Taller sobre LOPD asociaciones y pequeños negocios
¿Tratar base de datos?
Sí, si eres emprendedor o autónomo, es fundamental gestionar adecuadamente la base de datos que vas generando. A continuación, te explicamos las razones por las que deberías hacerlo.
Mejora en la toma de decisiones
03
Mejora la relación con los clientes
02
Cumplimiento Legal y Normativo
01
Según la normativa, toda empresa que trate datos personales de ciudadanos en España. Obliga a la empresa a garantizar la seguridad y confidencialidad de los datos personales.
Obligaciones legales:
Fuente: Reglamento general de Protección de datos (RGPD) y ley orgánica de Protección de datos y garantía de los derechos (LOPDGDD)
¿Todas las empresas tratan datos
con el mismo nivel de riesgo?
Fuente: Agencia Española de Protección de Datos Personales. Portal web, actualizado al 2025.
Alto Riesgo
-Tratan datos básicos de contacto (nombre, email, teléfono, dirección)
-El tratamiento es ocasional o limitado.
- No tratan datos sensibles ni perfiles automatizados.
- El volumen de datos es reducido.
- No se realiza vigilancia constante ni decisiones automatizadas.
Bajo Riesgo
-Tratan datos sensibles (salud, ideología, religión, orientación sexual, etc.)
- Realizan tratamientos automatizados o elaboración de perfiles
- Llevan a cabo tratamientos a gran escala
- Realizan vigilancia sistemática en espacios públicos (como videovigilancia masiva)
- Tratan datos de menores, víctimas de violencia o colectivos vulnerables
- Realizan evaluaciones de impacto o decisiones automatizadas que afectan derechos.
Fuente: Agencia Española de Protección de Datos Personales. Portal web, actualizado al 2025.
¿Por qué es importante saber
si tu empresa es de a
alto o bajo riesgo?
Para identificar
-Qué medidas de seguridad aplicar.
-Si necesitas hacer una Evaluación de Impacto (EIPD).
-Qué documentación debes mantener actualizada.
¿Qué acciones debo tomar luego
de identificarlas?
| Bajo riesgo | Alto riesgo |
Medidas de seguridad Proteger los datos personales frente a accesos no autorizados, pérdida o robo | -Contraseñas seguras. -Antivirus actualizado. -Control de accesos. -Copias de seguridad | -Cifrado de datos. -Doble autenticación -Políticas de acceso restringido -Protocolos para detectar y notificar brechas de seguridad. |
Evaluación de impacto Garantizar que el tratamiento de datos se realiza de forma segura, legal y respetuosa con los derechos de las personas desde el inicio. | Obligatoria para estos criterios: - Datos sensibles (salud, ideología, religión. etc) -Si se realiza evaluaciones automatizadas o elaboración de perfiles. -Desarrollo de geolocalización continua, vigilancia sistemática, volúmenes de datos personales. | |
Documentación actualizada Demostrar que tu empresa cumple con el RGPD y que ha tomado medidas adecuadas para proteger los datos personales. | -Registro de actividades de tratamiento. -Avisos de privacidad Contratos encargados del tratamiento. | -Informes de riesgos y medidas adoptadas -Política interna de seguridad de datos |
¿Existen herramientas gratuitas que me pueden ayudar?
¡Claro que sí! no te preocupes.
La Agencia Española de Protección de Datos ofrece una gama de herramientas según el MODELO DE NEGOCIO. Te explicamos cómo funcionan de manera sencilla, según la información publicada en su página web.
Herramientas AEPD
Clasificación por tipo y necesidad empresarial
2. Facilita Emprende
3. Gestiona RGPD
4. Comunica -Brecha RGPD
Dirigido a empresas que realicen un tratamiento de datos personales de bajo riesgo para el cumplimiento del Reglamento General de Protección de Datos.
Brinda apoyo a personas emprendedoras y startups cuyos tratamientos se caracterizan por un fuerte componente innovador que hace uso de nuevas tecnologías.
Su objetivo es valorar la obligación de informar a las personas físicas afectadas por una brecha de seguridad de los datos personales, tal y como establece el artículo 34 del Reglamento General de Protección de Datos. (Guía práctica para notificar al público final).
Herramienta gratuita que ayuda a responsables y encargados a elaborar un Registro de Actividades de Tratamiento (RAT), analizar riesgos, valorar si se necesita una EIPD y generar informes básicos de cumplimiento.
5. Asesora Brecha
6. Canal DPD
7. Evalúa Riesgo v2
8. Válida Cripto RGPD
Valora la obligación de informar a las Documento que ayuda a decidir si presentar la notificación a la AEPD (guía práctica para notificar a la autoridad).
Es la vía directa y segura para aclarar dudas técnicas y jurídicas sobre la protección de datos, sin mezcla con otras oficinas o procedimientos. Dirigida a los responsables de la base de datos.
Ayuda a obtener una primera calificación del riesgo de un tratamiento y a decidir si procede desarrollar una Evaluación de Impacto.
Permite evaluar de forma rápida si tu cifrado cumple con las pautas de la AEPD y generar la documentación necesaria.
Herramientas AEPD
Clasificación por tipo y necesidad empresarial
Herramienta útil y general para empresas que realizan un tratamiento de datos personales de escaso riesgo.
#impulsart
Genera diversos documentos adoptados a la empresa concreta
¿Para qué sirve?
Se tratan documentos iniciales de ayuda orientados a la comprensión de dichas obligaciones
Proporcionan documentación personalizada
Está orientada a empresas que tratan datos personales de bajo riesgo, como por ejemplo, datos personales de clientes, proveedores o recursos humanos.
A qué tipo de empresa se dirige
¿Qué documentos
personalizados ofrece?
Cláusulas contractuales para anexar a los contratos de encargado de tratamiento
El registro de actividades de tratamiento
Un anexo con medidas de seguridad orientativas consideradas mínimas.
Cláusulas informativas que debe incluir en sus formularios de recogida de datos personales
Facilita RGPD no podrá utilizarse para tratamientos que impliquen un alto riesgo para los derechos y libertades de las personas, como datos de salud o tratamientos masivos de datos, entre otros.
Esto te aparecerá si tu marca
posee las características de arriba.
Facilita RGPD: Paso a paso
1.
2.
Al detectar que tu empresa presenta un bajo nivel de riesgo en cuanto a la LOPD, puedes utilizar esta herramienta. Solo necesitarás completar el formulario:
Al llenar tus datos, el sistema te preguntará si tu organización trata datos personales de clientes (personas físicas) - Personas que mantiene una relación comercial. (Contestar sí o no)
3.
4.
Facilita RGPD: Paso a paso
Aparecerá estas preguntas referidas a las personas con las que manejas directamente una relación laboral
Contesta con sinceridad y a detalle según tu marca.
5.
Facilita RGPD: Paso a paso
Aparecerá estas preguntas referidas a las personas con las que no hay una relación laboral directamente.
66..
Al completar el formulario, podrás descargar todos los documentos recomendados para iniciar las buenas prácticas en materia de LOPD. Recuerda que estos trámites te ofrecerán una visión general básica de lo que necesitas. Sin embargo, conforme tu negocio crezca, será necesario contar con el apoyo de un especialista para determinar si se requiere documentación adicional a la obtenida.
Brinda apoyo a personas emprendedoras y startups cuyos tratamientos se caracterizan por un fuerte componente innovador que hace uso de nuevas tecnologías.
#impulsart
2. Facilita Emprende
Genera diversos documentos adoptados a la empresa concreta, sin embargo es importante que personalices mejor los documentos según tu proyecto.
¿Para qué sirve?
Es como un cuestionario guiado que se completa en 3 pasos: Datos básicos de la empresa tecnológica, tratamientos básicos de responsabilidad, tratamientos con tecnología avanzada.
¿Cómo funciona?
Está pensada para personas emprendedoras o startups, con menos de 10 años, que pueden tener modelos de negocio más digitales o innovadores, y por tanto, podrían tratar datos personales con un riesgo mayor.
A qué tipo de empresa se dirige
¿Qué documentos
personalizados ofrece?
El Registro de Actividades de Tratamiento (RAT) precumplimentado.
El modelo de hoja de registro de incidentes: una ficha técnica de todos los tratamientos de datos personales que haces en tu empresa (clientes, empleados, etc.).
Si su empresa cuenta con una página web que utiliza cookies y tecnologías similares, una política de cookies
Ofrece los textos que debes mostrar cuando recoges datos personales: un resumen claro y breve (formulario online), Política de privacidad completa, con toda la info legal.
Modelos de textos para incluir en los contratos con personas o empresas que traten datos por ti (por ejemplo, una gestoría o una empresa de marketing).
Guía de buenas prácticas y recomendaciones. Incluye consejos y pasos para que cumplas bien con el RGPD. Además de recomendaciones para prevenir el acoso digital
Aplica para Plataformas colaborativas, Marketplace, desarrollo de soluciones SaaS, desarrollo de aplicaciones web, juegos , análisis masivo de datos , etc.
3. Gestiona RGPD
Herramienta útil y general para empresas que realizan un tratamiento de datos personales de ALGO RIESGO.
Responsables y encargados del tratamiento de datos. Delegados de Protección de Datos (DPD). Personas o entidades que manejan muchos tratamientos de datos (hasta 500).�
¿A quién se dirige?
¿Qué no incluye?
Te aconsejamos: Leer los resultados, adaptarlos a tu caso concreto implementar las medidas de seguridad en base a la guía y guardar todo como prueba de cumplimiento.
¿Qué documentos
personalizados ofrece?
Registra las actividades de tratamiento (hasta 500) de forma organizada y detallada. Los genera en formato editable.
-No realiza por sí sola la gestión del riesgo ni la EIPD: solo proporciona una base inicial.
-No aplica medidas de seguridad automáticamente: eso debe hacerlo el responsable del tratamiento, usando estándares adecuados.
Elemento | Descripción |
Finalidad | ¿Para qué se recogen? |
Tipo de personas registradas | ¿De qué grupo son los datos? |
Tipo de datos | ¿Qué datos se recogen? |
Destinatarios | ¿Se comparten las BD? |
Plazo de conservación | ¿Durante cuánto tiempo se guardan los datos? |
Transferencias internacionales | ¿Se envían fuera del país? |
Es un recurso útil para que las organizaciones evalúen la obligación de informar a las personas afectadas por una brecha de seguridad de datos, según el artículo 34 del RGPD.
#impulsart
4. Brecha RGPD
¿Cuándo usarla?
Artículo 34 → obliga
a informar a las personas afectadas
si la brecha conlleva alto riesgo, explicando qué ha pasado y cómo se va a remediar.
¿Que dice el artículo 34 del RGPD?
¿Cuál es el procedimiento?
Cuando ocurre una brecha de seguridad (por ejemplo, se pierde un USB con datos de clientes o hay un ciberataque)
En los casos mencionados, estás obligado a informarles cuanto antes.
1
Cuestionario de preguntas
¿Qué tipo de datos están implicados?, ¿Cuántas personas están afectadas?, ¿La información está cifrada?, ¿Se han tomado medidas?
2
Evalúa el nivel de riesgo para las personas afectadas
No es para notificar a la AEPD. Para eso se usa otra herramienta o la Sede Electrónica.
3
Te orienta sobre si debes comunicar la brecha a los interesados o no
Genera un documento con el análisis, para que puedas guardarlo como parte de tu documentación de cumplimiento
5. Asesora Brecha RGPD
Es una herramienta de apoyo para saber si debes notificar una brecha de seguridad de datos personales a la AEPD, según el artículo 33 del RGPD.
Se debe notificar violaciones de la seguridad de los datos personales a la autoridad de control.
¿Qué dice el artículo 33 del RGPD?
¿Por qué es importante?
Es importante saber que si hay riesgo, tienes que notificar a la Agencia Española de Protección de Datos (AEPD) en un máximo de 72 horas. Si no hay riesgo, no necesitas notificar, pero sí documentar bien la decisión.
Te guía paso a paso para analizar la brecha de datos personales.
Cuando ocurre una brecha de datos (por ejemplo, se filtra información personal de clientes), el RGPD te obliga a valorar si existe riesgo para los derechos y libertades de las personas afectadas.
Analiza el riesgo para las personas afectadas y te orienta si debes notificar o no.
Evalúa el riesgo de la situación
¿Qué ha pasado?, ¿Qué tipo de datos están afectados?, ¿Cuántas personas?, ¿Hay medidas de seguridad?, ¿Qué consecuencias podría haber?
Cuestionario de preguntas
Con el análisis para documentar tu decisión (aunque no tengas que notificar).�
Genera un informe PDF
1
2
4
#impulsart
6. Canal DPD
No es un canal de denuncia.No es para ciudadanos ni para resolver dudas generales.
Solo lo usa el DPD de una entidad, y para cuestiones técnicas o legales específicas. Siempre que estén registradas oficialmente como DPD en la AEPD.
Es importante saber que…
¿Cómo funciona?
Es la vía directa y segura para aclarar dudas técnicas y jurídicas sobre la protección de datos, sin mezcla con otras oficinas o procedimientos. Dirigida a los responsables de la base de datos.
Para preguntar dudas o pedir orientación a la AEPD sobre cómo aplicar bien el RGPD en casos específicos.
Ejemplos de lo que pueden consultar:
7. Evalúa Riesgo
¿Qué ventajas tiene?
Te orienta paso a paso, incluso si no eres experto en protección de datos: Calcula el riesgo que existe antes y después de aplicar medidas de protección (cifrado, control de acceso, etc.). Te indica si debes hacer una EIPD, que es un estudio más profundo cuando hay alto riesgo para los derechos de las personas.
Te ayuda a cumplir con el principio de responsabilidad proactiva del RGPD.
No envía tus datos a la AEPD: todo se queda en tu navegador y puedes guardar el archivo en tu ordenador.
Te ayuda a analizar los riesgos de tu tratamiento de datos y decidir si tienes que hacer una Evaluación de Impacto. Es ideal para responsables, encargados y DPDs que quieren actuar con prevención y demostrar cumplimiento.
Te permite descargar un informe que puedes guardar como parte de la documentación de cumplimiento del RGPD.
¿Para qué sirve?
Es una herramienta práctica para asegurarte de que el cifrado que utilizas en tus tratamientos de datos personales cumple con los estándares de seguridad del RGPD.
#impulsart
8. Válida Cripto RGPD
Analiza cada parte del sistema de cifrado que empleas en tus tratamientos de datos
¿Para qué sirve?
¿Cómo funciona?
Seleccione el impacto del cifrado en tu tratamiento de datos
Categoriza los elementos más críticos del proceso de cifrado.
Revisa los controles sugeridos por la herramienta.
Sugiere controles y medidas para mejorar la seguridad.
Genera informes que puedes guardar como parte de tu documentación de cumplimiento
Genera una documentación de seguimiento que puedes almacenar localmente.
¿Qué artículos del RGPD ayudan a cumplir estas herramientas?
Herramientas AEPD | Artículos del RGPD que refuerza |
Gestiona RGPD | Art. 30 (Registro de actividades), Art. 24 (Responsabilidad), Art. 32 (Seguridad), Art. 35 (EIPD) |
Evalúa-Riesgo RGPD | Art. 35 (Evaluación de impacto), Art. 24 (Responsabilidad), Considerandos 76 y 84 |
Comunica-Brecha RGPD | Art. 33 (Notificación a la AEPD), Art. 34 (Comunicación al interesado), Art. 5.1.f y 32 (Seguridad) |
Asesora-Brecha RGPD | Art. 33 (Notificación a la AEPD), Art. 34 (Comunicación al interesado) |
Canal DPD | Art. 37-39 (Funciones y obligaciones del Delegado de Protección de Datos), Art. 38.4 (consultas) |
ValidaCripto RGPD | Art. 32 (Medidas técnicas y de seguridad), Art. 25 (Privacidad desde el diseño) |
Selecciona la herramienta adecuada según la necesidad
No todas las herramientas sirven para lo mismo.
Conocer su propósito es clave para usarlas correctamente.
Cada herramienta está acompañada de guías prácticas y legales que te orientan sobre cómo interpretar los resultados o qué pasos seguir después.
Recomendaciones generales
Sustituyen el cumplimiento legal, lo complementan
Las herramientas de la AEPD son de apoyo, pero no garantizan el cumplimiento automático del RGPD ni de la LOPDGDD. Sirven como punto de partida para aplicar las obligaciones legales de forma adecuada.
NO
Úsalas como parte de una estrategia de responsabilidad activa
El RGPD exige a las empresas demostrar que hacen un uso responsable de los datos. Estas herramientas ayudan a documentar decisiones, analizar riesgos y adoptar medidas preventivas, en línea con el principio de responsabilidad proactiva.
SÍ
EMPRENDIMIENTO
Únete a nuestro canal de emprendimiento
por whatsapp
¡Muchas gracias!
@novafeina