Adecuación al RGPD y LOPDGDD para empresas. DPO externo, análisis de riesgos y representación ante la AEPD.
El Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018 (LOPDGDD) imponen a empresas y autónomos obligaciones específicas en el tratamiento de datos personales. Su incumplimiento puede acarrear sanciones de hasta 20 millones de euros o el 4% de la facturación global anual.
En ILC Abogados ayudamos a empresas de todos los tamaños a cumplir con la normativa de protección de datos de forma práctica y efectiva. No solo elaboramos documentos: analizamos tu organización, identificamos los riesgos reales y te proporcionamos las herramientas para gestionarlos.
Tu empresa trata datos personales de clientes, empleados o proveedores y nunca se ha adecuado al RGPD.
Has sufrido una brecha de seguridad (hackeo, pérdida de datos) y no sabes cómo actuar.
Has recibido una reclamación o investigación de la AEPD.
Quieres implantar un canal de denuncias conforme a la nueva normativa.
Más servicios
Preguntas frecuentes
Todo lo que tu empresa necesita saber sobre el RGPD y la LOPDGDD
Sí. El RGPD se aplica a cualquier organización, independientemente de su tamaño, que trate datos personales de personas situadas en la UE. No hay excepciones por volumen de facturación ni por número de empleados, aunque sí hay diferencias en obligaciones concretas: por ejemplo, el registro de actividades de tratamiento es obligatorio para empresas con más de 250 empleados o que traten datos de riesgo.
La AEPD puede imponer sanciones de hasta 20 millones de euros o el 4% del volumen de negocio global (la mayor de las dos) para las infracciones más graves. Para infracciones leves o moderadas el máximo es 10 millones o el 2%. En la práctica, la AEPD aplica criterios de proporcionalidad y las sanciones a pymes suelen ser de miles o decenas de miles de euros.
El DPO es el responsable interno o externo de supervisar el cumplimiento del RGPD. Es obligatorio para: autoridades y organismos públicos, empresas cuya actividad principal implique monitorización sistemática a gran escala de personas, y empresas que traten a gran escala datos especialmente sensibles (salud, ideología, origen racial, etc.). Para el resto es voluntario pero muy recomendable.
El RGPD reconoce los derechos ARCO+: Acceso (conocer qué datos se tratan), Rectificación (corregir datos inexactos), Cancelación/Supresión ('derecho al olvido'), Oposición (oponerse al tratamiento), Portabilidad (recibir los datos en formato legible), Limitación del tratamiento, y no ser objeto de decisiones automatizadas. Deben responderse en el plazo de 1 mes.
Una brecha de seguridad es cualquier incidente que provoque destrucción, pérdida, alteración o acceso no autorizado a datos personales. Debe notificarse a la AEPD en el plazo de 72 horas desde que se tiene conocimiento, si implica riesgo para los derechos de los afectados. Si el riesgo es alto, también debe notificarse a los propios afectados sin dilación indebida.
Los datos deben conservarse solo el tiempo necesario para la finalidad para la que se recabaron (principio de limitación del plazo de conservación). Una vez finalizada esa finalidad, deben suprimirse o anonimizarse, salvo que exista una obligación legal de conservación. Por ejemplo, la Ley General Tributaria obliga a conservar documentación fiscal durante 4 años.
La adecuación a protección de datos no es un trámite puntual. Es un proceso continuo. Te acompañamos en todo momento.