¿El RGPD también se aplica a las pequeñas empresas?

Sí. El RGPD se aplica con independencia del tamaño de la empresa. No obstante, algunas obligaciones individuales (p. ej., nombrar un DPO) están vinculadas a umbrales.

¿Cuál es la diferencia entre un responsable y un encargado?

El responsable determina los fines y los medios del tratamiento; el encargado trata los datos por cuenta del responsable. Los roles determinan las obligaciones respectivas.

¿Con qué rapidez debe notificarse una brecha de datos?

Una brecha notificable debe comunicarse generalmente a la autoridad de control en un plazo de 72 horas.

¿De qué cuantía pueden ser las multas?

Hasta 20 M€ o el 4 % de la facturación anual global — la cantidad que sea mayor.

¿Ayuda una certificación ISO 27001 con la protección de datos?

Cubre en gran medida las medidas técnicas y organizativas (Art. 32) pero no sustituye las obligaciones específicas de protección de datos, como el registro de tratamientos, las bases jurídicas y los derechos de los interesados. En Sightadel, ambas pueden vincularse.

ISO 27001 ISO 9001 ISO 42001 NIS2 RGPD BSI C5:2026 NIST CSF 2.0 SOC 2

RGPD · Protección de datos

RGPD: hacer demostrable la protección de datos

El Reglamento General de Protección de Datos (RGPD) se aplica directamente en toda la UE desde el 25 de mayo de 2018. Afecta a casi todas las organizaciones que tratan datos personales — con independencia de su tamaño. Las infracciones pueden conllevar multas de hasta 20 M€ o el 4 % de la facturación anual global. Esta página explica qué exige el RGPD, a quién aplica (y a quién apenas), qué obligaciones son centrales y cómo implementar la protección de datos con Sightadel de forma estructurada y demostrable.

¿Qué es el RGPD?

El RGPD (Reglamento (UE) 2016/679) regula cómo pueden tratarse los datos personales en la UE. En Alemania se complementa con la Ley Federal de Protección de Datos (BDSG); la supervisión corresponde a las autoridades estatales de protección de datos y al BfDI.

En su centro se encuentran los principios fundamentales del artículo 5: licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad — y, como obligación general, la responsabilidad proactiva: no solo debe garantizar el cumplimiento, sino también ser capaz de demostrarlo.

¿A quién aplica el RGPD — y a quién apenas?

El RGPD le aplica si …

… su organización trata datos personales de personas en la UE — es decir, datos sobre clientes, prospectos, empleados, proveedores o visitantes del sitio web. Esto se aplica prácticamente a toda empresa y organismo público, con independencia de su tamaño. El RGPD también tiene alcance extraterritorial: puede aplicarse a proveedores fuera de la UE que se dirigen a residentes de la UE.

Ciertas obligaciones están vinculadas a umbrales — por ejemplo, la obligación de nombrar un delegado de protección de datos o de realizar una evaluación de impacto relativa a la protección de datos para tratamientos de alto riesgo.

El RGPD esencialmente no le aplica si …

… una persona física trata datos con fines puramente personales o domésticos (p. ej., una agenda de direcciones privada). Esta "excepción doméstica" es estrecha y deja de aplicarse en cuanto interviene una actividad profesional o comercial.

A diferencia de NIS2 o el C5, aquí la pregunta rara vez es "¿Estoy dentro del ámbito de aplicación?" — casi siempre lo está — sino "¿Qué obligaciones me aplican, y en qué medida?"

Las obligaciones centrales del RGPD

Una base jurídica por actividad de tratamiento (Art. 6). Toda actividad de tratamiento necesita una base válida — como el consentimiento, un contrato o el interés legítimo.
Registro de las actividades de tratamiento (Art. 30). Documentación de todos los tratamientos como columna vertebral de la responsabilidad proactiva.
Derechos de los interesados. Acceso, rectificación, supresión, limitación, portabilidad y oposición — con plazos definidos.
Contratos de encargo (Art. 28, DPA). Contratos con los proveedores de servicios que tratan datos por cuenta de usted.
Evaluación de impacto relativa a la protección de datos (Art. 35, DPIA). Cuando es probable que un tratamiento entrañe un alto riesgo para las personas.
Notificación de brechas (Art. 33/34). Notificación a la autoridad de control generalmente en un plazo de 72 horas.
Medidas técnicas y organizativas (Art. 32, TOMs). Un nivel de protección adecuado para los datos.

El reto típico en la implementación del RGPD

Responsabilidad proactiva sin un sistema. El RGPD exige evidencia. Si el registro de tratamientos, los DPA, el concepto de supresión y las TOMs están dispersos en documentos, demostrar el cumplimiento cuando se solicita resulta laborioso.
Documentación estática. Las actividades de tratamiento, los proveedores de servicios y los flujos de datos cambian. Un registro de tratamientos creado una vez queda desactualizado rápidamente.
Protección de datos y seguridad de la información tratadas por separado. Las TOMs del Art. 32 se solapan considerablemente con ISO 27001 y NIS2 — pero a menudo se mantienen por duplicado.

Cómo Sightadel simplifica la implementación del RGPD

Sightadel es el portal de cumplimiento dentro de la Pervigon Security Suite. Representa las obligaciones del RGPD como un catálogo estructurado y vincula las medidas técnicas con sus demás normas de seguridad.

Más rápido para empezar. Plantillas preestructuradas para el registro de tratamientos, el registro de DPA y el concepto de supresión. Completa sus actividades de tratamiento en lugar de construir la estructura desde cero.

Responsabilidad proactiva con solo pulsar un botón. Las obligaciones, los responsables y las evidencias están vinculados. Ante una consulta de la autoridad de control, presenta el estado documentado en lugar de tener que reunirlo.

Siempre actualizado. Las actividades de tratamiento, los proveedores de servicios y las medidas se mantienen de forma centralizada; los recordatorios mantienen vivo el registro de tratamientos.

Reutilización de la evidencia. Las medidas técnicas y organizativas del Art. 32 se asignan simultáneamente a los requisitos correspondientes de ISO 27001 y NIS2. Una sola evidencia, varios marcos.

Sin consultores externos como muleta permanente. La lógica del dominio está integrada en el portal y respaldada por el núcleo neoAI. La evaluación jurídica caso por caso sigue siendo tarea de su DPO o de su asesoría jurídica — el mantenimiento continuo lo lleva a cabo su equipo.

El RGPD con Sightadel en la práctica

1
Registrar.Documente las actividades de tratamiento, las bases jurídicas y los proveedores de servicios en el portal (registro de tratamientos, registro de DPA).
2
Evaluar.Identifique los tratamientos de alto riesgo y realice una DPIA cuando sea necesario.
3
Salvaguardar.Mantenga las TOMs y gestione las solicitudes de los interesados y los procesos de notificación con sus plazos.
4
Mantener.Recordatorios, actualizaciones ante cambios y un estado de evidencia consultable en cualquier momento.

Preguntas frecuentes sobre el RGPD

La protección de datos como estado, no como proyecto

El RGPD no termina con el primer registro de tratamientos. Las actividades de tratamiento, los proveedores de servicios y los riesgos cambian continuamente. Sightadel mantiene su estado de evidencia de protección de datos continuamente actualizado — estructurado, auditable y sin que cada cambio requiera apoyo externo.

Esta página es una explicación general y no constituye asesoramiento jurídico. Para la evaluación jurídica de su caso concreto, consulte a su delegado de protección de datos o a su asesoría jurídica.

Vea su estado de RGPD en Sightadel.

Solicitar una demo