oposicion: rechazar un tratamiento, especialmente con fines de prospeccion
Derecho a la limitacion: congelar temporalmente un tratamiento

Su empresa debe disponer de un proceso interno para responder a estas solicitudes en un plazo maximo de un mes.

5. Notificar las violaciones de datos (articulos 33-34)

En caso de violacion de datos personales (fuga, acceso no autorizado, perdida), debe:

Notificar a la CNIL (autoridad francesa de proteccion de datos) en las 72 horas siguientes al descubrimiento de la violacion
Informar a las personas afectadas si la violacion presenta un riesgo elevado para sus derechos y libertades

6. Aplicar el Privacy by Design (articulo 25)

El Privacy by Design impone integrar la proteccion de datos desde la concepcion de todo nuevo producto, servicio o tratamiento.

Concretamente, esto significa:

Minimizar los datos recopilados
Seudonimizar o anonimizar los datos cuando sea posible
Cifrar los datos en transito y en reposo
Limitar el acceso a los datos al estricto necesario

En DPLIANCE, el Privacy by Design es un principio fundador. Mirage Analytics no deposita ninguna cookie y no almacena ninguna direccion IP — la conformidad no es una configuracion, es el comportamiento por defecto.

7. Enmarcar las transferencias fuera de la UE (articulos 44 a 49)

Toda transferencia de datos personales hacia un pais situado fuera de la Union Europea debe estar enmarcada por garantias apropiadas.

El EU-US Data Privacy Framework adoptado en julio de 2023 es objeto de impugnaciones juridicas (potencial “Schrems III”) y podria ser invalidado. La solucion mas segura sigue siendo el alojamiento en Europa. Es la eleccion de DPLIANCE: todas nuestras soluciones estan alojadas en Scaleway, infraestructura cloud europea.

8. Demostrar su conformidad (accountability) (articulo 5.2)

El principio de accountability invierte la carga de la prueba: no es la CNIL (autoridad francesa de proteccion de datos) quien debe probar que no es conforme, es usted quien debe probar que lo es.

Checklist por tamaño de empresa

Microempresa (menos de 11 empleados)

Redactar una politica de privacidad conforme
Implementar un banner de cookies conforme con Cookilio
Mantener un registro de tratamientos simplificado
Asegurar los accesos a los datos (contraseñas, cifrado)
Verificar la conformidad del sitio web con Complio

Pyme (11 a 250 empleados)

Todo lo anterior, mas:

Evaluar la necesidad de designar un DPO
Cartografiar los flujos de datos con los subcontratistas
Enmarcar contractualmente cada subcontratista
Reemplazar Google Analytics por una solucion conforme como Mirage Analytics

Gran empresa (250+ empleados)

Todo lo anterior, mas:

Designar un DPO (a menudo obligatorio a esta escala)
Realizar AIPD para los tratamientos de riesgo
Implementar un programa de conformidad estructurado
Integrar el Privacy by Design en los procesos de desarrollo

Las herramientas DPLIANCE para cada obligacion

Obligacion	Herramienta DPLIANCE
Conformidad del sitio web	Complio — auditoría automatizada, deteccion de rastreadores, verificacion de la politica de privacidad
Gestion de cookies	Cookilio — CMP conforme a las recomendaciones de la CNIL, rechazo tan simple como la aceptacion
Analytics sin cookies	Mirage Analytics — cero cookies, cero rastreador persistente, exento de consentimiento
Alojamiento soberano	Todas las soluciones DPLIANCE estan alojadas en Scaleway en Europa

La privacidad no es un compromiso. La soberania tampoco. Es esta conviccion la que guia cada producto que concebimos.

FAQ

El RGPD se aplica a las microempresas y autonomos?

Si, sin excepcion. El RGPD se aplica a toda organizacion que trate datos personales de residentes europeos, independientemente de su tamaño.

Cuanto cuesta una puesta en conformidad RGPD?

El coste varia segun el tamaño y la complejidad de la organizacion. Para una microempresa, las herramientas esenciales (CMP, analytics conforme, auditoría de sitio) representan algunas decenas de euros al mes. El verdadero coste es el de la no conformidad: las multas pueden alcanzar 20 millones de euros o el 4 % de la facturacion mundial.

Cual es la diferencia entre RGPD y ePrivacy?

El RGPD enmarca el tratamiento de datos personales en sentido amplio. La directiva ePrivacy enmarca especificamente las cookies y rastreadores. Los dos se complementan.

Es obligatorio tener un DPO?

No, no para todas las empresas. El DPO es obligatorio para los organismos publicos, las empresas cuya actividad principal implica un seguimiento sistematico a gran escala, y las que tratan datos sensibles a gran escala. Para las demas, es recomendado pero no impuesto.

Como probar su conformidad en caso de control de la CNIL?

Presentando su registro de tratamientos actualizado, sus politicas de privacidad, las pruebas de consentimiento, la documentacion de las AIPD, los contratos con subcontratistas y los procedimientos de gestion de violaciones. Un informe de auditoría regular de su sitio web con Complio constituye tambien una prueba tangible de su vigilancia.

Fuentes: CNIL — Guia TPE-PME, CNIL — Balance de sanciones 2025, CNIL — Transferencias de datos fuera de la UE. Articulo actualizado el 25 de marzo de 2026.