Multas RGPD en empresas: los errores cotidianos que pueden acabar en una sanción de la AEPD

Multas RGPD en empresas: los errores cotidianos que pueden acabar en una sanción de la AEPD

Las multas RGPD no son solo para grandes compañías

Muchas empresas siguen pensando que las sanciones de protección de datos solo afectan a multinacionales, plataformas tecnológicas o grandes compañías que manejan millones de usuarios. Es un error. El RGPD y la Ley Orgánica de Protección de Datos también afectan a pymes, despachos profesionales, clínicas, ecommerce, inmobiliarias, asesorías, empresas familiares, restaurantes, centros educativos y cualquier negocio que trate datos de clientes, trabajadores, proveedores o usuarios web.

La realidad es que una sanción de protección de datos puede nacer de un gesto cotidiano: enviar un email con copia abierta, adjuntar el archivo equivocado, entregar información a quien no corresponde, instalar cámaras sin informar correctamente, conservar currículums durante años o copiar una política de privacidad de otra web.

En protección de datos, lo peligroso no siempre es lo espectacular. Muchas veces lo más sancionable es lo que la empresa hace todos los días sin darse cuenta.

Qué sanciones puede imponer la AEPD a una empresa

El RGPD establece un régimen sancionador muy severo. Determinadas infracciones pueden alcanzar multas de hasta 10.000.000 euros o el 2% del volumen de negocio total anual global del ejercicio anterior. Otras infracciones, más graves, pueden llegar hasta 20.000.000 euros o el 4% del volumen de negocio anual global.

La cuantía concreta dependerá de múltiples factores: la gravedad de la infracción, el número de personas afectadas, la duración del incumplimiento, el tipo de datos tratados, la negligencia de la empresa, las medidas adoptadas para reducir el daño, la cooperación con la autoridad de control y la existencia de infracciones anteriores.

Por eso, cumplir el RGPD no debe verse como un simple trámite documental. Es una obligación legal y una forma de proteger el patrimonio de la empresa.

Error 1: enviar correos con datos personales al destinatario equivocado

El correo electrónico es una de las principales fuentes de brechas de seguridad en las empresas. Se usa para enviar nóminas, contratos, presupuestos, informes, facturas, historiales, documentación laboral, listados de clientes y comunicaciones internas.

Un error aparentemente pequeño puede generar un problema grave. Por ejemplo, enviar documentación de un trabajador a otro empleado, remitir datos bancarios sin cifrar, adjuntar un archivo con información de toda la plantilla o mandar un email masivo sin copia oculta.

La AEPD ha sancionado casos en los que la empresa no pudo justificar medidas suficientes para evitar la filtración. El argumento de “ha sido un error humano” no siempre exime de responsabilidad. La empresa debe demostrar que tenía protocolos, formación, medidas de seguridad y controles razonables.

Error 2: copiar textos legales de otra web

Uno de los errores más habituales en las empresas es copiar la política de privacidad, el aviso legal o la política de cookies de otra página web. Parece rápido, barato y suficiente. Pero no lo es.

Cada empresa trata datos distintos, con finalidades distintas, bases jurídicas distintas, proveedores distintos y plazos de conservación distintos. Una clínica no trata datos como una inmobiliaria. Un ecommerce no trata datos como un despacho de abogados. Una empresa con empleados no tiene las mismas obligaciones que un autónomo sin personal contratado.

Copiar textos legales puede generar una falsa sensación de cumplimiento. Y cuando llega una reclamación, la empresa descubre que el documento no refleja su realidad.

Una política de privacidad debe explicar de forma clara quién trata los datos, para qué se tratan, cuál es la base jurídica, durante cuánto tiempo se conservan, a quién se comunican y qué derechos puede ejercer el interesado.

Error 3: no tener medidas de seguridad reales

El RGPD exige aplicar medidas técnicas y organizativas adecuadas al riesgo. No basta con tener una carpeta llamada “protección de datos”. La empresa debe demostrar que protege realmente la información que maneja.

Algunas medidas básicas son el control de accesos, contraseñas robustas, cifrado de documentos sensibles, copias de seguridad, limitación de permisos, formación del personal, protocolos de envío de información, contratos con proveedores y procedimiento de respuesta ante brechas.

La seguridad debe adaptarse al tipo de datos. No es lo mismo tratar nombres y teléfonos de clientes que gestionar nóminas, datos bancarios, historiales médicos, expedientes judiciales o imágenes de videovigilancia.

Error 4: no atender derechos de clientes o trabajadores

Clientes, trabajadores, pacientes, proveedores y usuarios pueden ejercer derechos sobre sus datos personales: acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad.

Muchas empresas no tienen un procedimiento interno para identificar estas solicitudes. A veces el interesado no utiliza términos jurídicos. Puede escribir: “quiero que borréis mis datos”, “dejad de mandarme publicidad”, “quiero saber qué información tenéis de mí” o “no autorizo que uséis mis datos”.

Si la empresa no responde correctamente, o lo hace fuera de plazo, puede producirse una infracción.

Error 5: instalar cámaras sin cumplir la normativa

La videovigilancia es otro foco habitual de sanciones. Las empresas pueden instalar cámaras para seguridad o, en determinados casos, para control laboral, pero deben respetar los principios de proporcionalidad, minimización e información.

No pueden grabarse zonas sensibles, como vestuarios, baños o zonas de descanso. Tampoco puede convertirse el puesto de trabajo en un espacio de vigilancia permanente e indiscriminada si existen medios menos invasivos.

La empresa debe colocar carteles informativos, limitar el acceso a las imágenes, fijar plazos de conservación, informar a los trabajadores cuando proceda y documentar el tratamiento en el registro de actividades.

Error 6: no tener contratos con proveedores que tratan datos

Muchas empresas trabajan con asesorías laborales, gestorías, informáticos, empresas de mantenimiento web, plataformas de email marketing, proveedores cloud, CRM, empresas de seguridad o software de gestión.

Si estos proveedores acceden a datos personales por cuenta de la empresa, debe existir un contrato de encargado de tratamiento conforme al artículo 28 del RGPD.

No basta con una factura. No basta con un contrato mercantil genérico. El contrato debe regular instrucciones, confidencialidad, medidas de seguridad, subcontratación, asistencia al responsable y destino de los datos al finalizar la prestación.

Diferencia entre infracciones leves, graves y muy graves

La LOPDGDD distingue entre infracciones leves, graves y muy graves.

Las infracciones leves suelen estar vinculadas a incumplimientos formales, como información incompleta, registro de actividades incompleto o determinados incumplimientos en la atención de derechos.

Las infracciones graves afectan a obligaciones estructurales, como no disponer del registro de actividades, no aplicar medidas de seguridad adecuadas, no formalizar contratos con encargados o no realizar una evaluación de impacto cuando sea exigible.

Las infracciones muy graves afectan al núcleo del derecho a la protección de datos: tratar datos sin base legitimadora, vulnerar principios del RGPD, omitir el deber de información, utilizar datos para fines incompatibles, vulnerar la confidencialidad o impedir el ejercicio de derechos.

Cómo evitar una sanción RGPD

La mejor defensa frente a una sanción es la prevención. Una empresa debe revisar, como mínimo:

• Política de privacidad.
• Aviso legal.
• Política de cookies.
• Registro de actividades de tratamiento.
• Contratos con encargados.
• Cláusulas para trabajadores y clientes.
• Protocolos de RRHH.
• Medidas de seguridad.
• Procedimiento de brechas.
• Atención de derechos.
• Videovigilancia.
• Comunicaciones comerciales.
• Conservación de documentación.

No se trata de tener papeles. Se trata de poder demostrar que la empresa cumple.

Abogados de protección de datos para empresas en Barcelona

En Català Reinón Abogados asesoramos a empresas en materia de protección de datos, RGPD y LOPDGDD. Revisamos documentación, contratos, proveedores, brechas de seguridad, videovigilancia, ecommerce, recursos humanos y comunicaciones comerciales.

Nuestro objetivo es que la empresa no espere a recibir una reclamación para actuar. Una auditoría preventiva puede evitar sanciones, conflictos con trabajadores, reclamaciones de clientes y daños reputacionales.

¿Tu empresa cumple realmente el RGPD o solo tiene documentos guardados en una carpeta?

Contacta con Català Reinón Abogados y revisaremos tu situación en protección de datos antes de que exista un problema.

Artículo revisado y validado por Gemma Reinón Tardáguila, abogada de Català Reinón Abogados.

Publicado: Mayo 2026
Especialista en Protección de Datos
Abogado/a Colegiado/a