RGPD y LOPDGDD: Guía Completa del DPO y Cumplimiento para Empresas 2026

El RGPD (Reglamento General de Protección de Datos) y la LOPDGDD (Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales) son las normas que regulan el tratamiento de datos personales en España. En 2026, la AEPD ha intensificado las inspecciones y las sanciones siguen en aumento. Esta guía te explica todas las obligaciones, cuándo necesitas un Delegado de Protección de Datos (DPO) y cómo cumplir paso a paso.

1. RGPD y LOPDGDD: Marco Legal en España

El Reglamento (UE) 2016/679 (RGPD) es directamente aplicable en toda la Unión Europea desde el 25 de mayo de 2018. En España se complementa con la Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD), que adapta y desarrolla el RGPD al ordenamiento jurídico español.

¿Qué aporta la LOPDGDD respecto al RGPD?

• Derechos digitales: la LOPDGDD incorpora un título completo de derechos digitales (desconexión digital, intimidad en dispositivos digitales, rectificación en internet, etc.)
• Listado de entidades obligadas al DPO: el artículo 34 amplía los supuestos del RGPD, listando expresamente los sectores y tipos de empresas que deben nombrar un Delegado de Protección de Datos
• Edad de consentimiento digital: establece los 14 años como edad mínima para prestar consentimiento (el RGPD permite entre 13 y 16)
• Régimen sancionador: desarrolla el sistema de infracciones y sanciones, clasificándolas en leves, graves y muy graves
• Sistemas de denuncias internas: regula el tratamiento de datos en el marco de los sistemas de información de infracciones (whistleblowing), complementando la Ley 2/2023 del Canal de Denuncias

2. Obligaciones Básicas de Toda Empresa

Cualquier empresa, autónomo o entidad que trate datos personales debe cumplir estas obligaciones mínimas:

Registro de Actividades de Tratamiento (RAT)

Sustituyó a la antigua inscripción de ficheros en la AEPD. Cada empresa debe mantener un registro interno que documente: finalidad del tratamiento, categorías de datos e interesados, transferencias internacionales, plazos de conservación y medidas de seguridad. Es obligatorio para empresas con más de 250 empleados, pero en la práctica la AEPD lo exige a todas las empresas.

Información y transparencia

Los interesados (clientes, empleados, proveedores) deben ser informados de forma clara y accesible sobre el tratamiento de sus datos: quién es el responsable, qué datos se recogen, con qué finalidad, durante cuánto tiempo, si hay transferencias a terceros, y cuáles son sus derechos. Se materializa en cláusulas informativas, política de privacidad, aviso de cookies, etc.

Base legitimadora

Todo tratamiento de datos debe basarse en al menos una de las seis bases legales del artículo 6 del RGPD: consentimiento, ejecución de contrato, obligación legal, interés vital, interés público o interés legítimo. El consentimiento debe ser libre, específico, informado e inequívoco (y revocable).

Contratos con encargados del tratamiento

Cuando una empresa cede datos a un tercero que los trata por su cuenta (asesoría, proveedor de hosting, empresa de nóminas, etc.), debe firmar un contrato de encargado del tratamiento conforme al artículo 28 del RGPD, que establezca las instrucciones, medidas de seguridad, subcontratación, devolución/destrucción de datos, etc.

Medidas de seguridad

El RGPD no establece un listado cerrado de medidas, sino que exige medidas técnicas y organizativas apropiadas al riesgo del tratamiento (artículo 32). Esto incluye: control de acceso, cifrado, copias de seguridad, pseudonimización, evaluación periódica, formación del personal, etc. La ISO 27001 es un marco de referencia ideal para estructurar estas medidas.

Derechos ARCO-POL

Las empresas deben facilitar el ejercicio de los derechos de los interesados:

• Acceso: derecho a saber qué datos se tratan
• Rectificación: derecho a corregir datos inexactos
• Cancelación (supresión): derecho al olvido
• Oposición: derecho a oponerse al tratamiento
• Portabilidad: derecho a recibir los datos en formato estructurado
• Oposición a decisiones automatizadas: derecho a no ser objeto de decisiones basadas únicamente en tratamiento automatizado
• Limitación: derecho a restringir el tratamiento

3. El Delegado de Protección de Datos (DPO)

El DPO (Data Protection Officer o Delegado de Protección de Datos) es la figura encargada de supervisar el cumplimiento del RGPD dentro de una organización. No tiene que ser un empleado interno: puede ser un profesional externo o una empresa especializada como Normapymes.

¿Quién debe nombrar DPO? (Artículo 34 LOPDGDD)

El RGPD establece tres supuestos generales, y la LOPDGDD los amplía con un listado específico:

Supuestos del RGPD (artículo 37)

• Autoridades y organismos públicos (excepto tribunales en funciones jurisdiccionales)
• Empresas cuya actividad principal requiera observación habitual y sistemática de interesados a gran escala
• Empresas cuya actividad principal consista en el tratamiento a gran escala de datos especiales (salud, datos biométricos, origen étnico, convicciones religiosas, orientación sexual, etc.) o datos relativos a condenas penales

Supuestos adicionales de la LOPDGDD (artículo 34)

• Colegios profesionales y sus consejos generales
• Centros docentes (colegios, universidades, academias)
• Entidades de crédito, aseguradoras y reaseguradoras
• Empresas de inversión y fondos de pensiones
• Distribuidores y comercializadores de energía eléctrica y gas
• Prestadores de servicios de la sociedad de la información que elaboren perfiles de los usuarios a gran escala
• Operadores de telecomunicaciones
• Entidades de publicidad y prospección comercial a gran escala
• Centros sanitarios (hospitales, clínicas, centros de salud)
• Empresas de seguridad privada
• Federaciones deportivas en tratamientos de datos de menores

Importante: aunque tu empresa no esté en esta lista, la AEPD recomienda nombrar un DPO como buena práctica. Además, si tu empresa trata datos a gran escala o datos sensibles, la obligación puede aplicar aunque no se mencione expresamente en el artículo 34.

Funciones del DPO

• Informar y asesorar al responsable del tratamiento y a los empleados sobre sus obligaciones
• Supervisar el cumplimiento del RGPD, la LOPDGDD y las políticas internas
• Asesorar sobre la evaluación de impacto (EIPD) cuando sea necesaria
• Cooperar con la autoridad de control (AEPD) y actuar como punto de contacto
• Gestionar las consultas de los interesados sobre el tratamiento de sus datos

4. Evaluación de Impacto (EIPD)

La Evaluación de Impacto relativa a la Protección de Datos (EIPD o DPIA en inglés) es obligatoria cuando un tratamiento entrañe un alto riesgo para los derechos y libertades de las personas. La AEPD ha publicado una lista de tratamientos que requieren EIPD, incluyendo:

• Elaboración de perfiles: si se realizan evaluaciones o predicciones sistemáticas sobre aspectos personales (rendimiento laboral, situación económica, salud, preferencias, etc.)
• Tratamiento a gran escala de datos especiales: datos de salud, biométricos, genéticos, opiniones políticas, etc.
• Observación sistemática a gran escala: videovigilancia de zonas públicas, monitorización de empleados, geolocalización continua
• Uso de nuevas tecnologías: inteligencia artificial, reconocimiento facial, IoT, big data aplicado a datos personales
• Tratamiento que pueda causar discriminación: algoritmos que afecten al acceso a servicios, empleo o crédito

5. Sanciones del RGPD: Lo que la AEPD Está Multando

La Agencia Española de Protección de Datos (AEPD) es una de las autoridades más activas de Europa. El régimen sancionador del RGPD contempla:

Niveles de infracción

• Infracciones leves: no cumplir requisitos formales (registro de actividades, contratos con encargados incompletos). Multas hasta 40.000€
• Infracciones graves: tratar datos sin base legitimadora adecuada, no atender derechos de los interesados, no realizar la EIPD cuando es obligatoria. Multas de 40.001€ a 300.000€
• Infracciones muy graves: tratar datos vulnerando los principios fundamentales del RGPD, transferencias internacionales sin garantías adecuadas, obstruir la labor inspectora de la AEPD. Multas de 300.001€ a 20.000.000€ (o el 4% de la facturación mundial)

Casos reales de sanciones de la AEPD

• CaixaBank: 6.000.000€ por tratar datos sin consentimiento válido y no informar adecuadamente
• Vodafone: 8.150.000€ (acumulación de varias sanciones por comunicaciones comerciales no consentidas)
• Pymes y autónomos: sanciones de entre 1.000€ y 60.000€ por falta de política de privacidad, cookies sin consentimiento, videovigilancia sin carteles informativos, etc.

6. RGPD y Canal de Denuncias: Sinergia Obligatoria

La Ley 2/2023 del Canal de Denuncias obliga a tratar datos personales sensibles (denunciante, denunciado, testigos). El artículo 24 de la LOPDGDD y la propia Ley 2/2023 establecen requisitos específicos:

• Base legitimadora: el tratamiento se basa en el cumplimiento de una obligación legal (no se necesita consentimiento)
• Confidencialidad reforzada: la identidad del denunciante debe ser especialmente protegida
• Plazo de conservación: los datos del sistema de denuncias deben eliminarse en un plazo máximo de 3 meses desde su recepción, salvo que la investigación requiera más tiempo
• DPO y canal de denuncias: si la empresa está obligada a tener DPO, este debe supervisar también el tratamiento de datos del canal de denuncias

7. RGPD e ISO 27001: La Combinación Perfecta

La ISO 27001 es la norma internacional de seguridad de la información. Su implantación ayuda a cumplir los requisitos técnicos y organizativos del artículo 32 del RGPD:

• Análisis de riesgos: la ISO 27001 exige un análisis de riesgos de seguridad de la información que complementa la EIPD del RGPD
• Controles de seguridad: los controles del Anexo A de la ISO 27001 cubren la mayoría de las medidas técnicas y organizativas del RGPD
• Mejora continua: el ciclo PDCA (Plan-Do-Check-Act) garantiza la revisión periódica de las medidas, como exige el RGPD
• Gestión de incidentes: la ISO 27001 incluye procedimientos de gestión de incidentes que facilitan la notificación de brechas de seguridad a la AEPD (72 horas)
• Diligencia debida: la certificación ISO 27001 sirve como evidencia de diligencia debida ante la AEPD, lo que puede actuar como atenuante en caso de sanción

8. Proceso de Adaptación al RGPD: Paso a Paso

En Normapymes implantamos el cumplimiento del RGPD y la LOPDGDD en 4-6 semanas:

Fase 1: Auditoría inicial (semana 1)

Análisis de la situación actual: tratamientos de datos existentes, bases legitimadoras, contratos con terceros, medidas de seguridad, política de privacidad, cookies, videovigilancia, etc.

Fase 2: Desarrollo documental (semana 2-3)

Elaboración del Registro de Actividades de Tratamiento, cláusulas informativas, política de privacidad, política de cookies, contratos de encargado del tratamiento, protocolos de ejercicio de derechos, procedimiento de notificación de brechas, EIPD (si aplica).

Fase 3: Implantación de medidas técnicas (semana 3-4)

Configuración de cookies conforme a la normativa, adaptación de formularios, carteles de videovigilancia, medidas de seguridad técnica (cifrado, accesos, copias de seguridad), formación al personal.

Fase 4: DPO y mantenimiento (continuo)

Si la empresa requiere DPO, se nombra y comunica a la AEPD. Se establece un sistema de mantenimiento continuo con revisiones periódicas, actualización de tratamientos y atención de derechos e incidencias.

9. Costes de Cumplimiento RGPD en España

• Autónomos y microempresas (1-9 empleados): 300€ - 1.000€ (adaptación básica sin DPO)
• Pymes (10-49 empleados): 1.000€ - 3.000€ (adaptación completa, posible DPO externo)
• Pymes medianas (50-250 empleados): 2.500€ - 6.000€ (adaptación completa + DPO externo)
• Grandes empresas (250+ empleados): 5.000€ - 15.000€ (adaptación + DPO + EIPD + formación)
• DPO externo (cuota anual): 1.200€ - 4.000€/año según complejidad de tratamientos