La empresa usa CRM, formularios, email marketing y almacenamiento en la nube. Probablemente ninguno está documentado como exige la ley.
No es algo que la mayoría de empresas haga a propósito. Es que nadie lo revisó cuando se implantaron las herramientas. El problema es que esos datos tienen un marco legal claro, y no tenerlo en orden es un riesgo que crece con cada nuevo sistema que se añade.
Por qué el cumplimiento no puede ser un añadido
Las empresas que primero digitalizan y luego se preguntan por el RGPD acaban con herramientas mal configuradas, flujos de datos sin documentar y avisos legales copiados de otras webs. El resultado es exposición a sanciones de la AEPD, que en los últimos años ha aumentado significativamente su actividad sancionadora en pymes.
Qué consigues con el cumplimiento en orden
- Digitalización sin riesgos legales ni multas por sorpresa.
- Clientes y empleados con sus derechos documentados y garantizados.
- Herramientas configuradas para no capturar datos innecesarios.
- Documentación actualizada y lista para cualquier inspección.
Qué incluye el servicio
Cumplimiento real, no solo documentos. Revisamos los flujos de datos, las herramientas y los procedimientos para que el cumplimiento sea efectivo.
Auditoría de tratamientos
Identificamos todos los tratamientos de datos personales que realiza la empresa: clientes, empleados, proveedores, formularios web, herramientas SaaS.
Registro de actividades
Elaboramos el Registro de Actividades de Tratamiento (RAT) requerido por el RGPD con todos los tratamientos documentados correctamente.
Avisos legales y políticas
Redactamos o revisamos la política de privacidad, cookies, aviso legal y condiciones de uso adaptados a la actividad real de la empresa.
Contratos con encargados
Contratos de encargo de tratamiento con proveedores que acceden a datos personales: plataformas de email, CRMs, herramientas SaaS.
Medidas técnicas y organizativas
Revisión de configuraciones de seguridad, control de accesos, cifrado y procedimientos para gestionar brechas de seguridad.
RGPD en nuevas implementaciones
Cuando se implanta una nueva herramienta o se crea un nuevo flujo de datos, evaluamos el impacto en privacidad antes de activarlo.
Sectores con mayor exposición
Clínicas y centros de salud
Los datos de salud son categoría especial bajo el RGPD. Historiales, citas, comunicaciones con pacientes y sistemas de gestión requieren medidas específicas.
Gestorías y asesorías
Tratan datos fiscales, laborales y contables de clientes. Los flujos de documentos, los accesos de los empleados y los sistemas en la nube deben estar documentados.
Despachos jurídicos
Datos de litigios, contratos y partes implicadas. El secreto profesional y la protección de datos tienen una intersección que hay que gestionar correctamente.
Empresas con e-commerce o formularios
Captación de leads, datos de compra, marketing por email: cada contacto con datos personales requiere base legal, consentimiento documentado y política visible.
Cómo lo hacemos
Diagnóstico inicial
Revisamos los tratamientos actuales, las herramientas, los flujos de datos y la documentación existente.
Plan de adecuación
Identificamos qué cumple, qué falta y qué hay que corregir. Priorizamos por nivel de riesgo.
Implantación
Elaboramos la documentación, revisamos las configuraciones y establecemos los procedimientos necesarios.
Mantenimiento
El RGPD no es un check de una vez. Revisamos el cumplimiento cuando hay cambios en la operación o nuevas herramientas.
Preguntas frecuentes
¿Necesitamos un DPO (Delegado de Protección de Datos)? +
Solo es obligatorio en ciertos supuestos: tratamiento a gran escala de datos sensibles, organismos públicos o monitorización sistemática de personas. Para la mayoría de pymes no es obligatorio, pero puede ser recomendable en ciertos sectores.
¿Con tener la política de privacidad en la web es suficiente? +
No. La política de privacidad es uno de los requisitos, pero el RGPD exige también registro de actividades, contratos con encargados, base legal para cada tratamiento y medidas técnicas y organizativas. La documentación solo visible es solo una parte.
¿Qué pasa si hay una brecha de seguridad? +
Hay obligación de notificar a la AEPD en 72 horas si la brecha supone un riesgo para las personas. Preparamos el procedimiento de gestión de brechas para que el equipo sepa qué hacer si ocurre.
¿Cuánto tiempo lleva hacer la adecuación? +
Para una pyme típica, la adecuación inicial suele completarse en 4-8 semanas, dependiendo del número de tratamientos y la complejidad de los flujos de datos.
¿Sabes si cada herramienta digital que usas cumple con el RGPD?
Hacemos una revisión inicial rápida de vuestra situación y os decimos qué está en orden y qué hay que corregir antes de que sea un problema.