Blog
Checklist: pon una empresa en regla con el RGPD en 15 minutos
Información general sobre normativa. No sustituye el asesoramiento de un abogado ni el análisis de tu caso concreto.
Poner tu empresa en regla con el RGPD en 15 minutos significa completar 10 pasos mínimos: saber qué datos manejas, tener tus cláusulas informativas listas, firmar los contratos con quien trata datos por ti y saber qué hacer si hay un fallo de seguridad. Esta checklist te lleva paso a paso, con el artículo exacto del Reglamento (UE) 2016/679 (RGPD) o de la Ley Orgánica 3/2018 (LOPDGDD) que respalda cada punto. Última revisión: 16 de julio de 2026.
Sumario
- ¿Qué cubre esta checklist y qué no cubre?
- Paso 1: ¿sabes qué datos maneja tu negocio?
- Paso 2: ¿tienes tu registro de actividades de tratamiento?
- Paso 3: ¿tus clientes saben qué haces con sus datos?
- Paso 4: ¿tienes cámaras? ¿está el cartel puesto?
- Paso 5: ¿quién trata datos por ti, y tienes el contrato firmado?
- Paso 6: ¿tu equipo sabe que debe guardar confidencialidad?
- Paso 7: ¿sabes qué hacer si hay un fallo de seguridad?
- Paso 8: ¿sabes responder si alguien te pide sus datos?
- Paso 9: ¿tiene tu web la política de privacidad y de cookies?
- Paso 10: ¿cuándo lo revisas otra vez?
- ¿Qué pasa si no lo tienes en regla?
- Preguntas frecuentes
¿Qué cubre esta checklist y qué no cubre?
Esta checklist te da una base mínima defendible, no una auditoría completa. Sirve para autónomos, pymes y negocios de cualquier sector: un restaurante, una peluquería, una clínica, un taller. No sustituye un análisis hecho a medida de tu negocio, sobre todo si manejas datos delicados como los de salud.
Cada paso tiene tres cosas: qué comprobar, cuánto tiempo lleva y el artículo de la ley que lo exige. Si contestas «no lo sé» en algún punto, márcalo y vuelve a él con calma: no hace falta terminarlo todo en la misma sesión.
Paso 1: ¿sabes qué datos maneja tu negocio? (2 minutos)
Antes de cualquier documento, necesitas la lista básica. Apunta, sin pensarlo mucho:
- Los datos de tus clientes (nombre, email, teléfono, y si guardas algo más).
- Los datos de tus empleados (nómina, contrato, y si usas huella o cámara para el fichaje).
- Los datos de tus proveedores.
- Si tienes cámaras, boletín de marketing o formularios en tu web.
No hace falta que sea perfecto. Es el borrador sobre el que vas a construir el resto de la checklist. Este primer inventario es la base del registro de actividades de tratamiento que exige el artículo 30 del RGPD.
Paso 2: ¿tienes tu registro de actividades de tratamiento? (3 minutos)
El registro de actividades de tratamiento (RAT) es tu lista de los datos que manejas y para qué, tratamiento por tratamiento. Te sirve para demostrarlo si te lo pide la Agencia Española de Protección de Datos (AEPD).
- [ ] Tienes una ficha por cada cosa que haces con datos: clientes, empleados, proveedores, cámaras, marketing.
- [ ] Cada ficha dice qué datos son, para qué los usas, quién más los ve y cuánto tiempo los guardas.
Este documento es obligatorio para prácticamente cualquier negocio (art. 30 RGPD). La AEPD ofrece una herramienta gratuita, Facilita RGPD, pensada para negocios con tratamientos de bajo riesgo: un cuestionario de unos 20 minutos que genera los documentos mínimos, incluido el RAT.
Paso 3: ¿tus clientes saben qué haces con sus datos? (2 minutos)
Cada vez que pides un dato a un cliente —en un formulario, un contrato o una reserva— tienes que decirle qué haces con él. Esto se llama informar sobre el tratamiento (art. 13 RGPD).
- [ ] Tus formularios y contratos llevan una cláusula que dice quién eres, para qué usas los datos y cuánto tiempo los guardas.
- [ ] Si pides el consentimiento para algo (por ejemplo, enviar publicidad), la casilla está vacía por defecto: nadie la marca por ti.
Un consentimiento premarcado no es válido: la ley exige una acción afirmativa clara de la persona (art. 4.11 y art. 7 RGPD).
Paso 4: ¿tienes cámaras? ¿está el cartel puesto? (2 minutos)
Si grabas imágenes de personas —la del escaparate, la del almacén, incluso una cámara de móvil fija—, estás tratando sus datos.
- [ ] Hay un cartel visible en cada acceso a la zona con cámaras, con tu identidad y dónde ejercer los derechos de protección de datos.
- [ ] Sabes cuánto tiempo guardas las grabaciones y por qué.
El cartel tiene un modelo oficial: la propia AEPD publica el cartel de videovigilancia listo para imprimir (art. 22 LOPDGDD, art. 13 RGPD). No hace falta inventarlo: se copia tal cual.
Paso 5: ¿quién trata datos por ti, y tienes el contrato firmado? (3 minutos)
Una gestoría, un informático, una empresa de hosting o una herramienta de email marketing que maneja datos de tus clientes o empleados es lo que la ley llama un encargado del tratamiento: una empresa externa que maneja datos por ti.
- [ ] Tienes una lista de quién trata datos por ti fuera de tu negocio.
- [ ] Con cada uno de ellos, hay un contrato firmado que les obliga a proteger esos datos igual que tú.
Este contrato es obligatorio, no opcional (art. 28 RGPD). Si contratas a alguien nuevo que va a tocar datos de tus clientes o de tu equipo, el contrato se firma antes de darle acceso, no después.
Paso 6: ¿tu equipo sabe que debe guardar confidencialidad? (1 minuto)
Cualquier persona que trabaje contigo y vea datos de clientes o de otros compañeros tiene el compromiso de no contar lo que ve en el trabajo.
- [ ] Cada persona de tu equipo ha firmado un compromiso de confidencialidad, o lo tiene por escrito en su contrato.
Esta obligación está prevista expresamente para el sector privado (art. 5 LOPDGDD). Es uno de los documentos más rápidos de resolver y de los que más se olvidan.
Paso 7: ¿sabes qué hacer si hay un fallo de seguridad? (1 minuto)
No hace falta que nunca te pase nada. Pero conviene saber, antes de que ocurra, qué tienes que hacer si pierdes un móvil con datos, si alguien entra en tu email o si envías datos a quien no tocaba.
- [ ] Sabes que tienes 72 horas desde que te enteras para avisar a la AEPD, si el fallo supone un riesgo para las personas afectadas.
- [ ] Sabes que, aunque no haga falta avisar a la AEPD, tienes que dejarlo apuntado en tu registro interno de incidentes.
El plazo de 72 horas y el registro interno de incidentes están en el artículo 33 del RGPD. La AEPD publica una guía práctica para gestionar y notificar brechas de seguridad con el paso a paso completo.
Paso 8: ¿sabes responder si alguien te pide sus datos? (1 minuto)
Cualquier persona —un cliente, un exempleado— puede pedirte ver sus datos, corregirlos, que los borres o que se los pases en un archivo.
- [ ] Sabes que tienes 1 mes para responder desde que recibes la petición (con posibilidad de ampliarlo 2 meses más si la petición es compleja).
- [ ] Tienes claro a qué email o dirección debe llegar esa petición.
El plazo de un mes está en el artículo 12.3 del RGPD. La AEPD publica un formulario modelo para el derecho de acceso que puedes adaptar a tu negocio.
Paso 9: ¿tiene tu web la política de privacidad y de cookies? (1 minuto)
Si tienes web, aunque sea solo informativa, necesitas dos textos básicos: qué haces con los datos que recoges (formulario de contacto, newsletter) y qué cookies usas.
- [ ] Tu web tiene una política de privacidad enlazada desde cualquier formulario.
- [ ] El aviso de cookies deja elegir con el mismo peso visual «aceptar» y «rechazar»: nada de un botón grande de aceptar y un enlace pequeño para rechazar.
Esto combina el RGPD con la normativa española de servicios de la sociedad de la información (LSSI) para las cookies no esenciales.
Paso 10: ¿cuándo lo revisas otra vez? (1 minuto)
Esta checklist no se rellena una sola vez. Se revisa cuando cambia algo real en tu negocio: un empleado nuevo, un proveedor nuevo, una cámara nueva, una herramienta nueva.
- [ ] Tienes una fecha en el calendario para repasarla, al menos una vez al año.
Con esto tienes cubiertos los 10 puntos. Si has llegado hasta aquí y te faltan varios, no pasa nada: apunta cuáles y sigue por el siguiente que te resulte más fácil.
¿Qué pasa si no lo tienes en regla?
La AEPD es quien vigila esto en España. Puede pedir explicaciones, ordenar cambios, avisar o poner una multa. El RGPD fija los máximos posibles en dos niveles: hasta 10 millones de euros o el 2 % de la facturación mundial anual, y hasta 20 millones o el 4 %, según la infracción (art. 83 RGPD). Se aplica la cifra más alta de las dos.
En la práctica esas cifras son el techo legal, no lo habitual: la sanción se gradúa según la gravedad, el tamaño del negocio y si has colaborado. Un negocio pequeño que se organiza y responde bien no está en ese escenario. Por eso estás aquí: para tenerlo hecho y dejar de pensar en ello.
Preguntas frecuentes
¿Esta checklist sustituye una auditoría completa?
No. Es una base mínima para negocios con tratamientos de datos de bajo riesgo. Si manejas datos de salud, de menores o haces perfiles a gran escala, necesitas un análisis más a fondo, y puede que una evaluación de impacto (art. 35 RGPD).
¿Sirve para autónomos sin empleados?
Sí. Si tienes clientes, proveedores o una web con formulario, ya tratas datos personales. Los pasos 6 (confidencialidad de empleados) no aplican si trabajas solo, pero el resto sí.
¿Necesito un delegado de protección de datos (DPD)?
Depende de tu actividad y del volumen de datos que manejes, no del número de empleados. La mayoría de pymes y autónomos no están obligados. La orientación de la AEPD para pymes explica los casos concretos en los que sí hace falta.
¿Qué pasa si detecto que me falta algo al hacer la checklist?
Nada urgente ni retroactivo: simplemente hazlo lo antes que puedas, empezando por lo más fácil. La AEPD valora la actitud de quien se organiza y corrige, no solo el resultado final en un momento dado.
¿Cada cuánto tengo que repasar esta checklist?
Al menos una vez al año, y siempre que cambie algo real en tu negocio: un empleado nuevo, una cámara nueva, un proveedor nuevo o una herramienta nueva que toque datos de clientes.
¿Esta checklist es un documento legal por sí sola?
No. Es contenido informativo para orientarte. Los documentos que necesitas de verdad (registro de actividades, cláusulas, contratos, cartel) son piezas aparte, adaptadas a tu negocio.
¿Prefieres hacer estos 10 pasos de forma guiada, con los documentos ya redactados y listos para firmar? El nivel gratuito de Tranquilia cubre hasta 2 empresas, con todas las funciones, sin límite de tiempo y sin tarjeta. Pruébalo gratis o consulta los precios si necesitas más empresas.
Si tu negocio tiene cámaras, el siguiente paso natural es generar tu cartel de videovigilancia con tus datos ya rellenos.
Contenido elaborado con apoyo de inteligencia artificial y verificado contra fuentes oficiales (AEPD, BOE, EUR-Lex) por Tranquilia by GRAC SA. No constituye una certificación oficial ni un dictamen jurídico. Consulta con tu gestoría o un profesional del derecho para tu caso concreto.
Fuentes citadas en este artículo:
- Reglamento (UE) 2016/679 (RGPD) — texto consolidado, EUR-Lex
- Ley Orgánica 3/2018, de 5 de diciembre (LOPDGDD) — BOE-A-2018-16673
- AEPD — ¿Qué es el Registro de Actividades de Tratamiento?
- AEPD — Facilita RGPD
- AEPD — Orientación a pequeñas y medianas empresas (PYMES)
- AEPD — Brechas de datos personales
- AEPD — Guía para la notificación de brechas de datos personales (PDF)
- AEPD — Cartel informativo de videovigilancia, modelo oficial (PDF)
- AEPD — Preguntas frecuentes sobre videocámaras
- AEPD — Formulario para ejercer el derecho de acceso (PDF)
Revisión: Redactado con apoyo de IA y verificado contra fuentes oficiales (AEPD, BOE, EUR-Lex). No sustituye asesoramiento jurídico individualizado.
Pon a tus clientes en regla con el RGPD en 15 minutos.
Sin tarjeta. Sin comerciales. Dos empresas gratis, sin límite de tiempo.