Los 10 errores más frecuentes en protección de datos que cometen pymes y autónomos
La mayoría de pymes y autónomos no incumplen la normativa de protección de datos por mala fe, sino por desconocimiento. El problema es que la AEPD no distingue entre ignorancia y negligencia: la sanción llega igual. Repasamos los 10 errores más habituales que vemos en nuestro día a día como consultores y te explicamos cómo evitarlos antes de que se conviertan en un problema serio.
1. No tener un Registro de Actividades de Tratamiento (RAT)
El RAT es un documento interno obligatorio que recoge qué datos personales tratas, con qué finalidad, durante cuánto tiempo, quién accede a ellos y qué medidas de seguridad aplicas. Muchos negocios ni siquiera saben que existe esta obligación.
Sin un RAT actualizado, no puedes demostrar ante la AEPD que conoces y controlas los datos que manejas. Es el primer documento que piden en cualquier inspección, y su ausencia ya constituye por sí sola una infracción que puede acarrear sanciones de entre 1.000 y 50.000 euros.
El RAT no es un documento que se hace una vez y se guarda en un cajón. Debe revisarse y actualizarse cada vez que cambien tus actividades, servicios o proveedores.
2. Usar cláusulas informativas genéricas o desactualizadas
Copiar y pegar cláusulas de privacidad de internet o utilizar las mismas que tenías antes de 2018 es un error muy extendido. El RGPD exige que la información proporcionada al interesado sea concreta, específica y actualizada a tu actividad real.
Una cláusula genérica no cumple el principio de transparencia. Si un cliente reclama y tus cláusulas no reflejan fielmente qué haces con sus datos, la AEPD lo considerará un incumplimiento del deber de información (artículos 13 y 14 del RGPD).
3. No firmar contratos de encargado del tratamiento
Cada vez que un tercero accede a datos personales que tú gestionas (tu gestoría, la empresa de informática, la plataforma de email marketing, la asesoría laboral...), estás obligado a firmar un contrato de encargado del tratamiento con ese proveedor.
Sin este contrato, cualquier incidente de seguridad que afecte a ese proveedor te convierte en corresponsable directo. La AEPD ha sancionado repetidamente a empresas por ceder datos a terceros sin la cobertura contractual adecuada.
Importante: El contrato de encargado del tratamiento no es un simple papel. Debe incluir el objeto del tratamiento, la duración, la naturaleza, la finalidad, el tipo de datos, las categorías de interesados y las obligaciones de ambas partes.
4. Recoger más datos de los necesarios
El principio de minimización de datos es claro: solo puedes recoger los datos estrictamente necesarios para la finalidad declarada. Si tienes un formulario de contacto que pide DNI, fecha de nacimiento y dirección postal cuando solo necesitas nombre, email y teléfono, estás incumpliendo el RGPD.
Revisa todos tus formularios, fichas de cliente y procesos de alta. Elimina cualquier campo que no sea imprescindible. Menos datos significa menos riesgo y menos responsabilidad.
5. No tener política de privacidad en la web o tenerla desactualizada
Si tu web tiene un formulario de contacto, un chat, una newsletter o cualquier mecanismo que recoja datos, necesitas una política de privacidad visible, accesible y actualizada. No vale con tener un enlace roto en el footer o un texto copiado de otra web.
La política de privacidad debe identificar al responsable del tratamiento, la finalidad, la base jurídica, los plazos de conservación, los derechos del interesado y, en su caso, las transferencias internacionales de datos. Si falta alguno de estos elementos, la política es insuficiente.
6. No gestionar correctamente las cookies
Instalar Google Analytics, el píxel de Facebook o cualquier cookie no esencial sin el consentimiento previo del usuario es ilegal. No basta con poner un banner que diga "Este sitio usa cookies": necesitas un sistema que bloquee las cookies hasta que el usuario acepte, que permita rechazarlas y que ofrezca configuración granular.
La AEPD ha intensificado las inspecciones relacionadas con cookies en los últimos años, y las sanciones por instalación de cookies sin consentimiento oscilan entre 2.000 y 30.000 euros para pequeños negocios.
Un banner de cookies correcto debe ofrecer tres opciones reales: aceptar todas, rechazar las no esenciales y configurar preferencias. El botón de rechazar debe ser igual de visible que el de aceptar.
7. No formar a los empleados en protección de datos
Puedes tener la documentación perfecta, pero si tus empleados no saben qué es un dato personal, cómo tratar la información de clientes o qué hacer si reciben un email sospechoso, tu cumplimiento es papel mojado.
La formación no tiene por qué ser costosa ni larga: una sesión anual de concienciación y unas pautas claras de actuación son suficientes para la mayoría de pymes. Lo importante es que quede documentada y que se actualice periódicamente.
8. No tener un protocolo de brechas de seguridad
Cuando se produce una brecha de seguridad (pérdida de un portátil, ataque de ransomware, envío de datos al destinatario equivocado...), el RGPD exige que la comuniques a la AEPD en un plazo máximo de 72 horas. Sin un protocolo definido, es imposible reaccionar a tiempo.
El protocolo debe definir quién detecta la brecha, quién la evalúa, quién la comunica, qué información se recoge y cómo se documenta. No tenerlo supone una infracción grave, independientemente de si la brecha se produce o no.
Dato clave: En 2025, la AEPD recibió más de 2.000 notificaciones de brechas de seguridad. Las empresas que no tenían protocolo y comunicaron fuera de plazo recibieron sanciones adicionales por falta de diligencia.
9. Usar WhatsApp personal para comunicaciones con clientes sin control
Enviar facturas, informes médicos, DNIs o cualquier dato personal por WhatsApp personal sin ningún tipo de control ni política es una práctica extendida y muy arriesgada. WhatsApp no es una herramienta corporativa certificada, y si se pierde el teléfono o se comparte un grupo por error, los datos quedan expuestos.
Si necesitas comunicarte con clientes por mensajería, utiliza WhatsApp Business con políticas claras, o mejor aún, canales corporativos con cifrado y control de acceso. Y siempre, documenta la base jurídica que ampara el envío de esos datos.
10. Creer que "como soy pequeño, esto no me aplica"
Este es, sin duda, el error más peligroso y el origen de todos los demás. El RGPD se aplica a cualquier persona física o jurídica que trate datos personales en el ejercicio de su actividad, independientemente de su tamaño, facturación o número de empleados.
Un autónomo con una hoja de Excel con nombres y teléfonos de clientes ya está tratando datos personales. Un pequeño comercio que graba con cámaras de videovigilancia está tratando datos personales. No hay excepciones por tamaño: la obligación es universal.
La AEPD ha sancionado a autónomos y microempresas de menos de 5 empleados. El tamaño de tu negocio no te exime del cumplimiento; lo que sí puede variar es la complejidad de las medidas que debes implementar.
Checklist: comprueba tu cumplimiento
Utiliza esta lista para hacer una revisión rápida de tu situación actual. Si no puedes marcar todos los puntos, necesitas actuar:
- Tengo un Registro de Actividades de Tratamiento actualizado
- Mis cláusulas informativas son específicas y están al día
- He firmado contratos de encargado del tratamiento con todos mis proveedores
- Solo recojo los datos estrictamente necesarios
- Mi web tiene política de privacidad completa y actualizada
- Gestiono las cookies con consentimiento previo y configuración granular
- Mis empleados han recibido formación en protección de datos
- Tengo un protocolo documentado de brechas de seguridad
- Controlo las comunicaciones con clientes por canales seguros
- Soy consciente de que la normativa me aplica y actúo en consecuencia
Conclusión
Ninguno de estos errores es difícil de corregir cuando se cuenta con el asesoramiento adecuado. El coste de adaptarse siempre es inferior al de una sanción, y la tranquilidad de saber que tu negocio cumple con la ley no tiene precio. En ConfidencialyDat te ayudamos a identificar y corregir estos errores con un diagnóstico gratuito y sin compromiso.