Cumplimiento normativo
Si tu organización maneja datos de personas, y casi todas lo hacen, el RGPD te obliga. Te ayudamos a cumplirlo de verdad y sin agobios: el registro de tus tratamientos, la respuesta a brechas, los derechos de tus clientes y el delegado de protección de datos si te hace falta.
Equipo especializado en protección de datos y seguridad de la información, con certificaciones del sector.
Qué es
El RGPD, conocido también por sus siglas en inglés GDPR, es el reglamento europeo de protección de datos, y en España se aplica junto a la LOPDGDD. Obliga a cualquier organización que trate datos personales, sea cual sea su tamaño, a hacerlo con respeto por las personas: con una base que lo justifique, con seguridad y con transparencia. La autoridad que vigila su cumplimiento es la AEPD.
No es cosa solo de grandes empresas. Si tienes clientes, empleados o una web con formularios, tratas datos personales, y el RGPD te aplica desde el primer día.
Cumplir de verdad no es tener un par de documentos guardados. Es saber qué datos tratas, por qué, dónde están y cómo los proteges, y poder demostrarlo si la AEPD pregunta.
La vigilancia se centra ahora en la videovigilancia, el marketing sin consentimiento, las brechas y el uso de IA y biometría con datos personales. Conviene estar al día.
Las obligaciones
El reglamento se traduce en unas cuantas obligaciones concretas. No todas aplican a todos por igual, pero estas son las que más peso tienen en el día a día de una organización.
Saber y documentar qué datos tratas, con qué fin, durante cuánto tiempo y con quién los compartes.
Si hay una fuga de datos, notificarla a la AEPD en setenta y dos horas, y a los afectados si el riesgo es alto.
Atender a quien quiera acceder, rectificar o borrar sus datos, normalmente en el plazo de un mes.
Nombrar un DPO cuando la ley lo exige: tratamientos a gran escala, datos sensibles o sector público.
A esto se suman las medidas de seguridad proporcionadas al riesgo, los contratos con tus proveedores que tratan datos por ti, y las evaluaciones de impacto cuando un tratamiento es especialmente delicado.
A quién obliga
El RGPD no entiende de tamaños. Afecta a empresas, autónomos y administraciones por igual, en cuanto tratan datos de personas. La pregunta no suele ser si te aplica, sino cuánto y cómo.
Lo que cambia es la intensidad: una clínica que trata datos de salud o una empresa que hace perfilado con IA tiene obligaciones más exigentes que un comercio con una lista de clientes. El análisis aclara qué te toca a ti.
Servicio
Análisis de tus tratamientos: qué datos manejas, de quién, con qué fin y dónde están, propios y de terceros.
Registro de actividades de tratamiento completo y al día, la columna vertebral de tu cumplimiento.
Bases jurídicas y consentimiento: que cada tratamiento tenga una justificación legal y, donde haga falta, un consentimiento válido.
Protocolo de brechas y derechos: procedimientos para responder a una fuga en plazo y para atender a los interesados.
Contratos y textos legales: encargos de tratamiento con proveedores, cláusulas informativas y política de privacidad de tu web.
Delegado de protección de datos: asumimos la figura del DPO o te acompañamos para que la cumplas, si te corresponde.
Método
Vemos qué datos tratas y dónde estás respecto al RGPD y la LOPDGDD, sin dar nada por hecho.
Priorizamos lo que más riesgo tiene: registro, bases jurídicas, brechas y los textos que falten.
Montamos el registro, los procedimientos, los contratos y las medidas de seguridad que apliquen.
La protección de datos no se acaba: te acompañamos para que siga viva y al día, con DPO si lo necesitas.
Sinergias
El RGPD no se cumple solo con documentos: exige que los datos estén de verdad seguros. Por eso la protección de datos y la seguridad de la información van de la mano. Si trabajamos también tu ISO 27001, las medidas técnicas que pide el RGPD ya quedan cubiertas por un sistema de gestión ordenado, y el registro de tratamientos encaja con el inventario de activos.
Y hay dos puentes más. Las brechas de datos son incidentes de seguridad, así que la respuesta que monta el RGPD es la misma que vigila un SOC como Sondriva. Y si usas IA con datos personales, el RGPD y el AI Act se cruzan: te ayudamos a que encajen en lugar de tratarlos por separado.
Dudas
Sí. El RGPD no entiende de tamaños: afecta a cualquier organización que trate datos personales, desde un autónomo hasta una multinacional. Si tienes clientes, empleados, proveedores o una web con un formulario de contacto, tratas datos personales y el reglamento te obliga. Lo que cambia con el tamaño y el tipo de datos es la intensidad de las obligaciones, no el hecho de tener que cumplir.
El RGPD es el reglamento europeo, común a toda la Unión. La LOPDGDD es la ley española que lo desarrolla y completa con aspectos propios, como los derechos digitales o ciertas particularidades del sector público. En España se aplican juntos, y la autoridad que vigila su cumplimiento es la AEPD. Nosotros trabajamos con los dos a la vez, porque cumplir uno sin el otro deja lagunas.
Depende. El DPO es obligatorio cuando tratas datos a gran escala, manejas categorías especiales como datos de salud, haces seguimiento sistemático de personas o eres una administración pública. Muchas pymes no están obligadas, pero nombrarlo de forma voluntaria es una buena práctica. Analizamos tu caso y, si te corresponde o te interesa, podemos asumir nosotros esa figura.
Si hay una fuga de datos con riesgo para las personas, tienes que notificarla a la AEPD en un plazo de setenta y dos horas, y avisar a los afectados si el riesgo es alto. El problema es que ese reloj corre desde que la detectas, así que sin un procedimiento preparado de antemano es muy difícil cumplir el plazo bajo presión. Por eso montamos el protocolo de brechas antes de que pase nada.
Las sanciones del RGPD son elevadas, de hasta varios millones de euros o un porcentaje de la facturación, según la gravedad. En España la LOPDGDD añade un tramo de infracciones leves que para pymes suele quedar en apercibimiento. Pero más allá de la multa, una sanción o una brecha mal gestionada tiene un coste reputacional y de confianza que suele doler más que el importe.
Mucho. El RGPD exige medidas de seguridad para proteger los datos, así que cumplir bien implica tener la información de verdad protegida, no solo documentada. Por eso encaja con la ISO 27001 y con la vigilancia de un SOC: las brechas de datos son incidentes de seguridad. Trabajar las dos cosas juntas evita duplicar esfuerzos y cierra el círculo.
En toda España. Gran parte de la adecuación al RGPD es documental y de análisis, así que trabajamos contigo estés donde estés. Si prefieres cercanía, estamos en Tudela, Navarra.
¿Hablamos?
Cuéntanos qué datos maneja tu organización y en qué punto estás. En una primera conversación te decimos qué te falta para cumplir el RGPD y por dónde empezar.
Ponte en contacto