Responsable del tratamiento (Controller)
Determina los fines y medios del tratamiento. Prioridad: ROPA, base jurídica, atención de las solicitudes de los interesados (DSAR), DPIA, violaciones y rendición de cuentas.
RGPD / GDPR para empresarios
Acompañamos a tu empresa desde la evaluación de aplicabilidad y roles hasta la plena preparación operativa: documentación, incidentes, transferencias de datos y plan de etapas 0-9.
Marcas con las que hemos trabajado
alcance del soporte RGPD en el contexto de 2026
Construimos un cumplimiento que funciona operativamente: desde la determinación del rol regulatorio hasta los procesos implementados, la documentación y la preparación para inspecciones.
Corresponsable del tratamiento (Joint Controller)
Decisión conjunta sobre fines y medios. Prioridad: acuerdo de corresponsabilidad, reparto de responsabilidades e información coherente para los interesados.
Encargado del tratamiento (Processor)
Trata datos por encargo del responsable del tratamiento. Prioridad: contratos de encargo (DPA), gestión de los siguientes encargados, seguridad y registro de las categorías de tratamiento.
Entidad de fuera de la UE
Si ofreces servicios a personas en la UE o monitorizas su comportamiento, el RGPD suele tener efecto extraterritorial y exige un sistema de cumplimiento completo.
Licitud, lealtad y transparencia
Comunicación clara y base jurídica correcta para cada proceso.
Limitación de la finalidad
Datos utilizados solo para fines claramente definidos y lícitos.
Minimización de datos
Alcance de datos adecuado al proceso y al riesgo de negocio.
Exactitud
Actualización de los datos y procesos de corrección de errores.
Limitación del plazo de conservación
Retención y supresión de datos conforme al fin y a las obligaciones legales.
Integridad y confidencialidad
Salvaguardas técnicas y organizativas adecuadas al riesgo.
Responsabilidad proactiva
Documentación y pruebas de cumplimiento listas para presentar a la autoridad.
Sanciones y riesgo
Las infracciones más graves pueden conllevar sanciones de hasta 20 mln EUR o el 4% de la facturación anual, y las restantes hasta 10 mln EUR o el 2% de la facturación.
Prioridades 2026
Transparencia (art. 12-14), dark patterns, transferencias de datos y overlap entre AI Act y RGPD son los principales puntos de exigencia.
Escala de exigencia
El valor total de las sanciones en la UE superó los 5,88 mld EUR, y la supervisión se concentra en la calidad de los procesos, no solo en los documentos formales.
Estado legal/material: 21 de febrero de 2026.
documentación y procedimientos: obligación → proceso → resultado
Diseñamos la documentación de manera que respalde las decisiones de negocio diarias y reduzca realmente el riesgo operativo y sancionador.
En la práctica, las organizaciones suelen fallar no por la falta de un único documento, sino por procesos inconsistentes entre negocio, TI y compliance.
Por eso ordenamos toda la cadena: desde el ROPA y las bases jurídicas, pasando por DSAR y DPIA, hasta las transferencias SCC/TIA y los procedimientos de incidentes.
- Reparto claro de responsabilidades y SLA para las acciones clave
- Conjunto coherente de documentos para el consejo, los equipos y el auditor
- Documentos listos para usar desde el primer día de la implementación
ROPA y mapeo de datos
Inventario de procesos, categorías de datos y flujos en la organización.
Resultado: Mapa de procesos + ROPA
Bases jurídicas y LIA
Asignación de las bases del art. 6 a cada proceso y documentación de los tests de ponderación de intereses.
Resultado: Matriz de bases jurídicas + LIA
Cláusulas art. 13/14 y privacy notice
Conjunto de cláusulas para canales y grupos de personas, incluidas transferencias y procesos de IA.
Resultado: Conjunto de cláusulas + política de privacidad
Derechos de los interesados y DSAR
Procedimientos y formularios para la gestión de acceso, supresión, oposición y portabilidad.
Resultado: Procedimiento de solicitudes + registro
DPIA y privacy by design
Evaluaciones de impacto para procesos high-risk, incluidas las implementaciones LLM/ML y profilado.
Resultado: Registro de DPIA + checklist
DPA, SCC y TIA
Ordenamos la cadena de encargados del tratamiento y las transferencias fuera del EEE con control de riesgo.
Resultado: Contratos + registro de transferencias
outsourcing IOD / DPO y gestión de datos
Modelo para organizaciones que necesitan supervisión experta permanente, soporte para el consejo y decisiones prácticas en la intersección de derecho, TI y operaciones.
Ayudamos a evaluar si el DPO es obligatorio (monitoreo a gran escala, datos especiales, sector público) e implementamos un modelo operativo adaptado a la escala de la organización.
- Designación del rol del DPO y alcance de responsabilidades
- Independencia de la función y ausencia de conflictos de intereses
- Soporte ante incidentes y reporte al consejo
- Priorización de acciones y supervisión del plan de etapas 0-9
Modelo operativo del DPO
Establecemos el ritmo de colaboración, los canales de escalado y los estándares de decisión para los proyectos de negocio.
Violaciones y 72 horas
Diseñamos el procedimiento de violaciones desde el reporte interno hasta la decisión sobre la notificación al PUODO.
Supervisión continua
Realizamos revisiones cíclicas de cumplimiento, KPIs y plan de acciones correctivas.
formaciones y auditorías RGPD
Construimos competencias y una preparación medible: rutas separadas para el consejo, compliance, RR. HH., marketing y TI, además de auditoría anual con plan correctivo.
Consejo
Gobernanza, responsabilidad y decisiones de riesgo.
Compliance / DPO
ROPA, DPIA, transferencias SCC/TIA, DSAR, violaciones.
RR. HH.
Datos de empleados, reclutamiento, monitoreo y retención.
Marketing / TI
Cookies, dark patterns, profilado, IA y art. 22.
Todos los empleados
Awareness, red flags y comunicación rápida de incidentes.
Auditorías
Revisión completa del cumplimiento y plan de acciones para el siguiente periodo.
Privacy Notice Audit
Verificación de las cláusulas informativas para la prioridad EDPB 2026.
Auditoría de seguridad y transferencias
Control de DPA, SCC/TIA, SLA del DSAR y eficacia de los procedimientos de incidentes.
calendario de fechas clave del RGPD
Apoyamos el plan de trabajo en plazos y tendencias que afectan realmente a las prioridades de compliance y al presupuesto de la organización.
25 de mayo de 2018
Inicio de la plena aplicación del RGPD en la UE.
Q4 2025
Digital Omnibus: dirección de simplificación y estandarización.
septiembre de 2025
Confirmaciones sobre transferencias y adequacy (incluido el DPF).
2026 (CEA transparencia)
Inspecciones coordinadas del EDPB sobre las obligaciones de información del art. 12-14.
2 de agosto de 2026
Plenas obligaciones del AI Act para sistemas high-risk y fuerte overlap con el RGPD.
2031
Horizonte para parte de los cambios sistémicos y adequacy en regímenes seleccionados.
Estado legal/material: 21 de febrero de 2026.
plan de implementación RGPD: etapas 0-9
Cada etapa la cerramos con un documento concreto, para que el consejo y los equipos tengan control sobre el progreso y el riesgo.
Etapa 0 — aplicabilidad y rol
Verificamos si y cómo el RGPD afecta a la organización — evaluamos la actividad, el alcance de los datos y los roles de Controller, Joint Controller y Processor. Se elabora la evaluación de aplicabilidad.
Etapa 1 — mapa de tratamiento y ROPA
Construimos un mapa completo del tratamiento de datos — inventariamos procesos, sistemas, flujos y plazos de retención. Se elaboran el mapa de tratamiento y el ROPA.
Etapa 2 — bases jurídicas y cláusulas
Unificamos la legitimidad del tratamiento y las comunicaciones informativas — mapeamos las bases jurídicas, preparamos el LIA y un conjunto completo de cláusulas del art. 13/14. Se elaboran la matriz de bases jurídicas y el conjunto de cláusulas.
Etapa 3 — derechos de los interesados (DSAR)
Garantizamos la atención puntual y reproducible de las solicitudes de los interesados — diseñamos el procedimiento, los formularios, la verificación de identidad y el registro DSAR.
Etapa 4 — DPIA y privacy by design
Evaluamos y mitigamos el riesgo de los procesos de alto riesgo — implementamos DPIA, checklists de Privacy by Design y el estándar AI DPIA para procesos basados en LLM/ML.
Etapa 5 — DPA y cadena de encargados del tratamiento
Ordenamos contractualmente a los proveedores que tratan datos — actualizamos DPA, roles, gestión de sub-encargados y due diligence. Se elaboran los contratos de encargo del tratamiento y su registro.
Etapa 6 — transferencias de datos
Aseguramos las transferencias de datos fuera del EEE — mapeamos transferencias, implementamos SCC y TIA y un proceso de monitoreo de adequacy. Se elaboran el registro de transferencias y la TIA.
Etapa 7 — violaciones y 72 horas
Garantizamos una reacción ágil ante incidentes de datos personales — construimos el procedimiento de violaciones, la ruta de escalado, plantillas de notificación y registro.
Etapa 8 — DPO e integración regulatoria
Conectamos la gestión del RGPD con regulaciones afines — diseñamos el modelo del DPO y el mapa de RGPD, AI Act, DORA, NIS2 y AML. Se elaboran el modelo del DPO y la matriz regulatoria.
Etapa 9 — formaciones, auditoría y mejora continua
Mantenemos el cumplimiento y la preparación ante inspecciones — dirigimos el programa de formaciones, la auditoría anual y el ciclo de acciones correctivas.
integración del RGPD con otras regulaciones
Creamos un único modelo de gestión del cumplimiento para evitar duplicaciones y conflictos entre requisitos.
RGPD + AI Act
DPIA, art. 22, transparencia y supervisión humana para sistemas de IA.
RGPD + DORA
Gestión coherente de incidentes ICT y violaciones de datos personales.
RGPD + NIS2
Estándares comunes de seguridad, escalado y supervisión cyber.
RGPD + AML
Retención conforme, legal basis y proporcionalidad del tratamiento para las obligaciones AML.
RGPD + DSA/DMA
Transparencia del profilado, publicidad y datos de los usuarios de plataformas.
RGPD + e-Privacy
Consent management, cookies y eliminación de dark patterns.
paquetes de servicios RGPD
Adaptamos el alcance del trabajo a la etapa de la organización: desde un diagnóstico rápido hasta una implementación completa y un modelo de mantenimiento permanente del cumplimiento.
Diagnóstico de preparación RGPD
Para empresas que, antes de una implementación mayor o de una auditoría, quieren evaluar rápidamente el punto de partida. Recibes un análisis de brechas y un plan de prioridades.
Auditoría de cláusulas informativas (EDPB 2026)
Para organizaciones con múltiples canales de contacto y profilado, que se preparan para campañas de marketing o inspecciones. Recibes una auditoría de las cláusulas del art. 12-14 y recomendaciones de implementación.
Implementación completa del RGPD
Para empresas que construyen un sistema completo de cumplimiento — al entrar en un nuevo mercado o escalar operaciones. Recibes el conjunto de procedimientos, documentación y modelo de gestión de datos.
Paquete DPIA — procesos e IA
Para equipos que implementan procesos high-risk, scoring, profilado o automatización con IA. Recibes el paquete DPIA, registro de riesgos y recomendaciones de salvaguardas.
Revisión de contratos de encargo y transferencias
Para organizaciones con una amplia red de proveedores que cambiaron herramientas o jurisdicciones. Recibes una revisión de los DPA, SCC/TIA y un mapa de transferencias fuera del EEE.
Soporte continuo RGPD
Para empresas que tras la implementación necesitan supervisión permanente del cumplimiento. Recibes supervisión cíclica, actualizaciones de documentación y soporte ante incidentes.
experto que dirige el área RGPD
En los proyectos RGPD combinamos perspectiva jurídica, operativa y tecnológica para pasar más rápido de los riesgos a resultados medibles.
Soporte experto desde la fase de diagnóstico
- Priorización de riesgos y decisiones directivas
- Cierre rápido de las brechas críticas de compliance
- Soporte permanente en la intersección de negocio, TI y derecho
Podcasts | Legal Geek
- Experiencia en proyectos RGPD para comercio electrónico, TI y fintech
- Integración del RGPD con AI Act, DORA, NIS2 y AML
- Soporte en incidentes e inspecciones de la autoridad
Contacto en materia de RGPD
Zofia Babicka-Klecor
Fundadora
Jurista, experta en comercio electrónico
Zofia es la fundadora de Legal Geek y experta en derechos del consumidor y servicios electrónicos. Asesora en comercio electrónico, modelos de negocio digital y protección de datos personales. Como socia en Legal Geek lidera el soporte legal en e-commerce y RGPD.
LinkedIn
FAQ: preguntas más frecuentes del consejo y de los equipos
A continuación recopilamos las preguntas que aparecen con más frecuencia en proyectos de implementación y auditoría.
¿Toda empresa está sujeta al RGPD?
Si tratas datos personales de personas físicas, el RGPD se aplica por regla general con independencia del tamaño de la empresa. Las excepciones son estrechas — afectan principalmente a la actividad puramente personal o doméstica.
¿Cuándo es obligatoria la DPIA?
Cuando un proceso pueda generar un alto riesgo para los derechos y libertades de las personas, p. ej. profilado, monitoreo a gran escala o soluciones de IA que tratan datos personales. La UODO publica una lista de tipos de operaciones que siempre requieren DPIA — conviene consultarla antes de lanzar un nuevo proyecto.
¿Qué significa el plazo de 72 horas?
Es el tiempo máximo para notificar una violación a la autoridad de control (UODO) tras detectar un incidente que cumple los presupuestos de notificación. Si en 72 horas aún no dispones de todos los datos, puedes presentar una notificación inicial y completarla más adelante.
¿Cómo organizar el DSAR en la práctica?
Se necesitan: procedimiento, formulario, verificación de identidad, registro de casos y SLA claros entre departamentos.
¿Siguen siendo exigibles las SCC y la TIA?
Sí, en transferencias fuera del EEE basadas en SCC es necesaria la evaluación del riesgo de la transferencia (TIA) y un monitoreo continuo de los cambios.
¿Cómo conectar IA y el art. 22 RGPD?
Hay que evaluar el impacto de las decisiones automatizadas, garantizar transparencia e implementar una supervisión humana adecuada.
¿Cuándo es obligatorio el DPO?
Entre otros, cuando la actividad implica monitoreo regular a gran escala o tratamiento de categorías especiales de datos a gran escala.
¿Se puede implementar el RGPD por etapas?
Sí. Primero diagnóstico y brechas críticas, después un plan de etapas 0-9 con prioridades de negocio. Este enfoque permite cerrar rápidamente los riesgos más relevantes antes de finalizar la documentación completa.
¿Cómo se ve la preparación para una inspección?
La organización tiene la documentación actualizada, procedimientos operativos, registros de decisiones y un ciclo confirmado de auditoría y formaciones.
materiales RGPD en cada etapa de la implementación
Dejamos materiales prácticos que ayudan a arrancar más rápido el diagnóstico, ordenar la documentación y preparar al equipo para la operativa.
Guía jurídica del RGPD
Inicio para las etapas 0-2: ámbito de aplicabilidad, roles y obligaciones básicas del responsable del tratamiento.
Descarga la guíaInfografía y checklist
Lista de control rápida para las etapas 1-4: ROPA, cláusulas, derechos de los interesados y DPIA.
Descargar checklistWebinars y práctica de implementaciones
Materiales para las etapas 5-9: transferencias, violaciones, gobernanza e integración con el AI Act.
Ver seriecontacta para la implementación del RGPD
Seleccionamos la etapa de trabajo adecuada: diagnóstico, implementación final o modelo de mantenimiento del cumplimiento y soporte ante incidentes.
Rellena el formulario de contacto
Describe la etapa del proyecto: diagnóstico, implementación de procesos de alto riesgo o mantenimiento del cumplimiento.