Automatización inteligente
para PYMEs en España.

Navegación

Inicio
Planes
La Gaceta
Sectores
Contacto

Legal

Política de Privacidad
Política de Cookies
Términos y Condiciones
Aviso Legal

Contacto

info@sintra.dev
+34 XXX XXX XXX

Criterio y normativa (UE)

AEPD — guías y criterios

Criterios de orientación, guías técnicas y notas sobre RGPD, videovigilancia, cookies y sancionadores (consulta pública).

aepd.es, consultar ↗

EUR-Lex — textos oficiales UE

Directivas y reglamentos (NIS2, DORA, RGPD, Ley de ciberesiliencia) en el idioma y versión consolidada que elijas.

eur-lex.europa.eu, consultar ↗

ENISA

Informes y buenas prácticas de ciberseguridad a escala de la Unión; útil para contexto técnico y riesgo.

enisa.europa.eu, consultar ↗

AEPD en Centinela

Resoluciones, sancionadores, guías técnicas y criterio público: el blog prioriza comprobar cada afirmación con fuentes oficiales de la Agencia y de DPA Europea cuando aplica.

Índice de sancionadores (resoluciones reales)Más de 16.000 expedientes AEPD indexados en el motor Centinela: importes, infracciones, sectores; útil para contrastar riesgo y criterio.aepd.es ↗
Guías, notas técnicas y criterio interpretativoCookies, cookies de terceros, videovigilancia, ROPD, encargos, DPD: documentos públicos a los que vuelve el blog al citar «criterio AEPD».Guías (portal) ↗
Derecho de acceso y procedimiento sancionadorPlazos, subsanaciones y publicidad de sanciones: alinear praxis interna con el procedimiento de la Agencia evita agravar la calificación de la infracción.Procedimientos AEPD ↗
Buzón del delegado (ciudadanía) y cauces sectorialesReclamaciones, tutelas y criterio consolidado: referencia frecuente en artículos RGPD/LOPDGDD del blog y en respuestas Centinela con fuente.Reclamación ↗
Europa y AEPD (coherencia con EDPB / TJUE)Cuando el blog cita criterio europeo, el contraste con decisiones nacionales y guías AEPD es el paso de comprobación antes de fijar postura en empresa.edpb.europa.eu ↗

Cómo contrastar (práctico)

Antes de citar NIS2 o DORA, abre el acto en EUR-Lex y comprueba la fecha y el número de artículo en la versión consolidada.
Cruza directivas (marco) con el reglamento de ejecución y con la transposición en el Estado miembro que te afecte.
ENISA y EDPB orientan, pero el texto jurídico vinculante sigue en el D.O. de la UE y en la ley nacional.
Resolución de discrepancia: si una guía y el artículo de ley se contradicen, gana el texto legal actualizado; la guía sirve de criterio interpretativo, no de sustituto.
Para brechas o transferencias, contrasta criterio DPA (AEPD) con dictámenes EDPB y con sentencias recientes del TJUE si existen en tu materia.

Edición diarialunes, 29 de junio de 2026Fuentes contrastadas

La Gaceta del Centinela

En tiempos de sobreinformación: referencias verificables y contraste adicional cuando exista más de una fuente fiable.

La Gaceta/RGPD/16 de abril de 20266 min

RGPD para pymes en España: los seis pasos mínimos para cumplir

Contenido orientativo con fuentes oficiales y referencias contrastables. No sustituye asesoramiento jurídico ni técnico especializado.

El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos (LOPDGDD) son obligatorios para toda empresa que trate datos de personas físicas en la UE. Para una pyme, el cumplimiento puede ser estructurado en seis pasos fundamentales que cubren los requisitos más frecuentemente auditados por la AEPD.

Puntos clave

1El RGPD aplica a cualquier empresa que trate datos de personas físicas, independientemente de su tamaño
2El principio de responsabilidad proactiva (accountability) exige que demuestres el cumplimiento, no solo que lo declares
3El registro de actividades de tratamiento (RAT) es el documento central de cumplimiento
4Cada tratamiento necesita una base jurídica válida del art. 6 RGPD
5Los derechos ARCO-POL deben poder ejercerse en plazo de 1 mes
6Las brechas de seguridad deben notificarse a la AEPD en 72 horas si son de riesgo

Paso 1 — Registro de Actividades de Tratamiento (RAT)

El RAT (art. 30 RGPD) es el inventario de todos los tratamientos de datos que realiza tu empresa. Debe incluir: nombre del responsable, finalidades del tratamiento, categorías de interesados y de datos, destinatarios, transferencias internacionales, plazos de supresión y medidas de seguridad. La excepción para empresas de menos de 250 empleados solo aplica si el tratamiento no implica riesgo, no es habitual o no incluye categorías especiales de datos.

Paso 2 — Base jurídica para cada tratamiento

Cada tratamiento necesita una base jurídica del art. 6 RGPD. Los más comunes en pymes son: consentimiento (newsletter, cookies), ejecución de contrato (gestión de clientes/proveedores), cumplimiento de obligación legal (nóminas, facturación), e interés legítimo (seguridad, prevención de fraude). El error más frecuente es usar el consentimiento como base cuando existe otra base más sólida.

Pasos 3 a 6 — Información, derechos, encargados y brechas

Los restantes cuatro pasos cubren: (3) proporcionar información clara a los interesados en el momento de recoger datos (cláusula informativa art. 13/14); (4) habilitar canales para el ejercicio de derechos ARCO-POL con respuesta en 1 mes; (5) firmar contratos de encargo del tratamiento con todos los proveedores que acceden a datos (art. 28); y (6) tener un protocolo de respuesta a brechas de seguridad con notificación a la AEPD en 72 horas cuando corresponda.

Próximos pasos recomendados

1Elabora o actualiza el Registro de Actividades de Tratamiento
2Revisa las cláusulas informativas de tu web, contratos y formularios
3Identifica todos los proveedores con acceso a datos y firma contratos de encargo
4Establece un canal para el ejercicio de derechos (email dedicado, formulario en web)

¿Tienes dudas concretas sobre este tema?

Pregúntale directamente a Centinela AI con tu contexto específico. Responde en segundos con fuentes citadas.

Probar gratis, sin tarjeta

Fuentes y referencias

Reglamento (UE) 2016/679 (RGPD) — EUR-Lex, Texto oficial del RGPD en español
LOPDGDD (LO 3/2018) — BOE, Ley Orgánica de Protección de Datos y Garantía de Derechos Digitales
AEPD — Guía para responsables del tratamiento, Guía práctica de la AEPD para responsables de tratamiento
AEPD — Facilita RGPD (herramienta pymes), Herramienta gratuita de la AEPD para que pymes elaboren su RAT

También en RGPD

Registro de Actividades de Tratamiento (RAT): qué es y cómo elaborarlo

5 min

Las seis bases jurídicas del RGPD: cuándo usar cada una

5 min

Derechos ARCO-POL en el RGPD: cómo gestionarlos correctamente en tu empresa

5 min

← Volver a La Gaceta

Más de 33 fuentes oficiales

Bases y sedes de referencia (UE y España) que el índice de Centinela prioriza al contrastar y citar.

AEPD · aepd.es
EUR-Lex · eur-lex.europa.eu
EDPB (Comité Europeo) · edpb.europa.eu
ENISA · enisa.europa.eu
CERT-EU · cert.europa.eu
Comisión Europea (Digital) · ec.europa.eu
ESMA · esma.europa.eu
EIOPA · eiopa.europa.eu
BCE — Supervisión bancaria · bankingsupervision.europa.eu
TJUE (Corte de Justicia UE) · curia.europa.eu
BOE · boe.es
INCIBE · incibe.es
OSI (observatorio, INCIBE) · osi.es
CCN-CERT · ccn.cni.es
Banco de España · bde.es
CNMV · cnmv.es
CNMC · cnmc.es
AEAT · agenciatributaria.gob.es
Ministerio de Hacienda · hacienda.gob.es
Ministerio de Asuntos Económicos · mineco.gob.es
Ministerio del Interior · interior.gob.es
Ministerio para la Transición Ecológica (OES) · miteco.gob.es
Ministerio de Sanidad (ENS ámbito) · sanidad.gob.es
Ministerio de Defensa (ciberdefensa pública) · defensa.gob.es
Poder Judicial (CGPJ) · poderjudicial.es
Ministerio de Justicia · mjusticia.gob.es
Sede — Administración general · administracion.gob.es
Ciberseguridad (gobierno) · ciberseguridad.gob.es
RedIRIS (CSIRT académico) · rediris.es
FNMT-RCM (confianza electrónica) · fnmt.gob.es
Cl@ve (identificación admin.) · clave.gob.es
DGT (transporte y normativa pública vinculada) · dgt.es
Europol — EC3 · europol.europa.eu

España y recursos técnicos

BOE y normativa nacional

Real decreto ENS (311/2022), LOPDGDD, transposición NIS2 y decretos sectoriales: siempre en la edición publicada en el diario oficial.

boe.es, consultar ↗

INCIBE

Recursos y campañas para pymes, informes y alertas; complementa con CCN en administraciones y OES concretas.

incibe.es, consultar ↗

Banco de España (resiliencia / DORA)

Materiales y normativa pública vinculada a la resiliencia operativa en el sector financiero (entorno DORA) en el ámbito competencial español.

bde.es, consultar ↗

CCN-CERT

Guías STIC, informes técnicos y dispositivos de seguridad homologados, referencia frecuente en ENS y administraciones TIC.

ccn.cni.es, consultar ↗

EDPB — dictámenes y recursos

Opiniones y líneas de orientación de protección de datos a nivel europeo, enlazables con criterios AEPD y TJUE.

edpb.europa.eu, consultar ↗

Cómo contrastar (práctico)

En BOE, usa la búsqueda avanzada por número de ley o por «sumario»; evita mezclar el anteproyecto con la ley publicada y en vigor.
Reales decretos (ENS, desarrollo) deben leerse junto a la ley orgánica o sectorial que modifiquen: revisa notas a pie en la edición consolidada del BOE.
CCN/INCIBE: trata su biblioteca como anexo técnico; si tu obligación nace de ley, ancla el requisito al artículo del BOE y usa la guía como apoyo al cumplimiento.
AEPD: el «criterio» o informe vinculante para la Agencia añade riesgo si lo ignoras; aun así, contrasta con el artículo de la LOPDGDD o RGPD que cita el propio criterio.
Banco de España: normativa y consultas de resiliencia operativa cambian; guarda enlace a la sección y fecha de publicación, no copias en PDF de terceros.