Protección de datos: qué obliga el RGPD a tu empresa
Última revisión normativa: 23/06/2026 · marco UE + estatal (BOE)
Casi todas. Si tu empresa maneja datos de clientes, proveedores o de tu propia plantilla, el RGPD (Reglamento UE 2016/679) y la LOPDGDD (LO 3/2018) te obligan a protegerlos, a informar a las personas y a formar a quien los trata. No hay umbral de tamaño: la obligación nace con el primer dato, y las sanciones llegan hasta 20 millones de euros o el 4% de la facturación mundial.
Datos clave · resumen legal verificado
Norma principal
Reglamento (UE) 2016/679 (RGPD)
A quién obliga
Toda entidad que trate datos personales, incluidos los de su propia plantilla; prácticamente todas.
Periodicidad
Continua; actualización ante cambios normativos o de los tratamientos.
Sanción
Hasta 20 millones de euros o el 4% de la facturación anual mundial (RGPD, art. 83).
Sincronizado con la ficha normativa de Ciberaula. Última revisión: 23/06/2026.
¿Quién puede impartir esta formación?
Libre — la puede impartir cualquier proveedor solvente
Cualquier proveedor solvente; sin centro homologado. Bonificable por FUNDAE.
La formación en protección de datos es de concienciación y cumplimiento: puede impartirla cualquier proveedor solvente y es bonificable por FUNDAE.
¿Qué obliga exactamente el RGPD?
El RGPD no se limita a «pedir permiso» para tratar datos: impone a tu empresa un conjunto de obligaciones permanentes basadas en el principio de responsabilidad proactiva —no basta con cumplir, hay que poder demostrarlo.
En la práctica, eso se traduce en tener una base jurídica válida para cada tratamiento (consentimiento, contrato, obligación legal o interés legítimo), informar con transparencia a las personas, llevar un registro de actividades de tratamiento (art. 30) y aplicar medidas de seguridad técnicas y organizativas apropiadas (art. 32).
Entre esas medidas del art. 32 figura de forma expresa la concienciación y formación del personal que accede a los datos: por eso la formación no es un extra, sino parte del cumplimiento.
¿A quién obliga?
A prácticamente cualquier entidad que trate datos personales, con independencia de su tamaño o forma jurídica: empresas, autónomos con empleados, asociaciones, comunidades y administraciones. Incluye siempre los datos de la propia plantilla, aunque no se traten datos de clientes.
La figura clave es el responsable del tratamiento (quien decide para qué y cómo se tratan los datos). Cuando un tercero trata datos por cuenta de tu empresa —una gestoría, un proveedor de software o de hosting— actúa como encargado del tratamiento, y la relación debe regularse por contrato (art. 28).
¿Necesito un Delegado de Protección de Datos (DPD)?
No todas las empresas están obligadas a designarlo. El art. 37 del RGPD lo exige en tres supuestos, y el art. 34 de la LOPDGDD añade una lista concreta de entidades:
Suele NO ser obligatorio
La mayoría de pymes y comercios que tratan datos de clientes y de su plantilla con fines ordinarios. Aun así, es recomendable designar a un responsable interno de privacidad.
Sí es obligatorio
Organismos y autoridades públicas.
Observación habitual y sistemática a gran escala.
Tratamiento a gran escala de categorías especiales (salud, ideología, etc.).
Casos del art. 34 LOPDGDD: colegios profesionales, centros educativos, entidades financieras, sanitarias, de publicidad…
Qué tiene que hacer tu empresa, paso a paso
1Inventariar los tratamientos y elaborar el registro de actividades (art. 30), con su base jurídica.
2Redactar y entregar las cláusulas informativas y recabar consentimientos válidos cuando procedan.
3Aplicar medidas de seguridad (art. 32): control de accesos, cifrado cuando proceda, copias de seguridad y confidencialidad.
4Firmar contratos de encargado de tratamiento (art. 28) con gestorías y proveedores.
5Atender los derechos de las personas (acceso, rectificación, supresión, oposición, portabilidad y limitación) en el plazo de un mes.
6Formar y concienciar al personal que trata datos, y saber cómo actuar ante una brecha de seguridad.
Sanciones por incumplimiento
El régimen sancionador del RGPD (art. 83), que aplica la AEPD, distingue dos tramos según la gravedad de la infracción. En ambos se toma la cifra mayor entre el importe fijo y el porcentaje de facturación:
Tramo (RGPD, art. 83)
Multa
Art. 83.4 — fallos de seguridad, registro de actividades, obligaciones del encargado
hasta 10 M€ o el 2% de la facturación mundial
Art. 83.5 — principios, bases de licitud, derechos de las personas, transferencias
hasta 20 M€ o el 4% de la facturación mundial
La LOPDGDD (arts. 72 a 74) clasifica además las infracciones en leves, graves y muy graves a efectos de prescripción. Más allá de la multa, la AEPD puede ordenar el cese del tratamiento, y las personas afectadas pueden reclamar daños y perjuicios.
Cómo cumplir con la formación en protección de datos
Forma al personal que trata datos con un curso 100% bonificable por FUNDAE.
A prácticamente todas. Cualquier entidad —empresa, autónomo con personal, asociación o administración— que trate datos personales queda sujeta al RGPD, incluidos los datos de su propia plantilla. A diferencia del plan de igualdad, aquí no hay un umbral de tamaño: la obligación existe desde el primer dato.
Solo en los supuestos del art. 37 del RGPD y del art. 34 de la LOPDGDD: organismos públicos, observación habitual y sistemática a gran escala, tratamiento a gran escala de categorías especiales, y una lista concreta (colegios profesionales, centros educativos, entidades financieras, sanitarias, de publicidad, etc.). Para la mayoría de pymes no es obligatorio, aunque sí es recomendable designar a un responsable interno.
Hasta 10 millones de euros o el 2% de la facturación anual mundial en las infracciones del art. 83.4, y hasta 20 millones de euros o el 4% en las del art. 83.5 —siempre la cifra mayor de las dos. A ello se suman posibles reclamaciones de los afectados y daños reputacionales.
Sí. El RGPD (arts. 32 y 39) exige concienciar y formar al personal que trata datos: es una medida de seguridad organizativa exigible, no una recomendación. Documentar esa formación es además prueba de diligencia ante una inspección.
Debes notificarla a la AEPD sin dilación indebida y, a ser posible, en un plazo máximo de 72 horas desde que tengas constancia (art. 33). Si la brecha entraña un alto riesgo para los derechos de las personas, también hay que comunicársela a los afectados (art. 34).
Sí. La formación en protección de datos es 100% bonificable para empresas a través de FUNDAE.