«El Reglamento General de Protección de Datos ya no es una amenaza lejana: cada vez más PYMEs están siendo sancionadas»
Entrevistamos a Patricia Carrera Sánchez, responsable del departamento de Protección de Datos de Devesa, quien explica que la falta de recursos técnicos o asesoramiento especializado hace que muchas PYMEs cometan errores que podrían evitarse fácilmente
Patricia Carrera explica que cada vez más PYMEs se enfrentan a sanciones por incumplir el RGPD. / INFORMACIÓN
Analizamos el impacto del Reglamento General de Protección de Datos (RGPD) en las PYMEs, las consecuencias de no cumplirlo y cómo transformar esta obligación en una oportunidad para mejorar. Para ello, entrevistamos a Patricia Carrera Sánchez, responsable del departamento de Protección de Datos de Devesa, quien nos explica que cada vez más PYMEs se enfrentan a sanciones por incumplimientos del RGPD: «Lejos de ser una amenaza lejana, el riesgo se ha vuelto tangible: las reclamaciones ante la Agencia Española de Protección de Datos (AEPD) se multiplican y afectan cada vez más a negocios que, por tamaño, creían estar fuera del radar».
¿Por qué cumplir con el RGPD es crítico para las PYMEs?
El RGPD no distingue entre grandes y pequeñas organizaciones. Cualquier entidad que maneje datos personales debe cumplir con la normativa. Se cree erróneamente que para cumplir con el RGPD es suficiente tener una política de privacidad en la página web e incluir cláusulas en los contratos. Pero el RGPD exige mucho más: acreditar medidas efectivas de protección, mantener registros actualizados, formar al personal, gestionar derechos y analizar y prevenir riesgos. Es fundamental implantar una cultura en privacidad, especialmente en los órganos de dirección.
¿Cuáles son los errores más comunes que cometen las PYMEs?
La Memoria Anual de 2024 de la AEPD revela que las reclamaciones más frecuentes están relacionadas con videovigilancia, servicios en internet, comercio electrónico, transporte y hostelería. Además, las reclamaciones en el ámbito laboral han crecido un 49 % respecto al año anterior.
La falta de recursos técnicos o asesoramiento especializado hace que muchas PYMEs cometan errores que podrían evitarse fácilmente. Es muy común ver fallos como la instalación de cámaras en zonas no autorizadas o sin el cartel correspondiente, el envío de comunicaciones comerciales sin una base legal adecuada, la falta de respuesta a solicitudes de derechos por parte de clientes o empleados, o el uso de formularios que no incluyen las cláusulas informativas exigidas.
También es habitual no contar con un Registro de Actividades de Tratamiento o mantenerlo desactualizado, no firmar contratos de encargo con proveedores que acceden a datos personales, o no disponer de protocolos de actuación ante una brecha de seguridad. De hecho, en 2024, el 37 % del importe total de las multas impuestas estuvo relacionado con estas últimas. Muchas empresas no adoptan las medidas necesarias para garantizar un nivel de seguridad adecuado al riesgo, o simplemente no notifican la brecha ni a la AEPD ni a los afectados, incluso cuando el impacto sobre los derechos y libertades puede ser grave.
¿Se está sancionando realmente a las PYMEs en España?
La AEPD tiene en cuenta la capacidad económica para graduar las sanciones, pero no exime del procedimiento ni de la sanción a las pequeñas empresas. Las PYMEs están siendo sancionadas cada vez con más frecuencia, y no hablamos de casos aislados. Por ejemplo, recientemente se ha multado con 30.000 euros a una clínica dental por tratar datos excesivos y pedir copia del DNI para el reembolso de un tratamiento.
Si no se corrige el error, la multa puede ser aún mayor, ya que las infracciones anteriores cuentan como agravante. También 10.000 euros a una óptica por enviar publicidad sin consentimiento, 5.000 euros a un restaurante por grabar incumpliendo la normativa sobre carteles de videovigilancia; 3.000 euros por añadir a personas en un grupo de WhatsApp sin su autorización; 4.000 euros a una abogada que envió sentencias por esa vía; o incluso 200.000 euros a una industria de papel por utilizar un sistema de reconocimiento facial para el fichaje laboral.
Aunque estas cifras puedan parecer menores comparadas con las sanciones a grandes corporaciones, para una PYME pueden tener un impacto crítico. Y lo más preocupante es que muchas de estas multas tienen su origen en errores que podrían haberse evitado con una adecuada planificación o asesoramiento.
¿Puede una multa de la AEPD hacer peligrar a una PYME?
El RGPD contempla sanciones de hasta 20 millones de euros o el 4 % de la facturación anual. Aunque no se llega a estas cifras con pequeñas empresas, una sanción de 10.000 o 40.000 € puede representar una amenaza real para la viabilidad de muchos negocios.
Además, no se trata solo del dinero: una sola reclamación puede desencadenar una inspección, requerimientos documentales y terminar en una resolución sancionadora. También hay consecuencias reputacionales, pérdida de confianza, exclusión de licitaciones de las Administraciones públicas o conflictos entre socios.
¿Qué riesgos plantean la inteligencia artificial y otras nuevas tecnologías para las PYMEs en materia de protección de datos?
La incorporación de herramientas basadas en inteligencia artificial, automatización o analítica avanzada presenta riesgos añadidos. Muchos empresarios desconocen cómo estas herramientas pueden tratar datos personales sin las debidas garantías.
Por ejemplo, utilizar un chatbot para gestionar atención al cliente sin analizar su funcionamiento puede suponer transferencias internacionales, perfiles automatizados o almacenamiento masivo de datos sensibles sin base legal. Las PYMEs deben evaluar el impacto en privacidad antes de adoptar estas tecnologías, y asegurarse de cumplir con principios como la minimización, la transparencia o la seguridad.
El despacho de Devesa Abogados está ubicado en la emblemática Casa Carbonell de Alicante. / Héctor Fuentes
¿Qué puede hacer una PYME para protegerse?
El primer paso es realizar una auditoría en protección de datos para determinar el grado de cumplimiento. A partir de ahí, hay que implantar procedimientos internos, asegurar la formación del personal y establecer medidas de seguridad.
El 80 % de las brechas de seguridad se deben a errores humanos, según el informe de Verizon de 2024. Formar es tan importante como proteger. Cumplir con el RGPD no debe verse solo como una obligación legal, sino como una oportunidad estratégica que mejora la reputación y fortalece la confianza de clientes y socios.
En Devesa acompañamos a nuestros clientes desde el diagnóstico inicial hasta la implantación de medidas y respuesta ante incidentes de seguridad, brindando asesoramiento integral y apoyo continuo en protección de datos.
Sobre Devesa Abogados
Dirección: Paseo Explanada de España nº: 1 – 3ºD (Alicante)
Tlf: 965 29 61 80
- La AEGC denuncia que un vehículo de la Guardia Civil de Novelda pierde una rueda dos veces en poco tiempo
- El alcalde de Elche se ausenta de la junta de gobierno que aprueba la licencia para reformar su casa en el Camp d'Elx
- Educación traslada las oposiciones a maestro de Infantil y Primaria de junio a septiembre
- Importante cambio en las tarjetas de bus de Alicante a partir del 20 de julio
- Lluvia de premios de la Lotería Nacional en varias localidades de Alicante
- Los Guardias Civiles de Torrevieja se quedan sin centro hospitalario de referencia en la localidad
- Esta es la ubicación donde se ha originado el incendio forestal de Ibi
- El calor golpea Alicante: el poniente dispara los termómetros hasta los 40º
