GDPR Compliance for SMEs in Spain: What the New Simplified Rules Mean for Your Business

If you run a small or medium-sized business in Spain, the GDPR has always affected you — and the AEPD has never hesitated to show it.

The Spanish Data Protection Agency regularly fines SMEs. Video surveillance without the mandatory informational sign, sending commercial emails without valid consent, ignoring a customer's data access request — these are not infractions exclusive to large corporations. They are everyday failures of companies with five employees, twenty employees, one hundred employees. And they have real consequences in the form of economic sanctions.

That's why, when the European Commission announced a significant regulatory simplification package in November 2025 — specifically aimed at easing the compliance burden for smaller businesses — it was big news.

The proposal, known as the Digital Omnibus, includes amendments aimed at the GDPR that would reduce certain administrative obligations for SMEs and smaller companies. If adopted, it will practically change some of the duties you currently have under the GDPR.

But here's the critical point many businesses are overlooking: the Digital Omnibus does not yet have the force of law. It is still moving through the EU legislative process. The full GDPR still applies to your business today, exactly as it always has.

This guide explains what the proposed changes are, what they actually mean for SMEs in Spain, what obligations have not changed and will not change — and what you should do right now, regardless of what the legislation becomes.

For a complete overview of the GDPR and how it applies to businesses of all sizes, check out our main guide: EU GDPR Compliance for Businesses: The Complete Guide (2026).

What Is the EU Digital Omnibus and Why Does It Matter to SMEs?

On November 19, 2025, the European Commission published a legislative package called the Digital Omnibus — a proposal to rationalize, simplify, and consolidate the EU's digital regulatory framework, including specific amendments to the GDPR.

The driving force behind this initiative was the recognition — supported by years of feedback from the business sector and by a 2024 competitiveness report by former ECB governor Mario Draghi — that the accumulation of European digital regulation had become one of the most complex compliance environments in the world, and that smaller businesses were bearing a disproportionate share of that administrative burden.

Justice Commissioner Michael McGrath was explicit in presenting the package: it was not "a reopening of the GDPR" and its "core remains intact." Executive Vice-President Henna Virkkunen added that "simplifying does not mean lowering our standards."

What it does mean — if it is eventually adopted — is that certain specific administrative obligations of the GDPR would be less demanding for smaller organizations. The changes are targeted and limited, not an in-depth overhaul.

The proposal is currently moving through the EU's ordinary legislative procedure, with the involvement of the European Parliament and the Council of the EU. Under the standard process, final adoption is expected sometime in mid-to-late 2026. Some provisions may be substantially amended during negotiations. None of the proposed GDPR amendments are in force today.

What the Digital Omnibus Proposes for SMEs: The Concrete Changes

1. The Extension of the ROPA Exemption — The Most Important Practical Change

The most significant change proposed for SMEs relates to the Record of Processing Activities, or ROPA.

Under the current GDPR (Article 30), every organization that processes personal data must maintain a written record of all its processing activities — what data it collects, for what purpose, how long it keeps it, with whom it shares it, and what security measures it applies. This record is the ROPA, and it is one of the first documents the AEPD requests in any inspection.

There is currently a partial exemption for organizations with fewer than 250 employees. These organizations are not required to maintain a ROPA unless their processing is likely to pose a risk to individuals' rights, their processing is not occasional, or they handle special categories of sensitive data (such as health information, biometric data, or criminal records).

In practice, this exemption is much narrower than most small businesses believe. If you have employees, you are processing HR data on a regular basis — that makes the processing non-occasional. If you have any kind of CRM or marketing system, the same applies. Most SMEs that believe they are exempt from the ROPA obligation are not.

The Digital Omnibus proposes to significantly expand this exemption. The proposal would raise the employee threshold from 250 to 750 — meaning organizations with fewer than 750 employees would be exempt, with the same conditions regarding high-risk processing. The Council's position has proposed going even further, extending the exemption to organizations with fewer than 1,000 employees for certain categories.

It is important to note that the European Data Protection Board (EDPB) and the European Data Protection Supervisor (EDPS) issued a joint opinion in July 2025 welcoming the proposal, while emphasizing that the exemption would not eliminate the obligation to keep records entirely. Organizations would still be required to maintain records for any processing that is "likely to entail a high risk" for data subjects. This includes large-scale employee monitoring, processing of health or biometric data, and systematic profiling.

EDPB Chair Anu Talus clearly articulated the change: it offers greater flexibility to SMEs to "choose the most appropriate method to comply" — not a way to completely bypass compliance.

What this means for your business right now: The extended ROPA exemption is not law. If your company has fewer than 250 employees and your processing genuinely meets the current exemption conditions, you already benefit from partial relief. If you are unsure whether it applies to you, assume you need a ROPA — because the AEPD will assume it.

2. Extension of SME Benefits to Mid-Cap Companies (MCCs)

The Digital Omnibus also introduces a new category: Mid-Cap Companies, or MCCs. These are companies that exceed the standard SME thresholds but are not large enterprises — specifically, companies with fewer than 750 employees and an annual turnover not exceeding 150 million euros or a total balance sheet not exceeding 129 million euros.

Currently, certain GDPR compliance tools — such as codes of conduct and certification mechanisms — are designed with the needs of SMEs in mind. The proposal would extend this consideration to MCCs, ensuring that compliance support mechanisms also take into account the reality of slightly larger companies that still lack the resources of large corporations.

3. Codes of Conduct and Certification — Extended to MCCs

The GDPR provisions requiring data protection authorities and sector bodies to develop codes of conduct and certification mechanisms currently specify that the particular needs of SMEs must be taken into account. The Digital Omnibus proposes to extend this to MCCs, so that compliance frameworks developed under the GDPR are designed to be viable for a wider range of business sizes.

4. What the Omnibus Does NOT Change

This point is fundamental for any SME reading this guide.

The Digital Omnibus does not propose changes to:

• The seven fundamental principles of the GDPR — lawfulness, fairness, transparency, purpose limitation, data minimization, accuracy, storage limitation, integrity, confidentiality, and proactive accountability

• The six legal bases for processing personal data

• The rights of data subjects — the right to access, erasure, rectification, portability, restriction, and objection remain completely intact

• Data breach notification obligations (although the package includes a proposal to extend the deadline from 72 to 96 hours for notification to authorities)

• Data Protection Impact Assessments for high-risk processing

• The obligation to appoint a DPO when required by the GDPR or the Spanish LOPDGDD

• The AEPD's sanctioning powers or the fine structure

Every obligation relevant to your company's day-to-day compliance remains exactly the same.

What the GDPR Requires of All SMEs in Spain — Right Now

While the legislative process moves forward, this is what applies to your business today.

You Must Have a Legal Basis for Each Type of Processing

Before collecting or using any personal data, your company must be able to identify and document which of the six legal bases of the GDPR is applicable. For most SMEs, the most relevant are consent, contract, legal obligation, and legitimate interest. Defaulting to consent for everything is one of the most common and costly mistakes — consent must be free, specific, and as easy to withdraw as it is to give.

Your Privacy Notice Must Be Accurate and Up-to-Date

Every customer, website visitor, employee, or supplier whose personal data you collect has the right to be informed — clearly, in understandable language — about what data you collect, why you collect it, how long you keep it, with whom you share it, and how they can exercise their rights. A privacy policy copied from another website or not updated since 2018 does not comply with the GDPR. The AEPD strictly enforces transparency obligations.

You Must Have Procedures for Data Subject Rights Requests

Anyone whose personal data you hold can submit an access request asking for a copy of all the data you have about them. They can also ask you to correct, delete, or stop processing their data. You must respond within one month. Not responding — or responding incorrectly — is an autonomous GDPR infringement, and one that the AEPD regularly sanctions.

You Must Have Data Processing Agreements with Third Parties

Every external service you use that processes personal data on your behalf — your web hosting provider, your CRM platform, your email marketing tool, your payroll system, your IT support company — requires a Data Processing Agreement. If you do not have signed contracts, you are currently in breach of the GDPR, regardless of your company's size.

You Must Have a Data Breach Response Plan

If a personal data breach occurs — a compromised email account, an email sent by mistake with customer data, a stolen laptop, a misconfigured cloud folder — you could have 72 hours from the moment you become aware to notify the AEPD. You must also notify affected individuals directly if the breach poses a high risk to their rights. Without a documented protocol for detecting, assessing, and communicating breaches, meeting that deadline is practically impossible.

The LOPDGDD Adds Additional Obligations in Spain

Companies operating in Spain must comply not only with the GDPR but also with the Spanish national data protection law, the LOPDGDD (Organic Law 3/2018). This law adds obligations that go beyond the basic GDPR — including the mandatory appointment of a Data Protection Officer in specific sectors regardless of company size, specific rules on employee monitoring and digital rights in the workplace, and a minimum digital consent age set at 14 instead of the European standard of 16. For a complete analysis of both laws and how they interact, see: GDPR vs. Spain's LOPDGDD: Understanding Both Laws and Why Your Company Must Comply with Both.

Does Your SME Need a Data Protection Officer?

One of the most frequent questions from smaller businesses in Spain — and one that the Digital Omnibus does not resolve.

Under the GDPR, the appointment of a DPO is mandatory if your organization is a public authority, performs systematic large-scale monitoring of individuals, or processes special categories of sensitive data on a large scale. For many small businesses, this threshold is not met by the GDPR alone.

However, the Spanish LOPDGDD extends the obligation to appoint a DPO to specific sectors, regardless of company size. If your company operates in any of the following sectors, you are obliged to appoint a DPO even as a micro-enterprise:

• Private education (schools, academies, training centers)

• Healthcare (hospitals, clinics, pharmacies, medical laboratories)

• Private security companies

• Credit institutions and insurers

• Financial entities

• Advertising or market research companies that perform profiling

There is no minimum number of employees for these sectors. A self-employed person who manages a private tutoring academy in Spain is obliged to appoint a DPO. The AEPD has expressly confirmed this position. For everything you need to know about the DPO obligation in Spain, see: Does Your Company Need a Data Protection Officer (DPO) in Spain? The Rules Just Changed for SMEs.

The AEPD's Track Record with SMEs: Why Size Doesn't Protect You

Some entrepreneurs assume that the AEPD focuses only on large corporations and that small businesses operate under its radar. The history of sanctions says otherwise.

The AEPD regularly fines companies with fewer than ten employees. A gym fined 27,000 euros for requiring customers' fingerprints to access without having carried out an Impact Assessment. A small company sanctioned for installing a keylogger on staff computers without informing employees. A local business fined for sharing video surveillance images without consent. These are not exceptional cases — they are routine sanctioning decisions that appear in the AEPD's resolution register every month.

As of September 2025, Spain had issued more than 1,021 sanctions for GDPR infringement totaling approximately 120.7 million euros — more than any other EU country. The high volume of complaints (18,855 in 2024) means that infringements by companies of all sizes regularly reach the AEPD through the affected parties themselves. You do not need to be subject to a direct inspection — a single complaint from a customer or a former employee is enough to open a formal investigation.

For a complete analysis of how Spain's sanctioning activity compares to the rest of the EU and what patterns of infringement accumulate the largest fines, see: Why Spain Imposes More GDPR Fines Than Almost Any Other EU Country.

¿Qué Debe Hacer Tu Pyme Ahora Mismo?

Dado que el Ómnibus Digital aún no es ley — y puede cambiar antes de serlo — el enfoque más sensato para cualquier pyme en España es construir tu base de cumplimiento sobre las normas actuales, no sobre alivios futuros propuestos.

Este es un marco de partida práctico:

Paso 1 — Realiza una auditoría de datos. Identifica cada categoría de datos personales que tu empresa recoge, dónde se almacenan, cuánto tiempo los conservas y quién tiene acceso. Esta es la base del RAT y el punto de partida de todas las demás decisiones de cumplimiento.

Paso 2 — Identifica tu base jurídica para cada tipo de tratamiento. Documenta en qué base jurídica te apoyas para recoger datos de clientes, datos de empleados, listas de contactos de marketing y cualquier otra actividad de tratamiento. No recurras al consentimiento por defecto salvo que sea genuinamente aplicable.

Paso 3 — Revisa tus avisos de privacidad. Audita la política de privacidad de tu web, el banner de cookies, el aviso de protección de datos para empleados y cualquier otra comunicación sobre privacidad para asegurarte de que son exactos, completos y están redactados en lenguaje claro.

Paso 4 — Firma los Contratos de Encargo de Tratamiento. Elabora un listado de cada servicio de terceros que trate datos personales por tu cuenta y comprueba si existe un contrato de encargo firmado. Si no existe, solicítalo.

Paso 5 — Crea un protocolo de respuesta ante brechas. Asigna la responsabilidad de detectar y escalar una posible brecha de datos. Documenta los pasos para valorar la gravedad y notificar a la AEPD en el plazo de 72 horas si fuera necesario.

Paso 6 — Decide sobre la figura del DPD. Evalúa si tu sector requiere un DPD obligatorio bajo la LOPDGDD. Si no es obligatorio, valora si tus actividades de tratamiento — especialmente si gestionas datos de empleados, información sanitaria de clientes o marketing a escala — hacen aconsejable contar con un DPD o un consultor externo de privacidad.

Paso 7 — Forma a tu equipo. Toda persona en tu empresa que maneje datos personales necesita comprender los conceptos básicos — qué se considera dato personal, cómo reconocer una brecha, a quién comunicarla y qué derechos tienen los clientes. La formación del personal es en sí misma una exigencia de responsabilidad proactiva bajo el RGPD.

Preguntas Frecuentes

¿Se aplica el RGPD a las pequeñas empresas en España?

Sí, íntegramente. El RGPD se aplica a cualquier organización que trate datos personales de personas en la UE, independientemente de su tamaño, facturación o número de empleados. No existe ninguna exención general para las pequeñas empresas. El único alivio parcial actualmente disponible se refiere a la obligación del RAT para organizaciones con menos de 250 empleados — y aun esa exención tiene condiciones estrictas que la mayoría de los negocios activos no cumplen.

¿Qué es el Ómnibus Digital de la UE y reducirá las obligaciones del RGPD para mi pyme?

El Ómnibus Digital es una propuesta legislativa publicada por la Comisión Europea en noviembre de 2025. Propone elevar el umbral de exención del RAT de 250 a 750 empleados y extender algunos mecanismos de apoyo al cumplimiento a empresas algo más grandes. No modifica los principios fundamentales del RGPD, los derechos de los interesados, las obligaciones de notificación de brechas ni las normas sobre el DPD. Todavía no tiene fuerza de ley. Se espera la adopción final en algún momento de mediados o finales de 2026, sujeta a negociaciones.

¿Estoy obligado a mantener un Registro de Actividades de Tratamiento (RAT) como pyme?

Si tienes menos de 250 empleados, puede que te aplique la exención actual del RAT — pero solo si tu tratamiento es ocasional, improbable que suponga un riesgo para las personas y no incluye categorías especiales de datos. Si tienes cualquier empleado, cualquier base de datos habitual de clientes o cualquier actividad de marketing, es muy probable que no cumplas los requisitos de la exención. La AEPD considera el RAT un documento básico de cumplimiento y espera encontrarlo en cualquier inspección.

¿Necesita mi pequeña empresa en España un Delegado de Protección de Datos? Depende de a qué se dedique tu empresa. Solo con el RGPD, la mayoría de las pymes no necesitan un DPD. Sin embargo, la LOPDGDD española exige la designación de DPD en sectores específicos — incluyendo sanidad, educación privada, servicios financieros, seguros y seguridad — independientemente del tamaño de la empresa. Incluso fuera de esos sectores, el modelo de DPD externo como servicio es cada vez más habitual entre las pymes españolas y ofrece tanto apoyo al cumplimiento como un punto de contacto formal con la AEPD.

¿Puede la AEPD sancionar a mi pequeña empresa?

Sí. La AEPD sanciona empresas de todos los tamaños, incluidas las microempresas. Las infracciones más comunes a nivel de pyme incluyen videovigilancia ilícita, marketing sin consentimiento válido, falta de respuesta a solicitudes de derechos de los interesados y ausencia de aviso de privacidad. Las infracciones menores suelen conllevar sanciones de entre 1.000 y 30.000 euros, pero las reincidencias o las infracciones graves pueden derivar en multas mucho mayores.

¿Qué ocurre si recibo una reclamación de un cliente ante la AEPD?

Una reclamación presentada ante la AEPD abre una investigación formal. La AEPD contactará con tu empresa y solicitará documentación — habitualmente la política de privacidad, los registros del tratamiento en cuestión, la evidencia de la base jurídica y tu respuesta a la solicitud del interesado si la hubo. Disponer de documentación en regla reduce significativamente el riesgo de una sanción formal. Responder con prontitud y de manera colaborativa es además un factor atenuante en el cálculo de la multa.

¿Cuál es la diferencia entre el RGPD y la LOPDGDD para las pymes españolas?

El RGPD es el estándar mínimo europeo que se aplica a todas las empresas que traten datos personales de personas en la UE. La LOPDGDD es la ley nacional española que añade requisitos adicionales sobre ese estándar — incluyendo una edad de consentimiento digital más baja (14 años en lugar de 16), una lista más amplia de sectores donde la designación de DPD es obligatoria con independencia del tamaño de la empresa, derechos digitales específicos de los trabajadores y un bloqueo previo de datos antes de la supresión. Ambas leyes se aplican simultáneamente a las empresas en España.

¿Debo esperar a que el Ómnibus Digital se convierta en ley antes de ponerme en cumplimiento?

No. Las propuestas del Ómnibus Digital no modificarán las obligaciones fundamentales que ya tienes bajo el RGPD. Si la exención del RAT se amplía, eso ahorra trabajo administrativo en un documento específico — no cambia tus obligaciones sobre consentimiento, derechos de los interesados, notificación de brechas o seguridad. Construir tu base de cumplimiento ahora te da una protección jurídica real y te posiciona bien independientemente de cómo evolucione la legislación.

¿Cuáles son las infracciones del RGPD más comunes entre las pymes en España?

 Según los datos de reclamaciones de la AEPD y sus resoluciones sancionadoras, las infracciones más frecuentes entre las empresas más pequeñas son: videovigilancia sin cartel informativo ni consentimiento adecuado; envío de comunicaciones comerciales sin base jurídica válida; falta de respuesta a solicitudes de derechos de los interesados en el plazo de un mes; políticas de privacidad inexistentes o inadecuadas; y ausencia de Contratos de Encargo de Tratamiento con proveedores de servicios externos.

¿Dónde puedo encontrar plantillas prácticas para ayudar a mi pyme a cumplir con el RGPD?

Plantillas de cumplimiento prácticas y listas para usar — incluyendo un Registro de Actividades de Tratamiento, marcos de Evaluación de Impacto, contratos de encargo de tratamiento, formularios de notificación de brechas, plantillas de aviso de privacidad y mucho más — están incluidas en el curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas del Spanish Compliance Institute. El curso incluye 18 plantillas descargables diseñadas específicamente para el entorno regulatorio español.

El Panorama Real: La Simplificación Llega, Pero el Cumplimiento Es Ahora

El Ómnibus Digital de la UE representa un cambio genuino en la forma en que Bruselas percibe la carga de cumplimiento de las empresas más pequeñas. Si se adopta tal como está propuesto, la ampliación de la exención del RAT por sí sola reducirá el trabajo administrativo de cientos de miles de pymes en toda la UE.

Pero "próximamente" no es lo mismo que "ahora". La AEPD no detiene la actividad inspectora mientras se negocia la legislación. Su bandeja de entrada de reclamaciones sigue abierta. Su programa de inspecciones continúa. Su cálculo de multas no tiene ningún descuento por "reforma pendiente".

Las empresas que más se beneficiarán de las simplificaciones del Ómnibus Digital son las que ya hayan construido una base sólida de cumplimiento — porque tendrán menos que ajustar, no más que ponerse al día.

Si tu pyme ha estado esperando a que el RGPD se simplifique antes de empezar, la respuesta honesta es: no esperes.

El curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas del Spanish Compliance Institute está diseñado específicamente para esto. Cinco módulos estructurados te llevan desde los fundamentos del RGPD hasta el cumplimiento avanzado, la evaluación de riesgos y los requisitos de la LOPDGDD que aplican específicamente en España. Incluye 18 plantillas de cumplimiento descargables que puedes empezar a usar de inmediato — sin esperar a ningún plazo legislativo futuro.

Construye hoy el marco de cumplimiento de tu pyme →

También en esta serie:

• Cumplimiento del RGPD de la UE para Empresas: La Guía Completa (2026)

• Por Qué España Impone Más Multas por el RGPD que Casi Cualquier Otro País de la UE

• El RGPD y la AEPD en España: Todo lo que Tu Empresa Necesita Saber sobre la Agencia Española de Protección de Datos

• ¿Qué Ocurre si Tu Empresa Recibe una Multa por el RGPD en España? Un Análisis Paso a Paso

• Las Normas de Consentimiento del RGPD en 2026: Lo que las Empresas Españolas Deben Actualizar Ahora

• ¿Necesita Tu Empresa un Delegado de Protección de Datos (DPD) en España? Las Reglas Acaban de Cambiar para las Pymes

• RGPD e Inteligencia Artificial: Lo que las Empresas Españolas que Usan Herramientas de IA Deben Hacer Antes de Agosto de 2026 

• Cómo Gestionar una Brecha de Datos del RGPD como Empresa en España: La Regla de las 72 Horas Explicada

• ¿Transfieres Datos de Clientes Fuera de la UE? Lo que las Empresas Españolas Deben Saber en 2026 

• RGPD frente a la LOPDGDD de España: Entender Ambas Leyes y Por Qué Tu Empresa Debe Cumplir las Dos

Este artículo tiene una finalidad exclusivamente informativa y no constituye asesoramiento jurídico. Para orientación específica sobre las circunstancias de tu organización, consulta con un profesional cualificado en protección de datos o un asesor jurídico.