Cumplimiento legal 12 de abril de 2026 · 10 min lectura

Cómo cumplir el RGPD en tu pyme sin contratar un DPO a tiempo completo

El RGPD lleva vigente desde mayo de 2018. Ocho años después, la Agencia Española de Protección de Datos (AEPD) sigue sancionando a empresas que tratan datos personales sin las medidas mínimas en vigor. El coste de seguir aplazando el cumplimiento es, en la mayoría de casos, mayor que el de resolverlo de una vez.

Qué obliga el RGPD a cumplir

El Reglamento General de Protección de Datos (RGPD) y su transposición española, la LOPDGDD, establecen obligaciones para cualquier organización que trate datos personales de ciudadanos de la UE. Eso incluye prácticamente cualquier pyme: desde la clínica dental con historial de pacientes hasta la tienda online que guarda emails de clientes.

Las obligaciones no desaparecen por el tamaño de la empresa. Lo que varía es la complejidad de la implementación y, en algunos casos, si es obligatorio designar un DPO. El criterio base es sencillo: si tratas datos personales de personas físicas identificables, el RGPD se aplica a tu actividad.

Cuándo es obligatorio designar un DPO

El Delegado de Protección de Datos (DPO) es obligatorio solo en tres supuestos definidos por el artículo 37 del RGPD:

Autoridad u organismo público: administraciones, hospitales públicos, colegios concertados con funciones públicas.
Tratamiento a gran escala de categorías especiales de datos: salud, genética, biometría, ideología, origen racial, religión, orientación sexual. Un hospital privado con miles de pacientes entra aquí. Una empresa de 10 empleados con historial médico de sus propios trabajadores, probablemente no.
Observación sistemática a gran escala de personas: videovigilancia masiva, seguimiento de comportamiento online como actividad principal del negocio.

Si tu pyme no encaja en ninguno de estos tres casos, el DPO no es obligatorio. Sin embargo, la LOPDGDD amplía la lista para el contexto español e incluye, entre otros, a operadores de telecomunicaciones, entidades financieras, aseguradoras, empresas de publicidad comportamental y centros educativos privados.

La decisión de si corresponde o no designar un DPO debe documentarse. Si concluyes que no es obligatorio, guarda el análisis que lo justifica. En una inspección, la carga de la prueba es tuya.

Las 6 obligaciones que ninguna pyme puede ignorar

Independientemente de si tienes DPO o no, estas obligaciones aplican a cualquier organización que trate datos personales de manera habitual.

Base legal para cada tratamiento: cada actividad que implique datos personales necesita una base jurídica documentada — consentimiento, contrato, obligación legal, interés legítimo. No es válido tratar datos "porque siempre lo hemos hecho".
Información a los interesados: las personas cuyos datos tratas tienen que saber para qué, quién los trata, cuánto tiempo se conservan y cómo pueden ejercer sus derechos. Eso implica política de privacidad actualizada y cláusulas informativas en los puntos de recogida (formularios web, contratos, documentación física).
Registro de actividades de tratamiento (RAT): un inventario interno de todas las operaciones de tratamiento. Qué datos, con qué finalidad, quién los recibe, cuánto tiempo se conservan. Es el documento de referencia en cualquier inspección.
Contratos con encargados del tratamiento: cualquier proveedor que trate datos en tu nombre — empresa de hosting, gestoría, software de CRM en la nube, plataforma de email marketing — necesita un contrato de encargado conforme al artículo 28 del RGPD.
Medidas de seguridad técnicas y organizativas: el RGPD no especifica una lista cerrada, pero exige que sean proporcionales al riesgo. Para una pyme, eso incluye cifrado de datos en reposo y tránsito, control de acceso por principio de mínimo privilegio, política de contraseñas, y procedimiento ante brechas de seguridad.
Notificación de brechas de seguridad: si se produce una brecha que afecte a datos personales, tienes 72 horas para notificarlo a la AEPD. Si el riesgo para los afectados es alto, también hay que comunicárselo a ellos. Este plazo no es orientativo.

El Registro de Actividades de Tratamiento en la práctica

El RAT es el documento que más ignoran las pymes y el primero que solicita la AEPD en cualquier actuación. No tiene un formato obligatorio, pero debe recoger para cada actividad de tratamiento:

Nombre y datos de contacto del responsable del tratamiento (la empresa)
Finalidad del tratamiento (gestión de clientes, nóminas, comunicaciones comerciales, videovigilancia…)
Categorías de interesados y de datos personales tratados
Destinatarios (terceros a quienes se comunican los datos, incluidos encargados)
Plazos de supresión previstos
Descripción general de las medidas de seguridad técnicas y organizativas

Una pyme pequeña puede tener entre 5 y 15 actividades de tratamiento. El ejercicio de documentarlas obliga a revisar qué datos se recogen realmente y para qué, lo que habitualmente descubre tratamientos sin base legal o datos que se conservan más tiempo del necesario.

Las multas de la AEPD: qué importes son reales para pymes

El RGPD permite sanciones de hasta 20 millones de euros o el 4% del volumen de negocio mundial. Esa cifra se aplica a infracciones graves de grandes corporaciones. Para pymes, la AEPD aplica criterios de proporcionalidad, pero las sanciones son reales y documentadas.

Algunos importes publicados en el registro de resoluciones de la AEPD para empresas pequeñas y medianas:

Tipo de infracción	Rango habitual en pymes
Falta de política de privacidad o información incompleta	€900 – €6.000
Tratamiento sin base legal documentada	€3.000 – €25.000
No notificar brecha en plazo de 72h	€10.000 – €60.000
Ausencia de contratos con encargados del tratamiento	€3.000 – €15.000
Videovigilancia sin cartelería informativa	€600 – €5.000

La mayoría de sanciones a pymes derivan de denuncias de empleados o clientes, no de inspecciones proactivas. El riesgo principal no es que la AEPD llegue a tu puerta, sino que alguien con acceso a tu sistema de tratamiento decida reclamar.

Alternativas al DPO a tiempo completo

Si tu empresa necesita designar un DPO pero no tiene volumen para un perfil interno a jornada completa, hay tres alternativas válidas según el RGPD:

DPO externo: despacho o consultor especializado en protección de datos que asume la función de DPO mediante contrato de servicios. Es la opción más habitual para pymes con obligación de designación. El coste oscila entre €150 y €500 al mes según el nivel de actividad.
DPO compartido entre empresas de un mismo grupo: si varias sociedades del mismo titular tienen tratamientos similares, pueden compartir un único DPO siempre que sea accesible desde cada una y que no haya conflicto de intereses.
Perfil interno con dedicación parcial: un empleado con conocimiento suficiente en protección de datos puede asumir la función si no entra en conflicto con sus otras responsabilidades. El jefe de IT o el responsable legal son los perfiles más comunes, aunque necesitan formación específica.

Si la designación no es obligatoria pero decides tener asesoramiento puntual, existe también la figura del asesor de privacidad, que no está regulada formalmente pero puede cubrir necesidades de cumplimiento sin el marco contractual del DPO.

Por dónde empezar si tu empresa no ha actuado todavía

El punto de partida es un diagnóstico de la situación actual antes de que llegue ninguna queja o inspección. El orden recomendado para una pyme sin ninguna medida implementada:

1
Inventariar los tratamientos: qué datos se recogen, de quién, para qué y dónde se almacenan. Eso genera el borrador del RAT y permite identificar los tratamientos sin base legal.
2
Revisar la política de privacidad web: la mayoría están desactualizadas o no cumplen los requisitos de información del RGPD. Es el primer sitio donde la AEPD mira en una denuncia online.
3
Identificar y firmar los contratos de encargado: listado de todos los proveedores con acceso a datos (CRM, email, contabilidad en la nube, gestoría). Si no tienen cláusulas RGPD firmadas, pedirlas o actualizar los contratos.
4
Establecer el procedimiento de brechas: quién decide si una incidencia es una brecha notificable, quién notifica a la AEPD y en qué plazo. Debe documentarse antes de que ocurra, no durante.
5
Evaluar si aplica la obligación de DPO: con el inventario de tratamientos ya hecho, la evaluación es mucho más rápida. Si aplica, designar interno o externo y registrar la decisión.

En DarellDeejay realizamos auditorías de cumplimiento RGPD que incluyen el diagnóstico inicial, el mapeo de tratamientos, la identificación de brechas de cumplimiento y un plan de acción priorizado. Para empresas que también necesitan reforzar la protección de datos personales de directivos y empleados clave, combinamos ambos servicios en un diagnóstico único.

¿Tu empresa ya cumple el RGPD?

Analizamos tu situación actual e identificamos los puntos de incumplimiento antes de que generen una sanción.

verified_user Solicitar diagnóstico

Legal Compliance April 12, 2026 · 10 min read

How to comply with GDPR in your SME without hiring a full-time DPO

GDPR has been in force since May 2018. Eight years later, the Spanish Data Protection Authority (AEPD) continues to sanction companies that handle personal data without the minimum required measures. In most cases, the cost of continued non-compliance exceeds the cost of fixing it.

What GDPR actually requires

The General Data Protection Regulation (GDPR) and its Spanish implementation, the LOPDGDD, impose obligations on any organisation that processes personal data of EU citizens. That includes virtually any SME: from the dental clinic with patient records to the online shop storing customer emails.

Obligations don't disappear based on company size. What varies is the complexity of implementation and, in some cases, whether appointing a DPO is mandatory. The baseline is straightforward: if you process personal data of identifiable individuals, GDPR applies to your activity.

When appointing a DPO is mandatory

A Data Protection Officer (DPO) is mandatory only in three scenarios defined by Article 37 of GDPR:

Public authority or body: public administrations, public hospitals, publicly funded schools performing public functions.
Large-scale processing of special category data: health, genetic, biometric data, ideology, racial origin, religion, sexual orientation. A private hospital with thousands of patients qualifies. A 10-person company with their own employees' medical records likely does not.
Large-scale systematic monitoring of individuals: mass video surveillance, tracking online behaviour as a core business activity.

If your SME doesn't fall into any of these categories, a DPO is not mandatory. However, the LOPDGDD extends the list in the Spanish context to include telecoms operators, financial entities, insurers, behavioural advertising companies, and private educational centres.

The decision of whether a DPO is required must be documented. If you conclude it isn't, keep the analysis supporting that conclusion. In an inspection, the burden of proof is yours.

The 6 obligations no SME can ignore

Regardless of whether you have a DPO, these obligations apply to any organisation that regularly processes personal data.

Legal basis for each processing activity: every activity involving personal data requires a documented legal basis — consent, contract, legal obligation, legitimate interest. "Because we always have" is not a valid basis.
Information to data subjects: individuals whose data you process must know why, who processes it, how long it is kept, and how to exercise their rights. This means an up-to-date privacy policy and information clauses at every data collection point (web forms, contracts, physical documentation).
Records of Processing Activities (RPA): an internal inventory of all processing operations. What data, what purpose, who receives it, how long it's kept. This is the reference document in any inspection.
Data processing agreements with processors: any vendor that processes data on your behalf — hosting provider, accounting firm, cloud CRM, email marketing platform — requires a processing agreement compliant with Article 28 of GDPR.
Technical and organisational security measures: GDPR doesn't prescribe a closed list, but requires measures proportionate to risk. For an SME, that includes encryption of data at rest and in transit, least-privilege access controls, a password policy, and a breach response procedure.
Personal data breach notification: if a breach affecting personal data occurs, you have 72 hours to notify the AEPD. If the risk to individuals is high, you must also notify those affected. This deadline is not a guideline.

Records of Processing Activities in practice

The RPA is the document SMEs most often skip and the first one the AEPD requests in any investigation. It has no mandatory format, but must record for each processing activity:

Name and contact details of the data controller (the company)
Purpose of the processing (customer management, payroll, commercial communications, video surveillance…)
Categories of data subjects and personal data processed
Recipients (third parties to whom data is disclosed, including processors)
Planned retention and deletion periods
General description of technical and organisational security measures

A small SME typically has between 5 and 15 processing activities. The exercise of documenting them usually uncovers processing without a legal basis or data retained longer than necessary.

AEPD fines: what amounts are realistic for SMEs

GDPR allows fines up to €20 million or 4% of global turnover. Those figures apply to serious infringements by large corporations. The AEPD applies proportionality criteria to SMEs, but fines are real and publicly documented.

Some amounts from published AEPD resolution records for small and medium-sized companies:

Type of infringement	Typical range for SMEs
Missing or incomplete privacy policy	€900 – €6,000
Processing without documented legal basis	€3,000 – €25,000
Failure to notify a breach within 72 hours	€10,000 – €60,000
No data processing agreements with processors	€3,000 – €15,000
Video surveillance without required signage	€600 – €5,000

Most SME sanctions result from complaints by employees or customers, not proactive inspections. The main risk is not the AEPD arriving unannounced — it's someone with access to your processing systems deciding to file a complaint.

Alternatives to a full-time DPO

If your company needs to designate a DPO but doesn't have the volume to justify a full-time internal role, there are three valid options under GDPR:

External DPO: a law firm or specialist consultant who takes on the DPO role under a service contract. The most common option for SMEs with a designation obligation. Costs typically range from €150 to €500 per month depending on the level of activity.
Shared DPO across a group: companies in the same group with similar processing activities can share a single DPO, provided that person is accessible from each entity and there is no conflict of interest.
Internal role with partial dedication: an employee with sufficient data protection knowledge can assume the DPO function, provided it doesn't conflict with their other responsibilities. IT leads or legal officers are the most common profiles, though they require specific training.

If designation isn't mandatory but you want periodic compliance advice, the privacy advisor role — while not formally regulated — can cover compliance needs without the contractual framework required of a DPO.

Where to start if your company hasn't acted yet

The starting point is a diagnostic of your current situation before any complaint or inspection occurs. The recommended sequence for an SME with no measures in place:

1
Inventory your processing activities: what data is collected, from whom, for what purpose, and where it is stored. This generates the draft RPA and identifies processing without a legal basis.
2
Review your website privacy policy: most are outdated or don't meet GDPR information requirements. It's the first place the AEPD looks in an online complaint.
3
Identify and sign processor agreements: list all vendors with access to personal data (CRM, email, cloud accounting, external bookkeepers). If no GDPR clauses are in place, request them or update the contracts.
4
Set up a breach response procedure: who decides if an incident qualifies as a notifiable breach, who notifies the AEPD, and within what timeframe. This must be documented before an incident happens, not during one.
5
Assess whether DPO designation is required: with the processing inventory already completed, this assessment is much faster. If it applies, designate an internal or external DPO and record the decision.

At DarellDeejay we conduct GDPR compliance audits that include an initial diagnostic, processing activity mapping, compliance gap identification, and a prioritised action plan. For companies that also need to strengthen personal data protection for executives and key employees, we combine both services in a single engagement.

Is your company GDPR compliant?

We assess your current situation and identify compliance gaps before they generate a fine.

verified_user Request assessment