04/05/2026
RGPD: cuando el “error humano” no es una excusa para evitar sanciones pero es un problema para la empresa
Las empresas deben implementar políticas de protección de datos, cláusulas informativas adecuadas, contratos de encargo de tratamiento y un análisis de riesgos documentado
El Reglamento General de Protección de Datos (RGPD) establece la obligatoriedad de implantar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo. Y aquí es donde muchas pymes fallan: no en la intención, sino en la prevención. La prevención, por tanto, es clave a la hora de proteger los datos y evitar posibles sanciones, siendo este un riesgo que afrontan también pymes y autónomos, aunque muchos desconozcan sus obligaciones.
Recientemente la Agencia Española de Protección de Datos ha sancionado a dos pymes por errores que, lejos de ser excepcionales, se repiten con frecuencia en muchas pequeñas empresas: la primera, por enviar información sensible por correo electrónico sin aplicar medidas de seguridad adecuadas, como el cifrado; la segunda, por haber perdido una memoria USB que contenía datos personales de clientes sin cifrar adecuadamente.
En ambos casos, las empresas alegaron que se trataba de un “error humano puntual”, un “mero descuido”. Sin embargo, la AEPD consideró que tenían responsabilidad porque dichos fallos evidenciaban carencias en las medidas técnicas y organizativas exigidas por el RGPD.
El Reglamento exige responsabilidad proactiva y capacidad de demostrar diligencia, y la Agencia considera que en los casos anteriores no se habían implantado medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo.
Cuando un empleado envía un email sin cifrar o pierde un USB, la pregunta no es “qué ha pasado”, sino: ¿había protocolos claros?, ¿existían herramientas que evitaran ese error?, ¿se había formado al personal?, ¿se habían evaluado los riesgos previamente?… Si la respuesta es no, la responsabilidad recae directamente en la empresa.
Existe una falsa sensación de seguridad: “esto les pasa a las grandes empresas”. Pero la realidad es justo la contraria. Las pymes manejan datos personales (clientes, proveedores, empleados), suelen tener menos recursos dedicados a seguridad y, en muchos casos, no han formalizado sus procesos. Esto las convierte en especialmente vulnerables, no solo a sanciones, sino también a brechas de seguridad que afectan a su reputación.
Para evitar estas sanciones, las pequeñas empresas deben implementar políticas internas de protección de datos, cláusulas informativas adecuadas, contratos de encargo de tratamiento y un análisis de riesgos documentado, aunque sea simplificado. Además, es necesario que cuenten con medidas técnicas básicas como una política de contraseñas seguras, accesos por perfiles, copias de seguridad periódicas o cifrado de los datos.
En DATALIA [Seguridad del Dato], empresa de Grupo Pancorbo especialista en protección de datos, ofrecemos asesoramiento para garantizar el cumplimiento normativo en Protección de Datos y evitar sanciones indeseadas. Si necesitas más información, puedes contactar con el equipo de DATALIA en el 941 23 41 10 o a través del correo electrónico datalia@datalia.info.
