Checklist de cumplimiento RGPD para pymes: actualización 2026
Desde la entrada en vigor del RGPD (Reglamento UE 2016/679) en mayo de 2018 han llegado dos generaciones de actualizaciones, y para 2026 entran en vigor las nuevas directrices del CEPD sobre sistemas de IA, almacenamiento en la nube fuera de la UE y conservación de telemetría. Las multas a pymes por infracciones RGPD han crecido en España entre 2023 y 2025 un 320 %. A continuación presentamos un checklist práctico de 20 puntos que en 2026 puede gestionar cualquier empresa sin DPO externo.
Por qué el cumplimiento del RGPD merece la pena incluso para una empresa de 15 personas
En 2026 ya no valen los argumentos del tipo “el RGPD no nos afecta, somos pequeños”. La Agencia Española de Protección de Datos (AEPD) confirmó en su memoria de 2024 que el 62 % de las multas se impusieron a empresas de hasta 50 empleados. Multa media: 8.200 EUR. Mayor multa en España: 94.000 EUR (e-commerce, mala gestión de las solicitudes de los interesados).
Más allá de las multas existe otro riesgo: los contratos B2B. Las grandes empresas exigen hoy DPA (Data Processing Agreement) y auditorías de seguridad a todos sus proveedores. Sin cumplimiento, se pierden licitaciones.
Consejo: El RGPD no es un proyecto puntual, es un proceso continuo. Repase este checklist una vez al año, idealmente en el primer trimestre tras el cierre fiscal, cuando ya está revisando procesos.
Checklist RGPD de 20 puntos para pymes españolas (2026)
Bases y documentación (1-5)
1. ¿Tiene actualizado el registro de actividades de tratamiento (art. 30 del RGPD)? Hoja de Excel con la lista: tipo de datos, finalidad, base jurídica, plazo de conservación, destinatarios. Obligatorio para empresas de más de 250 personas y, en la práctica, también para las menores que tratan datos sensibles.
2. ¿Tiene en cada contrato un consentimiento informado correcto o cualquier otra base jurídica conforme al art. 6 del RGPD? Newsletters de marketing, consentimiento opt-in. Facturas, interés legítimo + obligación legal.
3. ¿Tiene actualizada la información sobre tratamiento de datos personales (privacy notice) en la web y en las recepciones? Mínimo 13 puntos según el art. 13 del RGPD. Concreta, no del estilo “tratamos sus datos conforme a la ley”.
4. ¿Tiene firmado el DPA con todos los encargados del tratamiento (proveedores cloud, asesoría, agencia de RR. HH., proveedor IT)? RGPD art. 28: el contrato escrito es obligatorio. Para 2026 verifique que el DPA cubra también los subprocessors de IA (ChatGPT, Claude, etc.).
5. ¿Tiene designada una persona responsable (DPO o contacto interno)? El DPO es obligatorio cuando hay un alcance amplio de datos sensibles (sanidad, biometría, judicial). Para una pyme suele bastar con un contacto interno, pero debe estar definido y públicamente disponible.
Medidas técnicas (6-12)
6. ¿Sus datos están alojados en la UE? Servidores fuera de la UE = problema Schrems II. Tras la caída del marco UE-EE. UU. de privacidad de datos en 2023, para una pyme la apuesta segura es el alojamiento exclusivamente en la UE (idealmente DE, FR, ES). Verifique dónde se ejecutan su ERP, su CRM y su correo. Más sobre nuestro enfoque en la página de seguridad.
7. ¿Tiene 2FA activado en todas las cuentas de administrador? La contraseña “admin123” no basta en 2026. Obligatoria de facto si tiene acceso a datos personales de más de 1.000 personas.
8. ¿Tiene copias de seguridad periódicas y un plan de recuperación verificado? Test de restauración al menos 2 veces al año. Los ataques ransomware a pymes españolas crecieron en 2024 un 180 %.
9. ¿Cifra los datos personales en reposo (at rest) y en tránsito (in transit)? HTTPS en todas partes. AES-256 o equivalente para bases de datos. Para categorías sensibles (salud, finanzas) supone un plus en auditoría.
10. ¿Dispone de log de auditoría que registra el acceso a los datos personales? “Quién, cuándo, qué registro vio o modificó”. Sin él no superará una auditoría B2B seria ni la respuesta a una brecha. Modulario proporciona este log de auditoría de forma nativa: más información en la página de seguridad.
11. ¿Tiene políticas de retención y borrado automático tras el plazo establecido? LOPDGDD + LGT 58/2003: facturas 6 años (10 años en sectores específicos), datos de personal hasta varias décadas (jubilación), consentimientos de marketing hasta su revocación o 24 meses.
12. ¿Aplica seudonimización o anonimización donde es posible? Por ejemplo, analítica web sin direcciones IP, dashboard interno con hash ID de los empleados.
Procesos (13-17)
13. ¿Tiene definido el proceso para responder a solicitudes de los interesados (acceso, rectificación, supresión)? Plazo: 1 mes, prorrogable a 3 en casos complejos. ¿Quién en la empresa recibe el correo, quién verifica la identidad, quién ejecuta la supresión?
14. ¿Tiene un plan de respuesta ante incidentes de seguridad (data breach)? 72 horas para la notificación a la AEPD. En la práctica dispone de menos de 24 h hasta que el incidente se le va de las manos. Plantilla + persona responsable + plan de comunicación.
15. ¿Tiene al equipo formado? Al menos formación anual para todos los que manejan datos personales. Un e-learning de 2 horas basta para lo básico.
16. ¿Realiza due diligence sobre el proveedor (vendor due diligence) al incorporar nuevos proveedores? Cuestionario en SaaS: ¿dónde alojan? ¿Tienen ISO 27001 / SOC 2? ¿Qué estructura de subencargados tienen? ¿Tienen DPA preparado?
17. ¿Realiza EIPD (Evaluación de Impacto en la Protección de Datos) para tratamientos de riesgo? Obligatoria para monitorización sistemática, tratamiento de categorías sensibles a gran escala y decisiones automatizadas. En 2026 también para algunos casos de uso de IA (ver Reglamento de IA).
Particularidades de 2026 (18-20)
18. ¿Mapea los sistemas y modelos de IA que tratan datos personales? Nuevas directrices CEPD 2025: si un modelo de IA trata datos personales (chatbot, asistente de RR. HH., scoring de IA), debe tener EIPD + transparencia.
19. ¿Tiene reglas claras para el uso de IA generativa (ChatGPT, Claude, Copilot)? Los empleados copian habitualmente datos de clientes en herramientas de IA públicas. Una política + whitelist + cuentas enterprise resuelven el problema.
20. ¿Tiene preparado el proceso para una auditoría RGPD (interna o externa)? Anualmente repase el checklist; cada 2 años, auditoría externa. El acta sirve en licitaciones.
Multas más frecuentes en España 2023-2025
| Infracción | Multa media | Frecuencia |
|---|---|---|
| Falta o consentimiento incorrecto en marketing | 3.200 EUR | Muy alta |
| No respuesta a solicitud del interesado | 5.800 EUR | Alta |
| Ausencia de DPA con encargado | 4.500 EUR | Alta |
| Data breach sin notificación | 12.000 EUR | Media |
| Medidas técnicas inadecuadas | 8.400 EUR | Media |
Consejo: La inversión más barata y eficaz en RGPD para 2026 es disponer de un sistema ERP/CRM con log de auditoría nativo, hosting en la UE y DPA firmado. Cubre automáticamente 10 de los 20 puntos de este checklist.
Conclusión
El cumplimiento del RGPD no es un coco, es una disciplina. El checklist anterior lo completa la pyme media española en 2-4 días de trabajo. Las multas parten de varios miles de EUR y el regulador en 2026 está más activo que nunca. Si añade la presión de los clientes B2B por DPA y certificados de seguridad, tiene un business case completo.
¿Necesita un sistema ERP/CRM que resuelva el RGPD de forma nativa, con hosting en la UE, log de auditoría y políticas automáticas de retención? Consulte el detalle de nuestras medidas de seguridad o contacte a través de la consulta gratuita. Le prepararemos un entorno listo para el RGPD en 2 semanas.