Curso Destacado de RGPD
Certificación Práctica en Protección de Datos y RGPD
Aprenda a fortalecer procesos de cumplimiento, gobernanza de privacidad y controles de datos.
Si diriges una pequeña o mediana empresa en España, el RGPD siempre te ha afectado — y la AEPD nunca ha dudado en demostrarlo.
La Agencia Española de Protección de Datos sanciona a pymes con regularidad. Videovigilancia sin el cartel informativo obligatorio, envío de correos comerciales sin consentimiento válido, ignorar la solicitud de acceso a datos de un cliente — estas no son infracciones exclusivas de las grandes corporaciones. Son los fallos cotidianos de empresas con cinco empleados, veinte empleados, cien empleados. Y tienen consecuencias reales en forma de sanciones económicas.
Por eso, cuando la Comisión Europea anunció en noviembre de 2025 un importante paquete de simplificación normativa — dirigido específicamente a aligerar la carga de cumplimiento de las empresas más pequeñas — fue una noticia relevante.
La propuesta, conocida como el Ómnibus Digital, incluye modificaciones dirigidas al RGPD que reducirían determinadas obligaciones administrativas para pymes y empresas más pequeñas. Si se adopta, cambiará en la práctica algunos de los deberes que hoy tienes bajo el RGPD.
Pero aquí está el punto crítico que muchas empresas están pasando por alto: el Ómnibus Digital todavía no tiene fuerza de ley. Sigue avanzando por el proceso legislativo de la UE. El RGPD completo sigue aplicándose a tu empresa hoy, exactamente igual que siempre.
Esta guía explica cuáles son los cambios propuestos, qué significan realmente para las pymes en España, qué obligaciones no han cambiado ni van a cambiar — y qué debes hacer ahora mismo, independientemente de en qué quede la legislación.
Para una visión completa del RGPD y cómo se aplica a todos los tamaños de empresa, consulta nuestra guía principal: Cumplimiento del RGPD de la UE para Empresas: La Guía Completa (2026).
¿Qué Es el Ómnibus Digital de la UE y Por Qué les Importa a las Pymes?
El 19 de noviembre de 2025, la Comisión Europea publicó un paquete legislativo denominado Ómnibus Digital — una propuesta para racionalizar, simplificar y consolidar el marco regulatorio digital de la UE, incluyendo modificaciones concretas al RGPD.
La fuerza motriz detrás de esta iniciativa fue el reconocimiento — respaldado por años de comentarios del sector empresarial y por un informe de competitividad de 2024 elaborado por el exgobernador del BCE Mario Draghi — de que la acumulación de regulación digital europea se había convertido en uno de los entornos de cumplimiento más complejos del mundo, y que las empresas más pequeñas estaban soportando una parte desproporcionada de esa carga administrativa.
El Comisario de Justicia, Michael McGrath, fue explícito al presentar el paquete: no era «una reapertura del RGPD» y su «núcleo central permanece intacto». La vicepresidenta ejecutiva, Henna Virkkunen, añadió que «simplificar no significa rebajar nuestros estándares».
Lo que sí significa — si finalmente se adopta — es que ciertas obligaciones administrativas específicas del RGPD serían menos exigentes para las organizaciones más pequeñas. Los cambios son dirigidos y acotados, no una revisión en profundidad.
La propuesta está avanzando actualmente por el procedimiento legislativo ordinario de la UE, con la participación del Parlamento Europeo y el Consejo de la UE. Con el proceso estándar, la adopción final se espera en algún momento de mediados o finales de 2026. Algunas disposiciones pueden modificarse sustancialmente durante las negociaciones. Ninguna de las enmiendas al RGPD propuestas está en vigor hoy.
Qué Propone el Ómnibus Digital para las Pymes: Los Cambios Concretos
1. La Ampliación de la Exención del RAT — El Cambio Práctico Más Importante
El cambio más significativo propuesto para las pymes tiene que ver con el Registro de Actividades de Tratamiento, o RAT.
Bajo el RGPD vigente (artículo 30), toda organización que trate datos personales debe mantener un registro escrito de todas sus actividades de tratamiento — qué datos recoge, con qué fin, cuánto tiempo los conserva, con quién los comparte y qué medidas de seguridad aplica. Este registro es el RAT, y es uno de los primeros documentos que la AEPD solicita en cualquier inspección.
Actualmente existe una exención parcial para organizaciones con menos de 250 empleados. Esas organizaciones no están obligadas a mantener un RAT salvo que su tratamiento sea probable que suponga un riesgo para los derechos de las personas, su tratamiento no sea ocasional, o manejen categorías especiales de datos sensibles (como información sanitaria, datos biométricos o antecedentes penales).
En la práctica, esta exención es mucho más estrecha de lo que la mayoría de las pequeñas empresas cree. Si tienes empleados, estás tratando datos de RRHH de forma regular — eso convierte el tratamiento en no ocasional. Si tienes cualquier tipo de CRM o sistema de marketing, lo mismo aplica. La mayoría de las pymes que creen estar exentas de la obligación del RAT no lo están.
El Ómnibus Digital propone ampliar esta exención de forma significativa. La propuesta elevaría el umbral de empleados de 250 a 750 — lo que significaría que las organizaciones con menos de 750 empleados quedarían exentas, con las mismas condiciones sobre el tratamiento de alto riesgo. La posición del Consejo ha propuesto ir aún más lejos, extendiendo la exención a organizaciones con menos de 1.000 empleados para determinadas categorías.
Es importante señalar que el Comité Europeo de Protección de Datos (CEPD) y el Supervisor Europeo de Protección de Datos (SEPD) emitieron en julio de 2025 una opinión conjunta acogiendo favorablemente la propuesta, a la vez que subrayaban que la exención no eliminaría la obligación de llevar registros en su totalidad. Las organizaciones seguirían estando obligadas a mantener registros para cualquier tratamiento que sea «probable que entrañe un alto riesgo» para los interesados. Esto incluye la monitorización de empleados a gran escala, el tratamiento de datos de salud o biométricos, y la elaboración de perfiles sistemáticos.
La presidenta del CEPD, Anu Talus, formuló el cambio con claridad: ofrece mayor flexibilidad a las pymes para «elegir el método más adecuado para cumplir» — no una vía para saltarse el cumplimiento por completo.
Qué significa esto para tu empresa ahora mismo: La ampliación de la exención del RAT no es ley. Si tu empresa tiene menos de 250 empleados y tu tratamiento cumple genuinamente las condiciones de exención actuales, ya te beneficias de un alivio parcial. Si no estás seguro de si te aplica, asume que necesitas un RAT — porque la AEPD lo asumirá.
2. Extensión de los Beneficios de las Pymes a las Empresas de Mediana Capitalización (EMC)
El Ómnibus Digital también introduce una nueva categoría: las Empresas de Mediana Capitalización, o EMC. Son empresas que superan los umbrales estándar de pyme pero no son grandes empresas — concretamente, compañías con menos de 750 empleados y un volumen de negocio anual que no supere los 150 millones de euros o un balance total que no supere los 129 millones de euros.
Actualmente, determinadas herramientas de cumplimiento del RGPD — como los códigos de conducta y los mecanismos de certificación — están diseñadas teniendo en cuenta las necesidades de las pymes. La propuesta extendería esta consideración a las EMC, garantizando que los mecanismos de apoyo al cumplimiento tengan en cuenta también la realidad de empresas algo más grandes que aún carecen de los recursos de las grandes corporaciones.
3. Códigos de Conducta y Certificación — Extendidos a las EMC
Las disposiciones del RGPD que exigen a las autoridades de protección de datos y a los organismos del sector desarrollar códigos de conducta y mecanismos de certificación especifican actualmente que deben tenerse en cuenta las necesidades particulares de las pymes. El Ómnibus Digital propone extender esto a las EMC, para que los marcos de cumplimiento desarrollados bajo el RGPD estén diseñados de forma viable para un rango más amplio de tamaños empresariales.
4. Lo Que el Ómnibus NO Cambia
Este punto es fundamental para cualquier pyme que lea esta guía.
El Ómnibus Digital no propone cambios a:
- Los siete principios fundamentales del RGPD — licitud, lealtad, transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad, confidencialidad y responsabilidad proactiva
- Las seis bases jurídicas para el tratamiento de datos personales
- Los derechos de los interesados — el derecho de acceso, supresión, rectificación, portabilidad, limitación y oposición permanecen completamente intactos
- Las obligaciones de notificación de brechas de datos (aunque el paquete incluye una propuesta de ampliación del plazo de 72 a 96 horas para la notificación a las autoridades)
- Las Evaluaciones de Impacto sobre la Protección de Datos para tratamientos de alto riesgo
- La obligación de designar un DPD cuando lo exija el RGPD o la LOPDGDD española
- Las competencias sancionadoras de la AEPD ni la estructura de multas
Cada obligación relevante para el cumplimiento diario de tu empresa sigue exactamente igual
Qué Exige el RGPD a Todas las Pymes en España — Ahora Mismo
Mientras el proceso legislativo avanza, esto es lo que aplica a tu empresa hoy.
Debes Tener una Base Jurídica para Cada Tipo de Tratamiento
Antes de recoger o utilizar cualquier dato personal, tu empresa debe ser capaz de identificar y documentar cuál de las seis bases jurídicas del RGPD es aplicable. Para la mayoría de las pymes, las más relevantes son el consentimiento, el contrato, la obligación legal y el interés legítimo. Recurrir por defecto al consentimiento para todo es uno de los errores más comunes y costosos — el consentimiento debe ser libre, específico y tan fácil de retirar como de otorgar.
Tu Aviso de Privacidad Debe Ser Exacto y Estar Actualizado
Todo cliente, visitante de tu web, empleado o proveedor cuyos datos personales recojas tiene derecho a ser informado — de forma clara, en lenguaje comprensible — sobre qué datos recoges, por qué los recoges, cuánto tiempo los conservas, con quién los compartes y cómo puede ejercer sus derechos. Una política de privacidad copiada de otra web o sin actualizar desde 2018 no cumple el RGPD. La AEPD aplica con rigor las obligaciones de transparencia.
Debes Tener Procedimientos para las Solicitudes de Derechos de los Interesados
Cualquier persona cuyos datos personales conserves puede presentar una solicitud de acceso pidiendo una copia de todos los datos que tienes sobre ella. También puede pedirte que corrijas, suprimas o dejes de tratar sus datos. Debes responder en el plazo de un mes. No responder — o responder incorrectamente — es una infracción autónoma del RGPD, y una que la AEPD sanciona con regularidad.
Debes Tener Contratos de Encargo de Tratamiento con Terceros
Cada servicio externo que utilices y que trate datos personales por cuenta tuya — tu proveedor de alojamiento web, tu plataforma de CRM, tu herramienta de email marketing, tu sistema de nóminas, tu empresa de soporte informático — requiere un Contrato de Encargo de Tratamiento. Si no tienes contratos firmados, estás incumpliendo el RGPD ahora mismo, independientemente del tamaño de tu empresa.
Debes Tener un Plan de Respuesta ante Brechas de Datos
Si se produce una brecha de datos personales — una cuenta de correo comprometida, un email enviado por error con datos de clientes, un ordenador portátil robado, una carpeta en la nube mal configurada — podrías tener 72 horas desde el momento en que tienes conocimiento para notificar a la AEPD. También debes notificar directamente a los afectados si la brecha supone un alto riesgo para sus derechos. Sin un protocolo documentado para detectar, valorar y comunicar brechas, cumplir ese plazo es prácticamente imposible.
La LOPDGDD Añade Obligaciones Adicionales en España
Las empresas que operan en España deben cumplir no solo con el RGPD, sino también con la ley nacional de protección de datos española, la LOPDGDD (Ley Orgánica 3/2018). Esta ley añade obligaciones que van más allá del RGPD base — incluyendo la designación obligatoria de un Delegado de Protección de Datos en sectores específicos independientemente del tamaño de la empresa, normas específicas sobre control del empleado y derechos digitales en el entorno laboral, y una edad mínima de consentimiento digital establecida en 14 años en lugar de los 16 del estándar europeo. Para un análisis completo de ambas leyes y cómo interactúan, consulta: RGPD frente a la LOPDGDD de España: Entender Ambas Leyes y Por Qué Tu Empresa Debe Cumplir las Dos.
¿Necesita Tu Pyme un Delegado de Protección de Datos?
Una de las preguntas más frecuentes de las empresas más pequeñas en España — y una que el Ómnibus Digital no resuelve.
Bajo el RGPD, la designación de un DPD es obligatoria si tu organización es una autoridad pública, realiza una monitorización sistemática de personas a gran escala, o trata categorías especiales de datos sensibles a gran escala. Para muchas pequeñas empresas, este umbral no se alcanza solo con el RGPD.
Sin embargo, la LOPDGDD española amplía la obligación de designar DPD a sectores específicos, independientemente del tamaño de la empresa. Si tu empresa opera en alguno de los siguientes sectores, estás obligado a designar un DPD incluso como microempresa:
- Educación privada (colegios, academias, centros de formación)
- Sanidad (hospitales, clínicas, farmacias, laboratorios médicos)
- Empresas de seguridad privada
- Entidades de crédito y aseguradoras
- Entidades financieras
- Empresas de publicidad o investigación de mercados que realicen elaboración de perfiles
No existe un número mínimo de empleados para estos sectores. Un autónomo que gestiona una academia de clases particulares en España está obligado a designar un DPD. La AEPD ha confirmado expresamente esta posición. Para todo lo que necesitas saber sobre la obligación de DPD en España, consulta: ¿Necesita Tu Empresa un Delegado de Protección de Datos (DPD) en España? Las Reglas Acaban de Cambiar para las Pymes.
El Historial de la AEPD con las Pymes: Por Qué el Tamaño No Te Protege
Algunos empresarios asumen que la AEPD se centra únicamente en las grandes corporaciones y que las pequeñas empresas operan por debajo de su radar. El historial de sanciones dice lo contrario.
La AEPD sanciona con regularidad a empresas con menos de diez empleados. Un gimnasio multado con 27.000 euros por exigir a sus clientes la huella dactilar para acceder sin haber realizado una Evaluación de Impacto. Una pequeña empresa sancionada por instalar un keylogger en los ordenadores del personal sin informar a los trabajadores. Un negocio local multado por compartir imágenes de videovigilancia sin consentimiento. No son casos excepcionales — son decisiones sancionadoras rutinarias que aparecen en el registro de resoluciones de la AEPD cada mes.
A septiembre de 2025, España había dictado más de 1.021 sanciones por infracción del RGPD por un importe total aproximado de 120,7 millones de euros — más que ningún otro país de la UE. El elevado volumen de reclamaciones (18.855 en 2024) significa que las infracciones de empresas de todos los tamaños llegan regularmente a la AEPD a través de los propios afectados. No necesitas ser objeto de una inspección directa — una sola reclamación de un cliente o de un ex empleado es suficiente para abrir una investigación formal.
Para un análisis completo de cómo la actividad sancionadora de España se compara con el resto de la UE y qué patrones de infracción acumulan las mayores multas, consulta: Por Qué España Impone Más Multas por el RGPD que Casi Cualquier Otro País de la UE.
¿Qué Debe Hacer Tu Pyme Ahora Mismo?
Dado que el Ómnibus Digital aún no es ley — y puede cambiar antes de serlo — el enfoque más sensato para cualquier pyme en España es construir tu base de cumplimiento sobre las normas actuales, no sobre alivios futuros propuestos.
Este es un marco de partida práctico:
Paso 1 — Realiza una auditoría de datos. Identifica cada categoría de datos personales que tu empresa recoge, dónde se almacenan, cuánto tiempo los conservas y quién tiene acceso. Esta es la base del RAT y el punto de partida de todas las demás decisiones de cumplimiento.
Paso 2 — Identifica tu base jurídica para cada tipo de tratamiento. Documenta en qué base jurídica te apoyas para recoger datos de clientes, datos de empleados, listas de contactos de marketing y cualquier otra actividad de tratamiento. No recurras al consentimiento por defecto salvo que sea genuinamente aplicable.
Paso 3 — Revisa tus avisos de privacidad. Audita la política de privacidad de tu web, el banner de cookies, el aviso de protección de datos para empleados y cualquier otra comunicación sobre privacidad para asegurarte de que son exactos, completos y están redactados en lenguaje claro.
Paso 4 — Firma los Contratos de Encargo de Tratamiento. Elabora un listado de cada servicio de terceros que trate datos personales por tu cuenta y comprueba si existe un contrato de encargo firmado. Si no existe, solicítalo.
Paso 5 — Crea un protocolo de respuesta ante brechas. Asigna la responsabilidad de detectar y escalar una posible brecha de datos. Documenta los pasos para valorar la gravedad y notificar a la AEPD en el plazo de 72 horas si fuera necesario.
Paso 6 — Decide sobre la figura del DPD. Evalúa si tu sector requiere un DPD obligatorio bajo la LOPDGDD. Si no es obligatorio, valora si tus actividades de tratamiento — especialmente si gestionas datos de empleados, información sanitaria de clientes o marketing a escala — hacen aconsejable contar con un DPD o un consultor externo de privacidad.
Paso 7 — Forma a tu equipo. Toda persona en tu empresa que maneje datos personales necesita comprender los conceptos básicos — qué se considera dato personal, cómo reconocer una brecha, a quién comunicarla y qué derechos tienen los clientes. La formación del personal es en sí misma una exigencia de responsabilidad proactiva bajo el RGPD.
El Panorama Real: La Simplificación Llega, Pero el Cumplimiento Es Ahora
El Ómnibus Digital de la UE representa un cambio genuino en la forma en que Bruselas percibe la carga de cumplimiento de las empresas más pequeñas. Si se adopta tal como está propuesto, la ampliación de la exención del RAT por sí sola reducirá el trabajo administrativo de cientos de miles de pymes en toda la UE.
Pero "próximamente" no es lo mismo que "ahora". La AEPD no detiene la actividad inspectora mientras se negocia la legislación. Su bandeja de entrada de reclamaciones sigue abierta. Su programa de inspecciones continúa. Su cálculo de multas no tiene ningún descuento por "reforma pendiente".
Las empresas que más se beneficiarán de las simplificaciones del Ómnibus Digital son las que ya hayan construido una base sólida de cumplimiento — porque tendrán menos que ajustar, no más que ponerse al día.
Si tu pyme ha estado esperando a que el RGPD se simplifique antes de empezar, la respuesta honesta es: no esperes.
El curso Cumplimiento del RGPD de la UE y Protección de Datos para Empresas del Spanish Compliance Institute está diseñado específicamente para esto. Cinco módulos estructurados te llevan desde los fundamentos del RGPD hasta el cumplimiento avanzado, la evaluación de riesgos y los requisitos de la LOPDGDD que aplican específicamente en España. Incluye 18 plantillas de cumplimiento descargables que puedes empezar a usar de inmediato — sin esperar a ningún plazo legislativo futuro.
También en esta serie:
- Cumplimiento del RGPD de la UE para Empresas: La Guía Completa (2026)
- Por Qué España Impone Más Multas por el RGPD que Casi Cualquier Otro País de la UE
- El RGPD y la AEPD en España: Todo lo que Tu Empresa Necesita Saber sobre la Agencia Española de Protección de Datos
- ¿Qué Ocurre si Tu Empresa Recibe una Multa por el RGPD en España? Un Análisis Paso a Paso
- Las Normas de Consentimiento del RGPD en 2026: Lo que las Empresas Españolas Deben Actualizar Ahora
- ¿Necesita Tu Empresa un Delegado de Protección de Datos (DPD) en España? Las Reglas Acaban de Cambiar para las Pymes
- RGPD e Inteligencia Artificial: Lo que las Empresas Españolas que Usan Herramientas de IA Deben Hacer Antes de Agosto de 2026
- Cómo Gestionar una Brecha de Datos del RGPD como Empresa en España: La Regla de las 72 Horas Explicada
- ¿Transfieres Datos de Clientes Fuera de la UE? Lo que las Empresas Españolas Deben Saber en 2026
- RGPD frente a la LOPDGDD de España: Entender Ambas Leyes y Por Qué Tu Empresa Debe Cumplir las Dos
Frequently Asked Questions
01
Does GDPR apply to small businesses in Spain?
+
02
What is the EU Digital Omnibus and will it reduce GDPR obligations for my SME?
+
03
Do I need to keep a Record of Processing Activities (ROPA) as an SME?
+
04
Does my small business in Spain need a Data Protection Officer?
+
05
Can the AEPD fine my small business?
+
06
What happens if I receive a complaint against my business from a customer?
+
07
What is the difference between GDPR and the LOPDGDD for Spanish SMEs?
+
08
Should I wait for the Digital Omnibus to become law before getting compliant?
+
09
What are the most common GDPR violations among SMEs in Spain?
+
10
Where can I find practical templates to help my SME get GDPR compliant?
+
