La realidad que muchas empresas todavía no han asumido
Durante años muchas organizaciones han visto la protección de datos como una obligación administrativa más. Un documento que firmar, una política de privacidad en la web o un conjunto de cláusulas para guardar en una carpeta.
La realidad es muy distinta. La protección de datos se ha convertido en una de las áreas de mayor vigilancia por parte de la Agencia Española de Protección de Datos (AEPD), y las sanciones demuestran que ya no se persiguen únicamente grandes brechas de seguridad o multinacionales tecnológicas.
Hoy cualquier empresa puede ser sancionada por errores aparentemente cotidianos: cámaras de vídeo vigilancia mal gestionadas, datos de personas trabajadoras tratados incorrectamente, contratos con proveedores inexistentes o sistemas de seguridad insuficientes.
+30.000Reclamaciones recibidas por la AEPD en 2025, la cifra más alta de su historia | 48 M€En sanciones impuestas durante 2025 | 40%Del importe sancionado correspondió a brechas de seguridad |
Casos reales que demuestran que el riesgo es de todas las empresas
Estas no son multas a grandes corporaciones. Son resoluciones que podrían afectar a cualquier organización que trate datos personales, independientemente de su tamaño.
Videovigilancia mal gestionada · Contrato con proveedor inexistente ▸ AEPD
Una empresa creía tener sus cámaras correctamente instaladas. Sin embargo, no había formalizado el contrato con la entidad que gestionaba las imágenes, uno de los requisitos básicos del RGPD cuando un tercero accede a datos personales.
El problema no estaba en la tecnología, sino en la documentación y en la supervisión de proveedores. Un error frecuente y fácil de corregir… antes de que llegue la inspección.
10.000 €
Sanción impuesta por la AEPD
Que nos enseña: Cada proveedor que accede a datos de tu empresa necesita un contrato de encargado de tratamiento. Sin él, la responsabilidad recae sobre ti.
Control excesivo sobre dispositivos de personas trabajadoras ▸ AEPD
Una empresa implanto un sistema de seguimiento sobre dispositivos personales usados por su equipo. La AEPD considero que vulneraba los principios de proporcionalidad y privacidad.
Geolocalización, control horario digital, aplicaciones de seguimiento: todas requieren un análisis previo de impacto sobre la privacidad antes de implantarse.
100.000 €
Multa por control desproporcionado sobre personas trabajadoras
Que nos enseña: El derecho a controlar el trabajo tiene límites legales claros. Implantar herramientas de seguimiento sin análisis previo puede ser una infracción grave.
Revelación de datos en investigación interna · Protocolos de acoso ▸ AEPD
Una empresa envió información que identificaba a personas trabajadoras implicadas en un procedimiento interno. La AEPD entendió que se había vulnerado el principio de confidencialidad.
Este caso afecta directamente a la gestión de protocolos de acoso laboral, canales de denuncia e investigaciones internas. Una mala gestión documental en RRHH puede terminar generando una infracción grave de protección de datos.
200.000 €
Sanción por revelar datos confidenciales en procedimiento interno
Que nos enseña: Los procedimientos internos, las denuncias y los expedientes disciplinarios requieren protocolos específicos de confidencialidad y protección de datos.
Biometría y reconocimiento facial · Nuevas sanciones millonarias ▸ AEPD
La AEPD está poniendo especial foco en el uso de datos biométricos. Entre los casos más recientes destacan sanciones de 10 millones de euros a Aena por sistemas de reconocimiento facial y 1 millón de euros a LaLiga por tratamiento biométrico en accesos a estadios.
Si tu empresa utiliza control de acceso biométrico, registro de jornada mediante huella o cualquier sistema similar, necesita una evaluación de impacto rigurosa y documentada.
10 M €
Sanción máxima reciente por uso de datos biométricos sin garantías
Que nos enseña: Los datos biométricos son especialmente sensibles y exigen garantías adicionales. Su uso sin la documentación adecuada es un riesgo muy elevado.
La AEPD no evalúa solo si tienes documentación. Evalúa si puedes demostrar que cumples
Evidencias, procedimientos, medidas de seguridad, formación y responsabilidad proactiva.
Lo que toda empresa debería tener resuelto
El cumplimiento real del RGPD va mucho más allá de una política de privacidad en la web. Estos son los elementos que deben estar en orden en cualquier organización que trate datos personales.
| Implantación real del RGPD Registro de actividades de tratamiento, base jurídica de cada tratamiento, clausulas informativas actualizadas y política de privacidad adaptada a la actividad real de la empresa. | Información y formación al equipo Las personas trabajadoras deben conocer que datos tratan, como gestionarlos y cuales son sus obligaciones. La formación en protección de datos no es opcional: es parte del cumplimiento. | |
| Contratos de confidencialidad Cada persona que accede a datos personales debe haber firmado un compromiso de confidencialidad. Incluye personal contratado, personas en practicas y colaboradores externos. | Contratos con proveedores (encargados de tratamiento) Gestora, asesoría laboral, empresa informática, software de RRHH o cualquier plataforma que acceda a datos personales necesita su contrato de encargado de tratamiento firmado y actualizado. | |
| Copias de seguridad Las copias de seguridad son una medida de seguridad exigida por el RGPD. Deben realizarse de forma periódica, almacenarse correctamente y comprobarse regularmente para garantizar que funcionan. | Política de contraseñas Contraseñas robustas, cambios periódicos, doble factor de autenticación y control de accesos son medidas básicas que el RGPD exige documentar y aplicar de forma efectiva. | |
| Leyendas en correos electrónicos Todos los correos corporativos deben incluir la leyenda de confidencialidad y la clausula de protección de datos. Es una obligación sencilla pero que muchas empresas tienen desacralizada o ausente. | Protocolo ante brechas de seguridad Si se produce una brecha, la empresa tiene 72 horas para notificarla a la AEPD. Sin un protocolo definido, ese plazo es casi imposible de cumplir. La falta de notificación es en si misma una infracción. |
Los errores más frecuentes que encontramos en las empresas
Muchas organizaciones creen cumplir porque tienen documentación básica. Los problemas suelen aparecer en los detalles operativos.
| Correo electrónico Correos sin leyenda de confidencialidad ni clausula de protección de datos, o con textos desactualizados. | Videovigilancia Carteles incorrectos, falta de contratos con instaladoras y conservación de imágenes mas allá del plazo legal. | Recursos humanos Acceso excesivo a información de personas trabajadoras, currículos conservados sin limite y datos usados para fines distintos. |
| Pagina web Formularios sin información adecuada, cookies mal configuradas y consentimientos que no cumplen los requisitos legales. | Seguridad Contrasenas debiles o sin renovar, ausencia de copias de seguridad documentadas y sin protocolos ante incidentes. | Proveedores Contratos de encargado de tratamiento inexistentes o desactualizados con gestoria, software o empresa de informatica. |
Cumplir no es un gasto. Es una medida de protección
La protección de datos no debe verse como un requisito burocrático. Es una herramienta para reducir riesgos, proteger la información de clientes y personas trabajadoras, evitar sanciones, generar confianza y mejorar la organización interna.
En un entorno donde las reclamaciones y las sanciones aumentan cada año, la prevención sigue siendo la decisión más rentable. El mejor momento para corregir un incumplimiento es siempre antes de que llegue una inspección o una reclamación.
La verdadera pregunta no es si tienes documentación. Es: ¿puede tu empresa demostrar que cumple realmente con la normativa? La AEPD evalúa evidencias, procedimientos, medidas de seguridad y formación. No solo papeles.
¿Esta tu empresa realmente protegida?
En Afine Consultoría ayudamos a empresas, autónomos y asesorías a implantar y mantener sistemas de protección de datos adaptados a la realidad de su negocio, con un enfoque practico, actualizado y orientado a la seguridad jurídica..
