Recursos Humanos, Cumplimiento

Checklist RGPD anual para tu PYME en 2026

17 de junio de 2026
rgpd pyme checklist

El RGPD cumplió siete años pero la mayoría de PYMEs sigue trabajando con un texto del primer año y nunca lo actualiza. Esta revisión anual te ayuda a no llevarte sustos en una inspección de la AEPD ni perder un cliente grande en el alta de proveedores.

En 1 frase: Una revisión RGPD anual incluye actualizar el registro de actividades, revisar encargados, comprobar bases jurídicas, validar plazos de conservación y simular una solicitud de derechos del interesado.

Por qué revisar RGPD anualmente es la diferencia entre cumplir y "creer que cumples"

El RGPD entró en vigor en mayo de 2018. La inmensa mayoría de PYMEs hizo un esfuerzo inicial entonces (textos legales, política de privacidad, primer registro de actividades) y desde entonces ha tocado poco o nada. Siete años después, esos textos están desactualizados, los encargados de tratamiento han cambiado, los procesos internos no coinciden con lo declarado y, sobre todo, nadie sabe ya qué se hace con qué datos.

La consecuencia operativa: cuando llega una denuncia (un cliente molesto, un ex empleado, una asociación tipo NOYB), la inspección AEPD encuentra incumplimientos básicos rápidamente. Las multas para PYMEs en 2024-2025 por estos motivos han ido entre 5.000 y 250.000€ según gravedad y dolo. Una revisión anual sistemática previene la mayoría de esos riesgos con poco esfuerzo.

Los 6 imprescindibles del registro de actividades de tratamiento

El art. 30 del RGPD obliga a llevar registro de actividades de tratamiento. Para una PYME real, los 6 tratamientos imprescindibles que NO pueden faltar:

  1. RRHH: nómina, contratos, control horario, formación, evaluaciones.
  2. Clientes: CRM, facturación, comunicaciones comerciales, soporte.
  3. Proveedores: gestión de proveedores y compras.
  4. Marketing: newsletter, web analytics, campañas, cookies.
  5. Candidatos: CV recibidos, procesos de selección activos e históricos.
  6. Videovigilancia: si tienes cámaras en oficina o establecimiento.

Para cada tratamiento documenta:

  • Finalidad concreta (no genérica).
  • Base jurídica (consentimiento, contrato, obligación legal, interés legítimo).
  • Categorías de datos personales tratados.
  • Categorías de destinatarios y encargados.
  • Plazo de conservación con criterio claro.
  • Medidas técnicas y organizativas de seguridad.

Si tu registro no incluye estos 6 tratamientos básicos, ya es deficitario.

Encargados de tratamiento: la lista que casi nadie revisa

Cada herramienta SaaS que trata datos personales en tu empresa es un "encargado de tratamiento" según art. 28 RGPD. La lista típica de una PYME tiene 15-30 encargados que casi nadie tiene mapeados completos. Tu CRM, tu correo (Google o Microsoft), tu nómina externalizada, tu agencia de marketing, tu pasarela de pago, tu plataforma de envíos, tu mantenimiento informático, tu plataforma de eventos.

Revisa una vez al año cada encargado:

  • Tienes contrato de encargo (DPA) firmado: art. 28 lo exige. Sin él, multa segura en inspección.
  • Sabes dónde están sus servidores: jurisdicción aplicable, no solo "cloud".
  • Si transfiere datos fuera de la UE: tiene CCT (Cláusulas Contractuales Tipo) actualizadas, DPF aplicable, o equivalente.
  • Notifica brechas de seguridad en plazo: el DPA debe garantizar notificación a ti dentro de plazos razonables para que tú puedas notificar a AEPD en 72h.
  • Listado de subprocesadores actualizado: revisas qué subprocesadores usa tu encargado.

Plantilla de revisión

Hoja con columnas: Nombre del encargado, propósito, datos tratados, ubicación servidores, DPA firmado (sí/no), fecha de actualización, transferencias internacionales, alerta de revisión. Mantenida en buena calidad. AEPD lo pide en cualquier inspección.

Simulacro de solicitud de derechos antes de que llegue real

Una de las pruebas más útiles que puedes hacer: pídele a un compañero (alguien que no esté metido en gestión de datos) que se haga pasar por cliente y solicite ejercicio de derechos al respecto de "él mismo":

  • Acceso: dame todos los datos personales que tienes míos.
  • Rectificación: corrige este dato concreto.
  • Supresión: borra todo lo que tienes mío.
  • Portabilidad: dame mis datos en formato estructurado.
  • Oposición: deja de tratar mis datos para marketing.

Lo que aprenderás

  • Si tu equipo sabe procesar estas solicitudes o se pierde buscando.
  • Si los datos están dispersos en varios sistemas que tienes que consultar uno a uno.
  • Si tu plataforma permite exportar o si la exportación es manual y costosa.
  • Cuánto tarda el proceso end-to-end.

El plazo legal y la realidad

RGPD da hasta un mes para responder, pero un cliente que tarda 28 días en recibir su respuesta sospecha mal uso y se queja a AEPD. Lo razonable es responder en 5-10 días laborables. Si tu proceso simulado tarda más de 24-48h en localizar los datos en tus sistemas, hay proceso roto que revisar.

Cookies y banners: la inspección visual rápida

Las cookies son un área donde las multas son frecuentes y los errores típicos. Revisión visual a tu web:

  • ¿El banner aparece antes del primer scroll? Si no, los usuarios usan tu web antes de consentir.
  • ¿"Aceptar todas" y "Rechazar todas" tienen el mismo tamaño y visibilidad? Si "Aceptar" está destacado, infracción.
  • ¿Las cookies no esenciales están inactivas hasta consent? Comprueba con DevTools: Google Analytics, Hotjar, Facebook Pixel no deben cargarse antes.
  • ¿Hay opción de gestionar preferencias por categoría? "Solo necesarias", "Estadísticas", "Marketing", "Terceros" como categorías separadas.
  • ¿El usuario puede revocar el consent fácilmente después? Link visible permanentemente, no solo en el primer banner.
  • ¿Tu política de cookies está actualizada? Si lleva 3 años sin tocar, casi seguro contiene errores.

Checklist final de revisión anual (1 página)

Resumen práctico para imprimir y completar cada año en aniversario de la última revisión:

  1. Registro de actividades de tratamiento actualizado y completo (los 6 tratamientos como mínimo).
  2. Lista de encargados de tratamiento con DPA firmados y vigentes.
  3. Política de privacidad actualizada con nuevos tratamientos o cambios.
  4. Banner de cookies revisado con criterios actuales.
  5. Simulacro de solicitud de derechos ejecutado con éxito.
  6. Análisis de transferencias internacionales con bases jurídicas documentadas.
  7. Plazos de conservación revisados y aplicados (eliminación de datos obsoletos).
  8. Formación interna del equipo en RGPD (al menos una sesión anual).
  9. Procedimiento de respuesta a brecha de seguridad documentado y testado.
  10. Designación de responsable interno de protección de datos o DPO si aplica.
  11. Documentación de cualquier cambio en sistemas, proveedores o procesos del último año.
  12. Revisión de consentimientos: granularidad por canal, fácil revocación, log auditable.

Una hoja, cumplimentada anualmente, te ahorra problemas mayores. Si tu PYME es pequeña, 4-6 horas al año bastan. Si es más grande, 1-2 días.

Preguntas frecuentes

¿La AEPD viene a inspeccionar PYMEs o solo a empresas grandes?

Sí inspecciona PYMEs, sobre todo tras denuncia (ex empleado descontento, cliente molesto, asociación tipo NOYB que envía denuncias masivas). En esos casos, AEPD pide registro de actividades como primera cosa. Sin registro o con registro deficitario, ya hay infracción documentada. Las multas a PYMEs son menores que a grandes pero significativas (5.000-250.000€ habituales).

¿Necesito designar DPO en mi PYME?

DPO es obligatorio solo si haces tratamiento sistemático a gran escala o tratas categorías especiales (salud, ideología política, religión, orientación sexual). La mayoría de PYMEs NO están obligadas, pero designar un responsable interno (sin formalidad DPO) es buena práctica. Si gestionas datos de salud (clínica, gimnasio con datos de salud) o ideología (partido, sindicato, ONG), valora.

¿Vale el delegado de protección de datos externo compartido entre varias empresas?

Sí, perfectamente. Muchas asesorías y despachos especializados lo ofrecen como servicio. Ventaja: coste compartido y conocimiento especializado actualizado. Asegúrate de que entiende tu sector específico y que tiene capacidad de respuesta en plazos razonables (no que sea solo nombre en papel).

¿Listo para unificar tu stack en una sola suite?

REPLAI integra CRM, chatbot, firma, agenda, RRHH, encuestas, LMS y selección. Datos en la UE. Prueba 30 días gratis.

Prueba REPLAI 30 días gratis Conocer la suite →