Automatización inteligente
para PYMEs en España.

Navegación

Inicio
Planes
La Gaceta
Sectores
Contacto

Legal

Política de Privacidad
Política de Cookies
Términos y Condiciones
Aviso Legal

Contacto

info@sintra.dev
+34 XXX XXX XXX

Criterio y normativa (UE)

AEPD — guías y criterios

Criterios de orientación, guías técnicas y notas sobre RGPD, videovigilancia, cookies y sancionadores (consulta pública).

aepd.es, consultar ↗

EUR-Lex — textos oficiales UE

Directivas y reglamentos (NIS2, DORA, RGPD, Ley de ciberesiliencia) en el idioma y versión consolidada que elijas.

eur-lex.europa.eu, consultar ↗

ENISA

Informes y buenas prácticas de ciberseguridad a escala de la Unión; útil para contexto técnico y riesgo.

enisa.europa.eu, consultar ↗

AEPD en Centinela

Resoluciones, sancionadores, guías técnicas y criterio público: el blog prioriza comprobar cada afirmación con fuentes oficiales de la Agencia y de DPA Europea cuando aplica.

Índice de sancionadores (resoluciones reales)Más de 16.000 expedientes AEPD indexados en el motor Centinela: importes, infracciones, sectores; útil para contrastar riesgo y criterio.aepd.es ↗
Guías, notas técnicas y criterio interpretativoCookies, cookies de terceros, videovigilancia, ROPD, encargos, DPD: documentos públicos a los que vuelve el blog al citar «criterio AEPD».Guías (portal) ↗
Derecho de acceso y procedimiento sancionadorPlazos, subsanaciones y publicidad de sanciones: alinear praxis interna con el procedimiento de la Agencia evita agravar la calificación de la infracción.Procedimientos AEPD ↗
Buzón del delegado (ciudadanía) y cauces sectorialesReclamaciones, tutelas y criterio consolidado: referencia frecuente en artículos RGPD/LOPDGDD del blog y en respuestas Centinela con fuente.Reclamación ↗
Europa y AEPD (coherencia con EDPB / TJUE)Cuando el blog cita criterio europeo, el contraste con decisiones nacionales y guías AEPD es el paso de comprobación antes de fijar postura en empresa.edpb.europa.eu ↗

Cómo contrastar (práctico)

Antes de citar NIS2 o DORA, abre el acto en EUR-Lex y comprueba la fecha y el número de artículo en la versión consolidada.
Cruza directivas (marco) con el reglamento de ejecución y con la transposición en el Estado miembro que te afecte.
ENISA y EDPB orientan, pero el texto jurídico vinculante sigue en el D.O. de la UE y en la ley nacional.
Resolución de discrepancia: si una guía y el artículo de ley se contradicen, gana el texto legal actualizado; la guía sirve de criterio interpretativo, no de sustituto.
Para brechas o transferencias, contrasta criterio DPA (AEPD) con dictámenes EDPB y con sentencias recientes del TJUE si existen en tu materia.

Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/Autónomos/20 de junio de 20266 min

RGPD para autónomos: lo mínimo que estás obligado a tener (y lo que no necesitas)

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

Un autónomo que factura a clientes, guarda sus emails y tiene web ya trata datos personales. La AEPD también sanciona a autónomos. La buena noticia: las obligaciones son proporcionales y, para la mayoría, son perfectamente asumibles en una tarde.

Puntos clave

1El RGPD aplica a autónomos desde la primera factura con datos de un cliente persona física
2La mayoría de autónomos sin empleados NO necesitan DPO ni Evaluación de Impacto
3El RAT es recomendable aunque la ley tenga excepciones: es lo primero que pide la AEPD
4El consentimiento NO es la única base jurídica; para clientes, el contrato es suficiente
5Los errores más sancionados son simples: emails en CC abierto, newsletters sin consentimiento, web sin política de privacidad

¿Qué datos trata un autónomo típico?

Nombre, NIF, dirección, email y teléfono de clientes y proveedores (para facturar y prestar el servicio). Si tienes web: datos de formularios de contacto, cookies de analítica. Si tienes redes sociales: imágenes de personas. Si tienes empleados (o colaboradores): nóminas, datos laborales. Todo eso son datos personales bajo el RGPD.

Lo que sí necesitas (sin excepciones)

Cuatro obligaciones que no dependen del volumen ni del sector: (1) Base jurídica para cada tratamiento: facturar a clientes = ejecución de contrato; newsletter = consentimiento. (2) Cláusula informativa: al recoger datos, informar de quién eres, para qué los usas y cuánto tiempo los conservas. (3) Si tienes web: política de privacidad accesible + banner de cookies si usas analítica o redes sociales. (4) Contratos de encargo con tu gestoría y cualquier proveedor que acceda a datos de tus clientes.

Lo que probablemente NO necesitas

DPO (Delegado de Protección de Datos): solo obligatorio en tratamientos a gran escala de categorías especiales (salud, ideología…) o para autoridades públicas. Un autónomo con clientela normal no lo necesita. Evaluación de Impacto (EIPD): solo si el tratamiento conlleva alto riesgo (videovigilancia masiva, decisiones automatizadas con efectos jurídicos…). Registro de Actividades: técnicamente hay excepción para menos de 250 empleados en tratamientos ocasionales, pero la AEPD recomienda tenerlo igualmente como primera defensa en una inspección.

Los errores más frecuentes que sanciona la AEPD

Ordenados por frecuencia real: (1) Enviar emails a múltiples clientes en CC (copia visible) revelando sus direcciones. (2) Newsletter sin consentimiento previo o sin opción de baja. (3) Web sin política de privacidad o con banner de cookies defectuoso. (4) No tener contrato de encargo con la gestoría que lleva tu contabilidad. (5) Guardar datos de clientes 'por si acaso' mucho más tiempo del necesario. Todos son fáciles de corregir antes de que llegue la inspección.

Lista de acciones: una tarde para cumplir lo básico

Redacta una política de privacidad para tu web (o usa la herramienta Facilita RGPD de la AEPD)
Añade una cláusula informativa en tus presupuestos, facturas y formularios
Revisa que tu newsletter tiene casilla de consentimiento no premarcada y opción de baja
Firma el contrato de encargo con tu gestoría (muchas lo tienen ya preparado)
Haz un RAT básico: una tabla con qué datos tienes, para qué, cuánto tiempo y dónde
Si tienes web con analítica (Google Analytics, Hotjar…): instala un banner de cookies conforme

Próximos pasos recomendados

1Descarga y completa la plantilla RAT para autónomos (disponible en Centinela AI)
2Usa la herramienta gratuita 'Facilita RGPD' de la AEPD para generar tu documentación básica
3Revisa el banner de cookies de tu web con Cookie Checker (herramienta gratuita AEPD)

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

Facilita RGPD — AEPD, Herramienta gratuita de la AEPD para pymes y autónomos
Reglamento (UE) 2016/679 (RGPD) art. 30 — EUR-Lex, Obligación de registro de actividades y excepciones

También en Autonomos

VeriFactu si facturo poco: ¿me afecta si emito 5 facturas al mes?

5 min

Los modelos tributarios del autónomo: 303, 130, 111 y cuándo presentarlos

7 min

Gastos deducibles del autónomo en IRPF: qué sí, qué no y los casos grises

8 min

← Volver a La Gaceta

Más de 33 fuentes oficiales

Bases y sedes de referencia (UE y España) que el índice de Centinela prioriza al contrastar y citar.

AEPD · aepd.es
EUR-Lex · eur-lex.europa.eu
EDPB (Comité Europeo) · edpb.europa.eu
ENISA · enisa.europa.eu
CERT-EU · cert.europa.eu
Comisión Europea (Digital) · ec.europa.eu
ESMA · esma.europa.eu
EIOPA · eiopa.europa.eu
BCE — Supervisión bancaria · bankingsupervision.europa.eu
TJUE (Corte de Justicia UE) · curia.europa.eu
BOE · boe.es
INCIBE · incibe.es
OSI (observatorio, INCIBE) · osi.es
CCN-CERT · ccn.cni.es
Banco de España · bde.es
CNMV · cnmv.es
CNMC · cnmc.es
AEAT · agenciatributaria.gob.es
Ministerio de Hacienda · hacienda.gob.es
Ministerio de Asuntos Económicos · mineco.gob.es
Ministerio del Interior · interior.gob.es
Ministerio para la Transición Ecológica (OES) · miteco.gob.es
Ministerio de Sanidad (ENS ámbito) · sanidad.gob.es
Ministerio de Defensa (ciberdefensa pública) · defensa.gob.es
Poder Judicial (CGPJ) · poderjudicial.es
Ministerio de Justicia · mjusticia.gob.es
Sede — Administración general · administracion.gob.es
Ciberseguridad (gobierno) · ciberseguridad.gob.es
RedIRIS (CSIRT académico) · rediris.es
FNMT-RCM (confianza electrónica) · fnmt.gob.es
Cl@ve (identificación admin.) · clave.gob.es
DGT (transporte y normativa pública vinculada) · dgt.es
Europol — EC3 · europol.europa.eu

España y recursos técnicos

BOE y normativa nacional

Real decreto ENS (311/2022), LOPDGDD, transposición NIS2 y decretos sectoriales: siempre en la edición publicada en el diario oficial.

boe.es, consultar ↗

INCIBE

Recursos y campañas para pymes, informes y alertas; complementa con CCN en administraciones y OES concretas.

incibe.es, consultar ↗

Banco de España (resiliencia / DORA)

Materiales y normativa pública vinculada a la resiliencia operativa en el sector financiero (entorno DORA) en el ámbito competencial español.

bde.es, consultar ↗

CCN-CERT

Guías STIC, informes técnicos y dispositivos de seguridad homologados, referencia frecuente en ENS y administraciones TIC.

ccn.cni.es, consultar ↗

EDPB — dictámenes y recursos

Opiniones y líneas de orientación de protección de datos a nivel europeo, enlazables con criterios AEPD y TJUE.

edpb.europa.eu, consultar ↗

Cómo contrastar (práctico)

En BOE, usa la búsqueda avanzada por número de ley o por «sumario»; evita mezclar el anteproyecto con la ley publicada y en vigor.
Reales decretos (ENS, desarrollo) deben leerse junto a la ley orgánica o sectorial que modifiquen: revisa notas a pie en la edición consolidada del BOE.
CCN/INCIBE: trata su biblioteca como anexo técnico; si tu obligación nace de ley, ancla el requisito al artículo del BOE y usa la guía como apoyo al cumplimiento.
AEPD: el «criterio» o informe vinculante para la Agencia añade riesgo si lo ignoras; aun así, contrasta con el artículo de la LOPDGDD o RGPD que cita el propio criterio.
Banco de España: normativa y consultas de resiliencia operativa cambian; guarda enlace a la sección y fecha de publicación, no copias en PDF de terceros.