Hay algo que ocurre en casi todas las reuniones con clientes. Empiezas preguntando por la protección de datos y la respuesta suele ser rápida, casi automática: “sí, eso ya lo tenemos”.
Sin embargo, cuando empiezas a profundizar (cuando preguntas por contratos, protocolos, accesos o procedimientos internos) el silencio aparece. Y es ahí donde se ve la realidad, ya que muchas empresas creen que cumplen, pero en realidad solo han dado una capa superficial al problema.
Recientemente, hablando con Jokkar sobre cómo las empresas están gestionando la proteccion de datos para empresas, llegábamos a una conclusión bastante clara: “el cumplimiento real no se mide por tener documentos, sino por tener un sistema coherente detrás”.
Porque en 2026, la protección de datos no es un trámite administrativo. Es una obligación jurídica estructural basada en el principio de responsabilidad proactiva (art. 5.2 RGPD), que exige poder demostrar en todo momento que se está cumpliendo.
Y eso solo se consigue con una base documental sólida.
El primer fallo: contratos sin protección de datos
Todo empieza aquí. Muchas empresas trabajan con colaboradores, proveedores o servicios externos sin adaptar sus contratos a la normativa de protección de datos. Esto es especialmente grave cuando esos terceros acceden a datos personales.
El artículo 28 del RGPD es claro. Cuando hay acceso a datos, debe existir un contrato de encargado del tratamiento.
No es una formalidad. Es una pieza clave que debe regular:
- Qué datos se tratan,
- Para qué finalidad,
- Qué medidas de seguridad se aplican,
- Qué ocurre al finalizar la relación,
Sin esto, la empresa asume un riesgo directo frente a la AEPD.
Lo visible… y lo mal hecho: cláusulas en emails y formularios
Después viene lo que el cliente sí ve: formularios, correos electrónicos, páginas de contacto.
Aquí muchas empresas utilizan textos genéricos, desactualizados o incompletos. Pero la normativa (arts. 13 y 14 RGPD) exige una información clara y completa.
No basta con poner “cumplimos la LOPD”.
Hay que informar de:
- Quién es el responsable,
- Para qué se usan los datos,
- Cuál es la base legal,
- Qué derechos tiene el usuario,
Este punto es clave porque conecta directamente con el principio de transparencia.
El gran desconocido: documentos internos diferenciados
Aquí es donde empieza el cumplimiento real.
No existe un único documento de protección de datos válido para todo. Una empresa debe diferenciar claramente entre:
- Clientes,
- Proveedores,
- Colaboradores (incluyendo empleados y freelancers).
Cada uno implica tratamientos distintos, bases jurídicas distintas y obligaciones diferentes.
Esto no es una recomendación: deriva directamente del artículo 30 del RGPD (registro de actividades de tratamiento).
Cuando todo se mete en un mismo documento, el sistema deja de ser defendible jurídicamente.
La web: el escaparate… y el foco de sanciones
Si una empresa tiene página web, tiene una fuente constante de recogida de datos.
Y, sin embargo, sigue siendo habitual encontrar:
- Políticas copiadas
- Cookies mal configuradas
- Formularios sin información completa
La LSSI-CE y el RGPD obligan a tener:
- Aviso legal,
- Política de privacidad,
- Política de cookies,
- Y en algunos casos declaracion de accesibilidad.
Pero, sobre todo, obligan a que sean reales, coherentes con la actividad y actualizados.
El control que casi nadie tiene: accesos a sistemas
En empresas digitales, este punto marca la diferencia.
¿Quién tiene acceso al hosting?
¿Quién entra en el CRM?
¿Quién puede descargar bases de datos?
Si no hay control, no hay cumplimiento.
El RGPD exige garantizar la integridad y confidencialidad de los datos (art. 5.1.f), y eso implica llevar un registro de accesos a plataformas y sistemas.
Este documento es especialmente importante en negocios de marketing, tecnología o servicios online.
El núcleo de todo: el manual de cumplimiento
Y llegamos al punto clave.
Una empresa puede tener todos los documentos anteriores… y aun así no cumplir.
¿Por qué?
Porque falta lo esencial: un sistema.
El manual de cumplimiento en protección de datos no es un documento más. Es el documento que da sentido a todos los demás.
En un modelo estructurado como el que se recoge en un manual profesional, deben incluirse aspectos como:
- Marco normativo aplicable,
- Registro de tratamientos,
- Organización interna y responsabilidades,
- Procedimientos para ejercer derechos,
- Protocolos ante brechas de seguridad,
- Control de accesos,
- Análisis de riesgos,
Este manual es lo que permite demostrar ante cualquier inspección que la empresa cumple con el principio de responsabilidad proactiva.
Conclusión: la diferencia entre cumplir y aparentar
La experiencia práctica es clara.
La mayoría de las empresas no incumplen por mala fe, sino por desconocimiento o por haber confiado en soluciones genéricas.
Pero en protección de datos, eso no exime de responsabilidad.
Cumplir en 2026 no es tener documentos.
Es tener un sistema.
Un sistema que funcione, que esté adaptado a la empresa y que pueda defenderse jurídicamente si llega el momento.
Y ahí es donde realmente se marca la diferencia entre un negocio protegido… y uno expuesto.
