Cada vez más pequeñas y medianas empresas (PYMEs) se enfrentan a sanciones por incumplimientos del RGPD, según Patricia Carrera, responsable del área de Protección de Datos de Devesa.
El Reglamento General de Protección de Datos (RGPD) ya no es un terreno exclusivo de grandes corporaciones. En los últimos años, la Agencia Española de Protección de Datos (AEPD) ha intensificado su vigilancia sobre las pequeñas y medianas empresas (PYMEs), que empiezan a protagonizar un número creciente de expedientes sancionadores. Así lo advierte Patricia Carrera Sánchez, responsable del área de Protección de Datos en Devesa, quien subraya que el cumplimiento normativo en privacidad es “una necesidad urgente que muchas empresas todavía subestiman”.
Lejos de tratarse de una amenaza abstracta, las sanciones están siendo una realidad palpable. En 2024, la AEPD impuso multas a negocios de todos los tamaños: desde clínicas, ópticas o restaurantes hasta despachos profesionales. El denominador común en muchos de estos casos ha sido el desconocimiento normativo y la falta de medidas preventivas básicas.
Errores comunes de las PYMEs en el cumplimiento del RGPD
Según Carrera, los fallos más frecuentes en las PYMEs tienen que ver con prácticas como la instalación de cámaras de videovigilancia sin cumplir los requisitos legales, el envío de comunicaciones comerciales sin el consentimiento adecuado, la falta de respuesta a solicitudes de acceso o supresión de datos, o el uso de formularios sin las cláusulas informativas exigidas.
También son habituales la ausencia de un Registro de Actividades de Tratamiento, la falta de contratos con proveedores que acceden a datos personales o la inexistencia de planes de actuación ante una brecha de seguridad. En muchos casos, estas deficiencias no solo derivan en sanciones económicas –algunas de hasta 30.000 euros–, sino también en inspecciones, requerimientos y daños reputacionales.
RGPD en las pequeñas empresas: de obligación a oportunidad estratégica
Uno de los grandes errores de las PYMEs es pensar que, por su tamaño, no están en el radar de la AEPD. “El RGPD no distingue entre grandes y pequeños. La clave está en cómo se tratan los datos, no en cuántos empleados se tienen”, recuerda Carrera. De hecho, el informe anual de la AEPD indica que sectores como la hostelería, el comercio electrónico o el transporte han experimentado un notable aumento en las reclamaciones.
Más allá del cumplimiento legal, Devesa defiende que una buena política de privacidad puede convertirse en un valor estratégico. La protección de datos refuerza la confianza del cliente, mejora la reputación de la empresa y previene conflictos internos o externos. “Cumplir no es solo evitar multas, es hacer las cosas bien desde el principio”, afirma Carrera.
Las nuevas tecnologías, otro desafío para las PYMEs
El uso creciente de herramientas basadas en inteligencia artificial, analítica o automatización supone un reto añadido. Muchas PYMEs están adoptando estas tecnologías sin evaluar los riesgos que implican para la privacidad. Por ejemplo, el uso de asistentes virtuales sin controles adecuados puede derivar en tratamientos automatizados o transferencias internacionales de datos sin las garantías exigidas por la normativa.
Cómo pueden las PYMEs protegerse ante la normativa de protección de datos
Carrera insiste en que el primer paso para una PYME es realizar un diagnóstico claro de su situación en materia de protección de datos. A partir de ahí, es necesario implantar procedimientos internos, formar al personal y establecer medidas de seguridad eficaces. Según el informe de Verizon de 2024, el 80 % de las brechas de seguridad tienen origen humano, lo que refuerza la importancia de la formación.
Desde Devesa, acompañan a las empresas en este camino, desde la auditoría inicial hasta la implementación de medidas y la respuesta ante incidentes. Porque, como concluye Carrera, “la privacidad no es solo un cumplimiento normativo: es una inversión en confianza”.
Entrevista completa a Patricia Carrera sobre cómo las PYMEs están bajo la lupa de la AEPD en Diario Información.
