El GDPR para pequeñas empresas empieza con una idea incómoda: ser pequeño no elimina la obligación, solo cambia cuánta documentación hace falta mantener. Si su empresa capta leads, gestiona nómina, recibe formularios web o guarda correos de clientes, ya está tratando datos personales. El texto oficial del GDPR y la guía SME del EDPB dejan claro que este tema también es operativo para empresas pequeñas.
Por eso no es un asunto reservado a grandes grupos. Una pyme también necesita una base legal, avisos claros, control sobre proveedores, seguridad razonable y un flujo real para solicitudes e incidentes. El servicio de auditoría y cumplimiento de Corpenza, la guía sobre auditoría, compliance y AML y el artículo sobre cómo superar la primera auditoría encajan en el mismo marco operativo.
¿El GDPR de verdad se aplica a una empresa pequeña?
Sí. El GDPR se aplica a cualquier empresa pequeña que trate datos personales. El tamaño puede influir en si ciertos registros o funciones son obligatorios, pero no elimina los deberes básicos: tratar los datos con base legal, explicar qué hace la empresa con ellos, protegerlos y respetar los derechos de las personas.
La forma más clara de verlo es desde la operación. Si guarda expedientes de empleados, contactos en CRM, suscriptores, datos de proveedores o leads que llegan por la web, ya está dentro del tema. La guía empresarial de Your Europe explica la diferencia entre controller y processor con lenguaje directo: el controller decide por qué y cómo se tratan los datos, y el processor los trata por cuenta del controller.
Esa diferencia importa muy pronto. La app de nómina, la plataforma de email, el almacenamiento en la nube, la herramienta de marketing y el proveedor externo de RR. HH. suelen formar parte de esa cadena.
¿Qué base legal debería usar una pequeña empresa?
Una pequeña empresa no debería usar una sola etiqueta para todo. El artículo 6 del GDPR dice que el tratamiento solo es lícito si se apoya en al menos una base legal prevista, como consentimiento, contrato, obligación legal, intereses vitales, misión pública o interés legítimo. Lo habitual es una combinación.
En la práctica, los expedientes laborales suelen apoyarse en contrato y obligación legal. La documentación comercial y de onboarding suele caer bajo contrato. Los correos de marketing pueden depender del consentimiento o, en algunos casos, del interés legítimo. El error típico es copiar la misma frase en todos los formularios y asumir que cubre toda la empresa.
Haga un mapa simple de datos. Para cada proceso anote categoría de datos, finalidad, base legal, plazo de conservación, destinatarios y sistema donde se guarda la información. Ese documento pequeño evita muchos problemas después.
¿Qué documentos y controles hacen falta desde el día uno?
Una pyme no necesita un gran manual de compliance desde el primer día. Sí necesita un mínimo funcional: aviso de privacidad, acuerdos con proveedores que tratan datos, criterio de conservación, flujo interno para solicitudes y brechas, y suficientes registros para demostrar qué hace realmente la empresa.
| Control | Por qué importa | Error típico |
|---|---|---|
| Aviso de privacidad | Explica qué datos se recogen, con qué fin y por cuánto tiempo. | Usar una plantilla que no coincide con los sistemas reales. |
| Contratos con proveedores | Ordenan la relación con processors en nómina, CRM, email y cloud. | Empezar a usar herramientas sin revisar sus términos de tratamiento. |
| Reglas de conservación | Evitan guardar todo para siempre. | Dejar datos viejos de candidatos, leads o clientes inactivos en sistemas activos. |
| Flujo de solicitudes | Evita que peticiones de acceso, rectificación o borrado se pierdan. | Dejar la solicitud en un inbox compartido sin responsable. |
| Plan de brechas | Permite evaluar el riesgo y actuar con rapidez si hay exposición. | Descubrir que no existe un camino interno cuando la filtración ya ocurrió. |
Your Europe también recuerda que la empresa debe poder demostrar que actúa conforme al GDPR. Esa es la rendición de cuentas en lenguaje empresarial. Si un regulador, un banco, un inversor o un comprador pregunta por el proceso, “pensábamos que estaba cubierto” no es un proceso.
¿Las empresas con menos de 250 empleados necesitan registro o DPO?
A veces sí. El GDPR da a las organizaciones pequeñas una regla más estrecha sobre registros, pero el artículo 30(5) no crea una exención total. Esa relajación desaparece si el tratamiento implica riesgo, no es ocasional o incluye datos sensibles o datos penales. Es un matiz más amplio de lo que muchos fundadores creen.
Por eso una pyme empleadora puede seguir necesitando registros estructurados. Los datos de RR. HH. son continuos, no ocasionales. Una startup health-tech puede tocar categorías especiales de datos desde el principio. Un e-commerce que perfila usuarios a escala puede entrar en un terreno más exigente.
El Data Protection Officer tampoco es automático. El artículo 37 habla de monitorización regular y sistemática a gran escala, o de tratamiento a gran escala de categorías especiales o datos penales. Muchas pequeñas empresas no necesitan DPO formal. Otras sí. La pregunta correcta no es solo cuántas personas trabajan allí, sino qué hace la empresa con los datos todos los días.
¿Qué pasa si hay una brecha o una solicitud de un cliente?
Una pequeña empresa necesita un camino de respuesta antes del día complicado. El GDPR espera notificación de la brecha a la autoridad de control sin demora indebida y, cuando sea posible, dentro de 72 horas desde que la empresa tiene conocimiento del hecho si la brecha puede implicar riesgo para los derechos y libertades de las personas. Ese reloj corre rápido.
Lo mismo ocurre con los derechos individuales. Your Europe explica que las solicitudes deben responderse sin demora indebida y, en todo caso, dentro de un mes, con posible extensión de dos meses en casos complejos o múltiples si se informa a la persona. La lección operativa es simple: asigne un responsable, registre el plazo y conserve evidencia de la respuesta.
La mayoría de las pymes no fallan aquí porque la norma sea misteriosa. Fallan porque nadie es dueño del inbox, la lista de proveedores está desactualizada y los hechos del incidente quedan repartidos entre Slack, correo y el móvil del fundador.
¿Cuál es el riesgo real y la sanción para una pyme?
Las sanciones máximas existen aunque el resultado en cada caso dependa del contexto. El artículo 83 del GDPR permite, para ciertas infracciones, multas administrativas de hasta 20 millones de euros o el 4% del volumen de negocio mundial anual, lo que sea mayor. Una pyme debería leer esto como una alerta de gobierno, no como una frase para asustar y olvidar.
En la práctica, el coste de unos malos hábitos de GDPR suele aparecer antes que la multa máxima. Cuestionarios de seguridad que frenan ventas. Preguntas de bancos o inversores en due diligence. Salidas de empleados mal gestionadas. Tiempo perdido en limpieza. Son problemas muy reales para una empresa pequeña mucho antes de que llegue el regulador.
Empiece esta semana con lo básico: liste flujos de datos, asigne bases legales, revise contratos con proveedores, recorte conservación y escriba un flujo de brechas y solicitudes que una persona pueda ejecutar bajo presión. Repáselo de nuevo cuando la empresa sume una herramienta, un mercado o un nuevo canal de contratación.
FAQ: GDPR básico para pequeñas empresas
¿Una startup de dos personas puede caer bajo GDPR?
Sí. El GDPR mira la actividad de tratamiento, no solo el tamaño del equipo. Una startup de dos personas que capta leads, factura clientes, contrata personal o analiza usuarios de la UE ya trata datos personales.
¿El consentimiento es la base principal para todo?
No. El consentimiento es solo una de varias bases. Muchas operaciones rutinarias dependen de contrato u obligación legal. Usar consentimiento donde encaja mejor otra base puede crear problemas innecesarios.
¿Siempre hace falta el registro del artículo 30?
No siempre, pero muchas empresas pequeñas deberían llevar uno. La regla de menos de 250 empleados tiene excepciones y un registro práctico corto ayuda mucho en control interno y revisión externa.
¿Hace falta un DPO antes de levantar inversión?
Levantar inversión no activa por sí solo la obligación. La prueba es si la actividad principal implica monitorización a gran escala o tratamiento a gran escala de datos sensibles o penales.
¿Cuál es la primera corrección más rápida?
Crear un mapa de datos y una lista de proveedores. Esos dos documentos suelen revelar bases legales dudosas, plazos de conservación borrosos, contratos débiles y sistemas olvidados.
Este contenido es información general, no asesoramiento legal ni fiscal. Las reglas cambian y dependen de la situación concreta.
Si su empresa trata datos de clientes, empleados o leads de la UE y necesita una estructura práctica en lugar de una plantilla genérica, Corpenza puede ayudar con auditoría y cumplimiento y una revisión acotada a través de contacto.
