PRIVACIDAD Y SEGURIDAD · RGPD PARA PYME
RGPD bien hecho, no copy-paste de plantilla.
Análisis de bases legales reales, registro de actividades de tratamiento (RAT) hecho a medida de tu PYME, política de privacidad coherente con lo que de verdad haces con los datos, gestión de derechos (acceso, rectificación, supresión, portabilidad, oposición), contratos de encargado del tratamiento firmados con tus proveedores.
No “RGPD en 24 horas”. No plantilla descargada. No certificación de pega. Cumplimiento que se sostiene ante cliente que pide cuestionario o ante inspección AEPD.
30 minutos. Gratis. Sin compromiso.
SI TE PASA ESTO
¿Te suena alguno de estos síntomas?
Tu política de privacidad la copiaste de un generador online en 2019 y no la has tocado desde entonces.
Un cliente grande te pidió un cuestionario de proveedor con 40 preguntas sobre seguridad y RGPD, y te entró el sudor frío.
Un ex-empleado dijo “voy a denunciar en la AEPD” y no sabes si tienes argumento sólido.
Trabajas con proveedores tecnológicos (correo, hosting, ERP, gestoría) sin contrato de encargado del tratamiento firmado.
Si reconoces dos o más, no es alarmismo: es exposición real que se traduce en pérdida de clientes grandes o multas evitables. La buena noticia: arreglarlo no toma meses si se hace con orden.
ALCANCE DEL SERVICIO
Qué incluye una implantación RGPD real.
Análisis de tus tratamientos reales, bases legales por cada uno, RAT (registro de actividades de tratamiento) personalizado, política de privacidad coherente con lo que haces, política de cookies, cláusulas para formularios.
Protocolo de respuesta a derechos (ARSULPO) con plazos, plantillas de respuesta, registro. Protocolo de brecha de seguridad (notificación 72h AEPD si procede). Contratos de encargado del tratamiento con tus proveedores.
RGPD no se certifica oficialmente. Existen sellos privados (sin valor legal frente AEPD) que algunos vendedores ofrecen como si fueran homologación. No te los recomiendo. Lo que cuenta es la documentación auditable y los procesos vivos.
Mi regla operativa: si un argumento solo se sostiene con alarmismo, no se usa. Te explico riesgos reales y verificables, te muestro qué cubre cada medida, decides tú. Informar antes que aterrorizar.
CÓMO TRABAJAMOS
Cuatro pasos. Sin sorpresas.
CASOS REALES
RGPD bien hecho tiene aspecto de esto.
Centro de Logopedia· 3 empleados · Gipuzkoa
Situación previa: política de privacidad copiada de internet en 2018, comunicación con clientes por WhatsApp Business (sin DPA), Dropbox personal para compartir documentos sensibles, sin RAT.
Qué hicimos: análisis legal real, RAT a medida con 18 tratamientos identificados, política de privacidad nueva, migración de comunicación a Nextcloud Talk + cifrado, formación de todo el equipo, contratos de encargado con sus 6 proveedores tecnológicos.
Resultado a 6 meses: cuestionario de proveedor de cliente grande (banco) respondido sin incidencia, 0 quejas AEPD desde la intervención, equipo gestionando datos con criterio.
Tienda online + tienda física · 7 empleados · Bizkaia
Situación previa: cookies sin consentimiento real (acepta por defecto), email marketing sin doble opt-in, base de datos clientes en Excel con campos sensibles innecesarios.
Qué hicimos: implantación Complianz (consentimiento real con bloqueo de scripts), migración de email marketing a Mautic auto-alojado con doble opt-in y unsubscribe, limpieza de base datos (principio minimización), formulario web rehecho con bases legales claras.
Resultado: cookies conforme RGPD/ePrivacy, baja de 23% en suscriptores newsletter tras doble opt-in (los que quedan son leads reales), formulario con tasa conversión similar a anterior.
PREGUNTAS FRECUENTES
Lo que más me preguntan sobre RGPD.
Sí. RGPD aplica a cualquier organización que trate datos personales de personas físicas en la UE, independientemente del tamaño. Lo que cambia con el tamaño es el alcance: no necesitas DPO obligatorio salvo casos específicos, pero sí RAT, política de privacidad coherente, bases legales identificadas y respuesta a derechos. La buena noticia: bien planteado, ocupa entre 15 y 30 horas de trabajo inicial.
Depende de tu tamaño, sector y punto de partida. Para una PYME de 8-15 personas sin cumplimiento previo, suele estar entre 1.500€ y 4.000€ la implantación inicial (incluye auditoría, RAT, políticas, contratos de encargado, protocolos y formación). Mantenimiento posterior es opcional (rango 600-1.800€/año según seguimiento que quieras). Cifra concreta en la auditoría inicial.
Es obligatorio solo en tres casos: 1) autoridades u organismos públicos, 2) actividades principales de seguimiento sistemático a gran escala, 3) tratamiento a gran escala de categorías especiales (salud, ideología, biometría) o relativos a infracciones penales. La mayoría de PYMES no necesita DPO. Si dudas, en la auditoría te lo aclaro sin venderte humo.
La AEPD inspecciona principalmente por denuncia (no inspección aleatoria de PYMES habitualmente). Cuando inspecciona, mira: RAT, política de privacidad, contratos de encargado, protocolo respuesta a derechos, evidencia de medidas de seguridad. Si tienes documentación auditable y procesos vivos, respondes sin sustos. Si no, las multas pueden empezar en 600€ y subir según gravedad. Por eso lo hacemos bien, no por miedo, por gestión de riesgo real.
HABLEMOS
Cuéntame cómo estás de RGPD hoy.
Auditoría inicial gratuita de 30 minutos. Sin alarmismo, sin "te falta de todo". Te entrego diagnóstico real y prioridades.
Te respondo en menos de 24 horas laborables.