4 min read

Checklist RGPD para pymes en 2026: lo que conviene revisar

Checklist RGPD para pymes en 2026: tratamientos, contratos, brechas, cookies, proveedores, IA, evidencias y medidas mínimas que conviene revisar.

El RGPD no se cumple una vez y se olvida. En una pyme suele fallar por desgaste: se incorporan herramientas nuevas, cambian proveedores, se usa software con IA, se lanzan campañas, se instalan cookies o se guardan datos en sitios que nadie revisa.

Por eso conviene hacer una revisión periódica, práctica y proporcionada. No se trata de llenar carpetas, sino de comprobar si la empresa puede explicar qué datos trata, para qué los usa, quién accede a ellos y qué evidencias conserva.

Este checklist ayuda a ordenar esa revisión.

1. Mapa de tratamientos

La empresa debería tener claro qué datos personales trata en sus procesos habituales.

Al menos conviene revisar:

  • Clientes y potenciales clientes.
  • Proveedores y contactos profesionales.
  • Empleados y candidatos.
  • Usuarios web y formularios.
  • Videovigilancia, si existe.
  • Campañas comerciales y newsletter.
  • Soporte, reclamaciones o atención al cliente.
  • Herramientas internas que incorporan IA o automatización.

El objetivo es detectar tratamientos reales, no copiar un documento genérico. Si la empresa usa datos de una forma que no aparece en su registro interno, la documentación se ha quedado corta.

2. Bases jurídicas y finalidad

Cada tratamiento necesita una finalidad concreta y una base jurídica adecuada. En la práctica, muchas pymes mezclan finalidades sin darse cuenta: usan datos recogidos para prestar un servicio en acciones comerciales, guardan CV durante demasiado tiempo o reutilizan contactos sin revisar el origen.

Preguntas útiles:

  • ¿Para qué se recogieron los datos?
  • ¿Se usan ahora para algo distinto?
  • ¿La persona recibió información clara?
  • ¿La base jurídica sigue teniendo sentido?
  • ¿Hay consentimiento cuando realmente hace falta?
  • ¿Se puede acreditar cómo se obtuvo ese consentimiento?

Cuando haya duda, conviene revisar el caso antes de seguir acumulando datos.

3. Información y formularios

Los textos legales no deberían estar desconectados de la operativa real. Si la web, los formularios o los documentos comerciales han cambiado, también debe revisarse la información de protección de datos.

Puntos habituales:

  • Formularios de contacto.
  • Suscripción a newsletter.
  • Descargas de documentos.
  • Solicitudes de presupuesto.
  • Procesos de selección.
  • Avisos para clientes y proveedores.
  • Firmas de email con enlaces a información legal.

La información debe ser comprensible y coherente con lo que ocurre después con los datos.

4. Contratos con proveedores

Una pyme suele apoyarse en asesorías, plataformas cloud, herramientas de email marketing, CRM, hosting, software de facturación, soporte IT y servicios de comunicación. Si esos proveedores acceden a datos personales, hay que revisar el encaje contractual.

Conviene comprobar:

  • Si existe contrato de encargo del tratamiento cuando procede.
  • Qué subproveedores intervienen.
  • Dónde se alojan o tratan los datos.
  • Qué medidas de seguridad declara el proveedor.
  • Qué ocurre al terminar el servicio.
  • Si el proveedor usa los datos para finalidades propias.

No basta con que la herramienta sea conocida. La pyme sigue teniendo que elegir proveedores con diligencia.

5. Herramientas de IA y automatización

En 2026 muchas pymes ya usan ChatGPT, Copilot, asistentes de atención al cliente, generadores de contenido o funciones de IA incluidas en herramientas SaaS. El riesgo aparece cuando se introducen datos personales o información confidencial sin reglas.

La revisión debería incluir:

  • Qué herramientas de IA se usan.
  • Quién puede usarlas.
  • Qué datos se pueden introducir.
  • Si el proveedor usa entradas para mejorar modelos.
  • Si hay revisión humana de los resultados.
  • Si existen usos prohibidos o de especial riesgo.

Para usos con datos personales, es recomendable conectar esta revisión con una política interna de IA y con el análisis RGPD correspondiente. Como complemento, puede revisarse la guía sobre /rgpd-ia-generativa-datos-personales/.

6. Seguridad y accesos

El cumplimiento no depende solo de documentos. También importan los accesos y las medidas técnicas.

Puntos mínimos:

  • Usuarios individuales, no cuentas compartidas.
  • Doble factor de autenticación en servicios críticos.
  • Copias de seguridad probadas.
  • Control de permisos en carpetas compartidas.
  • Baja de accesos cuando alguien deja la empresa.
  • Cifrado o protección adecuada de dispositivos.
  • Procedimiento básico ante incidentes.

Muchas brechas empiezan por una contraseña reutilizada, una cuenta antigua o un archivo compartido sin control.

7. Brechas de seguridad

La empresa debería saber qué hacer si pierde un portátil, envía datos al destinatario equivocado, sufre un acceso no autorizado o detecta una fuga de información.

Conviene tener definido:

  • Quién recibe el aviso interno.
  • Cómo se documenta el incidente.
  • Qué información se necesita recopilar.
  • Cómo se valora el riesgo para las personas afectadas.
  • Cuándo debe pedirse asesoramiento.
  • Cómo se conservan evidencias.

Improvisar en mitad de una brecha suele aumentar el riesgo.

8. Conservación y borrado

Guardar datos indefinidamente es una fuente silenciosa de problemas. La pyme debería revisar plazos de conservación y borrar o bloquear información cuando ya no sea necesaria.

Ámbitos típicos:

  • CV de candidatos.
  • Presupuestos antiguos.
  • Clientes inactivos.
  • Documentación laboral.
  • Correos con adjuntos sensibles.
  • Copias en carpetas compartidas.
  • Exportaciones de CRM o hojas de cálculo.

La pregunta práctica es sencilla: si alguien pidiera acceso, supresión o explicación sobre esos datos, ¿la empresa sabría dónde están y por qué los conserva?

9. Cookies, analítica y marketing

La web cambia más rápido que la documentación. Cada nuevo plugin, píxel, herramienta de analítica o formulario puede alterar el cumplimiento.

Revisión mínima:

  • Cookies y tecnologías similares realmente instaladas.
  • Banner y panel de configuración.
  • Consentimientos registrados cuando proceda.
  • Herramientas de analítica.
  • Formularios conectados a CRM o email marketing.
  • Listas de contactos y origen de los datos.
  • Baja sencilla de comunicaciones comerciales.

La revisión debe hacerse sobre la web real, no solo sobre la política de cookies publicada.

10. Evidencias y responsabilidades

Una pyme no necesita burocracia inútil, pero sí evidencias mínimas. Si hay una reclamación, una auditoría o un incidente, la empresa debe poder enseñar que ha actuado con diligencia.

Documentos útiles:

  • Registro de tratamientos actualizado.
  • Contratos con proveedores relevantes.
  • Procedimiento de derechos.
  • Procedimiento de brechas.
  • Política de seguridad y accesos.
  • Política de uso de IA, si se utilizan estas herramientas.
  • Evidencias de formación o instrucciones internas.

El mejor checklist no es el más largo, sino el que termina en acciones concretas.

Cuándo hacer una auditoría RGPD

Una revisión interna puede ser suficiente para detectar desorden. Pero conviene pedir una revisión desde /auditoria-rgpd-zaragoza/ si la empresa ha crecido, usa nuevas herramientas, trata datos sensibles, ha sufrido un incidente, quiere ordenar proveedores o necesita preparar evidencias.

También puede tener sentido una revisión más amplia de /proteccion-datos-pymes-zaragoza/ o una consulta con un perfil de /consultor-rgpd-zaragoza/ si hay dudas sobre bases jurídicas, contratos, marketing, cookies o IA.

Si tu empresa quiere revisar por dónde empezar, puedes solicitar una primera valoración desde /contacto/.

Servicios relacionados