Las sanciones RGPD a PYMES en 2026 desde la AEPD siguen siendo una realidad en España.

La Agencia Española de Protección de Datos (AEPD) mantiene su foco en los incumplimientos básicos del Reglamento General de Protección de Datos, afectando especialmente a pequeñas y medianas empresas que no han adaptado correctamente su gestión de datos personales.

Lejos de grandes ciberataques, muchas actuaciones de la AEPD se originan por errores cotidianos y fácilmente evitables.

La realidad en 2026: el RGPD se aplica igual a grandes empresas y a PYMES

Uno de los mensajes más reiterados por la AEPD en los últimos años —y que sigue plenamente vigente en 2026— es claro:

El tamaño de la empresa no exime del cumplimiento del RGPD.

La AEPD actúa principalmente:

• Tras reclamaciones de clientes o usuarios
• Por denuncias de exempleados
• A raíz de campañas de inspección sectoriales
• Cuando detecta irregularidades evidentes en páginas web o comunicaciones comerciales

Incumplimientos más habituales que siguen afectando a las PYMES

En 2026, los motivos de sanción más frecuentes no han cambiado sustancialmente, y siguen estando relacionados con una mala gestión diaria de los datos. Aquí algunos ejemplos:

Falta de documentación RGPD obligatoria

Muchas PYMES:

• No disponen de Registro de Actividades de Tratamiento
• No han definido bases legales
• No tienen contratos de encargo con proveedores

📄 La ausencia de documentación sigue siendo uno de los primeros puntos que revisa la AEPD.

Formularios web sin información clara de protección de datos

Es habitual encontrar:

• Formularios sin política de privacidad accesible
• Textos genéricos o desactualizados
• Falta de información sobre derechos del usuario
• Falta de información sobre los responsables del tratamiento de datos personales.

🌐 La web corporativa continúa siendo una fuente constante de reclamaciones.

Envío de comunicaciones comerciales sin base legal válida

En 2026 la AEPD sigue prestando especial atención a:

• Emails comerciales sin consentimiento
• Uso de WhatsApp con fines publicitarios
• Falta de sistemas de baja efectivos

📩 El marketing digital sigue siendo uno de los ámbitos más sancionados.

Mala gestión de los derechos de los interesados

Muchas empresas:

• No saben identificar una solicitud de derechos
• No responden dentro del plazo legal
• No documentan las respuestas

⚠️ Una mala gestión de derechos suele acabar directamente en reclamación ante la AEPD.

Uso inseguro de herramientas habituales (email, nube, mensajería)

Errores comunes:

• Envíos de correos con destinatarios visibles
• Accesos compartidos sin control
• Falta de medidas organizativas internas

🔐 La AEPD valora especialmente si la empresa ha aplicado medidas proporcionales, aunque sean sencillas.

Por qué la AEPD sigue centrada en las PYMES

El enfoque de la AEPD se mantiene porque:

• Las PYMES tratan datos personales a diario
• Los incumplimientos suelen ser estructurales
• Muchos problemas se repiten por desconocimiento
• La prevención es clave para proteger a los ciudadanos

📌 En la práctica, la AEPD espera que las PYMES demuestren diligencia, no perfección.

Qué puede hacer una PYME en 2026 para reducir riesgos RGPD

Desde una perspectiva práctica, las medidas más eficaces siguen siendo:

✔ Adaptación RGPD realista y personalizada
✔ Documentación mínima, pero correcta
✔ Textos legales claros y actualizados
✔ Procedimiento interno para derechos ARSULIPO
✔ Formación básica a empleados
✔ Revisión periódica del cumplimiento

👉 No se trata de “tener papeles”, sino de saber cómo actuar.

CEO Data Protect Plus

Sylvia Fries

Introducción

El consentimiento registro horario 2026 será un aspecto esencial para todas las empresas que deban implantar el registro digital obligatorio. Entender cuándo debe solicitarse, cómo se gestiona y por qué afecta directamente a la protección de datos es clave para cumplir el RGPD y reducir riesgos legales.

Aunque la base legal principal del tratamiento de esos datos se justifica por una obligación legal, hay razones clave —tanto jurídicas como operativas— para formalizar un consentimiento por trabajador. En este post, explicamos por qué es tan importante y cómo Data Protect Plus puede ayudarte a gestionar este aspecto correctamente.

Contexto legal: la regla general del registro horario

1. Obligación legal
   • Según el anteproyecto para la reducción de la jornada y el registro de horario, el registro diario deberá realizarse por medios digitales.
   • El registro digital de jornada será obligatorio para todas las empresas (sin importar el tamaño).
   • Los registros deben conservarse al menos 4 años y estar disponibles para la Inspección de Trabajo.
2. Protección de datos
   • Según la AEPD, para el control horario no se requiere necesariamente el consentimiento del trabajador: la base legal del tratamiento es el cumplimiento de una obligación legal (art. 6.1.c RGPD).
   • Sin embargo, la empresa tiene el deber de informar claramente a los trabajadores sobre la finalidad del tratamiento, qué datos se recopilan, cómo se almacenan y durante cuánto tiempo.
   • Además, la AEPD ha publicado una guía de protección de datos y relaciones laborales que incluye específicamente el registro de jornada.
3. Limitaciones en datos biométricos
   • La AEPD ha expresado restricciones sobre el uso de datos biométricos para el registro de presencia (como huella dactilar).
   • Por lo tanto, cualquier sistema que use datos biométricos debe estar muy bien justificado y cumplir con las reglas de protección de datos.

¿Por qué firmar un consentimiento por trabajador aunque no siempre sea obligatorio?

Aunque el consentimiento no es legalmente requerido para todos los usos del registro horario, hay muchas ventajas estratégicas y de cumplimiento al obtener un consentimiento explícito de cada empleado:

1. Transparencia y confianza
   • Pedir un consentimiento formal refuerza la transparencia: los trabajadores saben exactamente qué datos se recopilan, cómo se usan, quién accede a ellos y por cuánto tiempo.
   • Esto mejora la reputación de la empresa y la relación de confianza: los empleados perciben que su privacidad no está siendo vulnerada sin su conocimiento.
2. Mejora del cumplimiento normativo
   • Aunque la obligación legal legitime el tratamiento, un consentimiento firmado puede usarse para documentar que la empresa ha cumplido con las obligaciones informativas (RGPD: principio de transparencia).
   • En una auditoría de protección de datos, tener registros de los consentimientos firmados puede ser una prueba sólida de que la empresa ha hecho un esfuerzo adicional para proteger los derechos de los trabajadores.
3. Mitigación de riesgos legales
   • Si en el futuro se amplían las funciones del sistema (por ejemplo, para análisis de productividad, geolocalización, nuevas métricas), esos nuevos usos podrían necesitar una base legal distinta (no siempre la obligación legal basta). Tener un consentimiento previo facilita la adaptación.
   • Si hay un cambio en la legislación o en la tecnología usada, se puede pedir un consentimiento adicional (o renovado) de manera más organizada si ya existe una cultura de consentimiento formal.
4. Gestión interna más eficiente
   • Un consentimiento firmado permite gestionar mejor quién ha aceptado y quién no, lo que ayuda en la administración del sistema de control horario.
   • Facilita formación interna y políticas claras: puedes vincularlo con documentos internos, políticas de privacidad, manuales de empleados, etc.
5. Mejora de la gobernanza de datos
   • Permite un enfoque más maduro de gestión de datos: no solo cumplir con lo mínimo legal, sino establecer buenas prácticas (informar, documentar, auditar).
   • Ayuda en la evaluación de impacto (DPIA, Data Protection Impact Assessment) cuando se implementa un sistema de tratamiento de datos (por ejemplo, si se cambia el sistema o se introducen nuevas funciones).

Cómo implementar el consentimiento de forma correcta

Aquí algunos pasos prácticos para hacerlo bien y alineado con Data Protect Plus:

1. Redacción del consentimiento
   • Debe ser claro, específico y no estar mezclado con cláusulas contractuales ambiguas.
   • Incluir información sobre qué datos se van a recopilar (entrada, salida, pausas, total horas, quizás identificador de usuario,…).
   • Explicar la finalidad del tratamiento (cumplir la obligación legal de registro horario).
   • Indicar el período de retención (por ejemplo, 4 años) y quién tendrá acceso a esos datos (Inspección de Trabajo, representantes de los trabajadores, departamentos internos).
   • Incluir los derechos del trabajador: acceso, rectificación, supresión, limitación, oposición, retirada del consentimiento (si aplica para usos distintos a los obligatorios).
2. Proceso de firma
   • Integrar el consentimiento en el proceso de alta del trabajador (por ejemplo, al firmar su contrato, o en la bienvenida digital).
   • Utilizar firmas digitales si el proceso es remoto (Data Protect Plus puede ayudar a gestionar estos consentimientos digitalmente).
   • Guardar y versionar los consentimientos: tener un registro en el que se almacenen las versiones firmadas y las fechas para auditoría.
3. Comunicación y formación
   • Informar a los trabajadores sobre el sistema de registro horario y por qué se usa: emplear sesiones de formación o documentación interna (manuales, FAQs).
   • Proporcionar una política de privacidad laboral con lenguaje accesible para que todos los empleados entiendan cómo se usan sus datos.
   • Crear un canal para preguntas y derechos: designar a un delegado de protección de datos (DPO) o responsable interno al que los empleados puedan acudir.
4. Revisión y actualización
   • Revisar periódicamente el consentimiento (por ejemplo, cada vez que cambie la normativa, el sistema, o los propósitos de uso).
   • Documentar cualquier cambio y pedir un nuevo consentimiento si se modifican significativamente los términos.

Riesgos de no pedir el consentimiento formalmente

• Aunque legalmente se puede argumentar la base del cumplimiento de una obligación, no documentar de forma clara puede generar desconfianza o malentendidos.
• En caso de inspección de protección de datos, la empresa podría tener dificultades para demostrar que informó adecuadamente a los empleados si no hay un registro claro.
• Si la empresa decide ampliar el uso de los datos del registro (analítica, productividad, geolocalización), no tener un consentimiento claro puede implicar riesgo legal (cambio de base de legitimación).
• La falta de transparencia puede afectar la moral de los empleados y la cultura de la empresa, provocando rechazos, resistencias o quejas internas.

CEO Data Protect Plus

Sylvia Fries

Solicita información aquí: Formulario de contacto.

Sanción de 70.000€ por WhatsApp en empresas: lo que tu PYME debe saber

En el mundo empresarial, los detalles importan. Y cuando se trata de la protección de datos personales, un error puede costar muy caro. La reciente sanción de 70.000 euros a LVMH Iberia por añadir a una trabajadora a un grupo de WhatsApp de empresa usando su móvil personal sin consentimiento previo es un claro ejemplo.

El problema del uso de móviles personales en el trabajo

Muchas PYMEs, por falta de recursos o desconocimiento, recurren a los teléfonos personales de sus empleados para comunicaciones internas o con clientes. Esta práctica, aunque común, vulnera el Reglamento General de Protección de Datos (RGPD) y el derecho a la desconexión digital.

La sanción de la AEPD y sus consecuencias para empresas

La AEPD dejó claro que usar el número personal de un empleado sin consentimiento es un tratamiento ilícito de datos. Además, interrumpir sus vacaciones añadiéndolo a un grupo de WhatsApp laboral violó su derecho a la desconexión.

¿El resultado? Una sanción de 70.000 euros que, tras reducciones, quedó en 42.000 €. Un importe que podría poner en riesgo la estabilidad de muchas PYMEs.

Soluciones prácticas para cumplir con el RGPD

En DataProtectPlus ayudamos a tu PYME a evitar sanciones gracias a:

✅ Auditorías de cumplimiento RGPD adaptadas a tu negocio.
✅ Protocolos internos claros sobre el uso de dispositivos y canales de comunicación.
✅ Formación a empleados para prevenir riesgos legales.
✅ Soporte legal y técnico continuo para garantizar la tranquilidad de tu empresa.

Proteger los datos personales de tus empleados no es solo una obligación legal, es una forma de cuidar la confianza y la reputación de tu empresa.

¿Quieres blindar tu PYME frente a sanciones de la AEPD?

Añade valor a tu marca, para empleados y clientes:

👉 Contacta con DataProtectPlus y evita que un simple grupo de WhatsApp se convierta en un problema de 70.000€.

CEO Data Protect Plus ®

Sylvia Fries

Este artículo está pensado para padres y madres que quieren proteger la privacidad de sus hijos en el entorno escolar, sobre todo ahora que comienza un nuevo curso. Vamos a repasar qué datos suelen recopilarse, cuáles son los riesgos, qué obligaciones tienen las escuelas y, lo más importante, qué puedes hacer tú como padre para asegurarte de que la información de tu hijo está en buenas manos.

Por qué Recursos Humanos y asesores deben dejar de hacerlo ya

En muchas empresas, especialmente en departamentos de Recursos Humanos o asesorías empresariales, es común que, ante la urgencia, se recurra a canales como WhatsApp para compartir documentos personales de empleados o clientes.

📲 “Mándame el DNI por WhatsApp y lo resolvemos ahora.”
Una frase que se escucha a diario. Pero… ¿alguna vez te has parado a pensar en las consecuencias?

El riesgo invisible: enviar datos personales por WhatsApp

Aunque WhatsApp cuenta con cifrado de extremo a extremo, esto no garantiza un uso seguro ni legal cuando hablamos de documentación sensible como:

• DNI o NIE
• Pasaportes
• Nóminas
• Contratos laborales
• Documentación fiscal o sanitaria

El Reglamento General de Protección de Datos (RGPD) es claro: los datos personales deben tratarse con medidas técnicas y organizativas adecuadas. WhatsApp, al no ser una plataforma diseñada para este tipo de tratamiento, no ofrece garantías suficientes.

¿Qué puede pasar si envías un documento sensible por WhatsApp?

1. Suplantación de identidad

Una foto de un DNI puede bastar para abrir cuentas, pedir créditos o realizar compras fraudulentas a nombre de otra persona.

2. Pérdida de control de los datos

Una vez enviado por WhatsApp, el documento puede ser:

• Reenviado sin control
• Almacenado indefinidamente en el móvil del receptor
• Compartido con personas no autorizadas

3. Responsabilidad legal y sanciones

La Agencia Española de Protección de Datos (AEPD) ha sancionado a empresas por prácticas de este tipo. Enviar documentos personales sin garantías puede considerarse una infracción grave, especialmente si se produce una filtración o acceso no autorizado.

Recursos Humanos y asesorías: ¿por qué sois los más expuestos?

Los departamentos de RRHH y las asesorías manejan grandes volúmenes de datos personales diariamente. Además, suelen estar en contacto con perfiles no técnicos que pueden no ser conscientes de los riesgos digitales.

Esto convierte al área en un punto crítico para la protección de datos. La rapidez no puede estar por encima de la seguridad.

¿Cómo compartir documentos personales de forma segura?

Aquí tienes algunas buenas prácticas que puedes implementar desde ya:

✅ Usa plataformas seguras

Opta por herramientas específicas para compartir documentos cifrados y con caducidad, como:

• WeTransfer (versión Pro, con contraseña)
• Portales de RRHH con acceso seguro
• Correo electrónico con cifrado y verificación de identidad

✅ Minimiza los datos

Antes de compartir, pregúntate:
¿Es necesario enviar el documento completo?
Si no hace falta, difumina o elimina datos como la fotografía, número de soporte, dirección o número completo.

✅ Informa y forma a tu equipo

Es esencial que todo el personal sepa cómo tratar documentos sensibles, por qué no usar WhatsApp y qué alternativas existen.

La seguridad de los datos es una cuestión de confianza

Proteger la información personal no es solo cumplir con el RGPD. Es también una muestra de respeto hacia empleados, clientes y colaboradores. Y, sobre todo, es una forma de proteger la reputación de tu empresa o despacho.

Porque cuando ocurre una filtración, el daño va mucho más allá de una multa.

Conclusión: no pongas en riesgo tu empresa por comodidad

Enviar un DNI por WhatsApp puede parecer una solución rápida. Pero sus consecuencias pueden ser devastadoras.

Cambia la rutina. Implementa protocolos. Informa a tu equipo.
Y si necesitas asesoramiento profesional para adaptar tu empresa al RGPD, contacta con expertos en protección de datos.

¿Gestionas datos sensibles y quieres hacerlo con garantías?
🔐 Te ayudamos a revisar tus protocolos de tratamiento de datos.
👉 Contáctanos para una consultoría inicial gratuita.

CEO Data Protect Plus

Sylvia Fries

Esto es lo que puedes (y no puedes) hacer en 2025

¿Utilizas el teléfono para llamar a nuevos clientes? ¿Tu equipo comercial llama a particulares o empresas para ofrecer servicios? Entonces esto te interesa: desde junio de 2025, las reglas del juego han cambiado, y las multas pueden ser muy serias si no cumples con la normativa para tus llamadas comerciales.

En Data Protect Plus, asesoría especializada en protección de datos en Torrevieja, te contamos lo esencial para que puedas hacer marketing telefónico legal, eficaz y seguro.

¿Puedo seguir haciendo llamadas comerciales?

Sí, pero bajo ciertas condiciones muy claras. En 2025, ya no se puede llamar “a puerta fría” como antes. Estas son las claves:

✅ Puedes llamar si:

• Tienes el consentimiento previo y expreso del destinatario.
• Ya es cliente tuyo, y la oferta está relacionada con productos/servicios similares.
• Te diriges a una empresa (B2B) y tienes una base legítima para hacerlo, siempre que respetes los derechos del destinatario.

❌ No puedes llamar si:

• El contacto no ha dado su consentimiento, y no tienes otra base legal sólida.
• La persona está inscrita en la Lista Robinson (obligatorio consultarla antes de cada campaña).
• Llamas desde un número oculto o desde un móvil particular no autorizado.
• No informas al inicio de la llamada sobre quién eres y por qué llamas.

¿Qué debes decir en la llamada?

Desde el primer momento, el receptor debe estar informado sobre:

🔹 Quién eres y de qué empresa llamas.
🔹 Que se trata de una llamada con fines comerciales.
🔹 Que tiene derecho a oponerse a futuras llamadas y revocar su consentimiento en cualquier momento.

Y si vas a grabar la llamada, también debes tener en cuenta:

🔸 Informar antes de empezar la grabación.
🔸 Obtener su consentimiento explícito.
🔸 Explicar para qué grabas, quién es el responsable, cuánto tiempo conservarás la grabación y cómo ejercer sus derechos (acceso, cancelación, oposición…).

¿Cuándo puedes llamar?

Solo en días laborables, de 9:00 a 21:00.

Nunca durante fines de semana o festivos, ni en horarios fuera de ese rango.

Identifícate siempre con un número fijo, comercial o gratuito (900/800). Llamar desde móviles normales está prohibido.

¿Qué pasa si incumples?

Desde 2023, con la nueva Ley General de Telecomunicaciones, y reforzado en 2025:

🚫 Las sanciones por llamadas ilegales pueden superar los 100.000 €.
🚫 Grabar sin informar puede considerarse una infracción muy grave bajo el RGPD.
🚫 Usar números ocultos, móviles no autorizados o saltarte la Lista Robinson puede ser motivo de denuncia ante la AEPD.

Y no olvides: la carga de la prueba recae en tu empresa. Si alguien denuncia, tendrás que demostrar que tenías consentimiento o base legal suficiente.

¿Y si llamo a otras empresas?

En entorno B2B, hay un poco más de margen, pero también hay normas:

✅ Puedes contactar si hay una relación previa o si ofreces productos realmente relevantes para su actividad (comprobar la legitimación para ello).
✅ Siempre debes informar claramente e identificarte.
❌ Debes respetar las oposiciones y el derecho a no recibir publicidad (sincroniza tu sistema con las plataformas existentes).
✅ También debes usar numeraciones válidas y respetar horarios (desde junio 2025).

¿Necesitas ayuda?

Contáctanos y revisamos juntos como adaptar tu proceso de venta a la normativa: www.dataprotectplus.com

CEO Data Protect Plus

Sylvia Fries

El fin de curso está a la vuelta de la esquina. Los más pequeños ensayan sus coreografías, se preparan para recitar poemas o para participar en obras de teatro escolares. Y como madres, padres, abuelos o tíos orgullosos, es casi inevitable que queramos inmortalizar ese momento y grabar la función y tomar fotos.

Pero, ¿te has parado a pensar qué implicaciones tiene eso en materia de protección de datos?

¿Es legal grabar un evento escolar?

Sí, es legal grabar este tipo de actos siempre que sea para uso personal o doméstico. La normativa de protección de datos no se aplica cuando la grabación se hace en el ámbito privado, como parte de actividades familiares o de amistad.

Por ejemplo:

• Grabar el evento para verlo más tarde en casa con la familia.
• Enviar el vídeo por WhatsApp al grupo familiar o a los abuelos.

👉 Pero si estás pensando en subirlo a redes sociales, debes seguir leyendo.

¿Qué deben hacer los centros educativos?

Los colegios tienen un papel importante en este tipo de eventos. Se recomienda que:

• Informen claramente al inicio del acto (por ejemplo, mediante carteles o anuncios por megafonía) de que la grabación solo es válida para uso doméstico.
• Incluyan, en el permiso que solicitan a las familias para que los menores participen en el evento, una cláusula que informe de que otras familias podrán tomar imágenes con fines privados.

Esto ayuda a generar un entorno seguro y legal para todos los asistentes.

¿Y si quiero subir las imágenes a redes sociales?

Aquí es donde debes tener más cuidado. Publicar vídeos o fotos en Instagram, Facebook, TikTok o cualquier otra plataforma ya no se considera un uso doméstico. Estás difundiendo la imagen de otras personas y eso implica cumplir con la normativa de protección de datos.

¿Qué necesitas?

• Si aparecen personas mayores de 14 años, necesitas su consentimiento expreso.
• Si aparecen menores de 14 años, necesitas el consentimiento de sus padres o tutores legales.

Esto aplica incluso si el menor no es el protagonista directo de la imagen, pero aparece de forma reconocible. O sea, si aparecen otros niños de fondo, ya hace falta el consentimiento expreso.

¿Qué te recomendamos desde Data Protect Plus?

Disfruta del evento con tranquilidad y emoción.

Graba sin miedo, pero usa ese material solo en el entorno familiar.

Si tienes dudas sobre si puedes o no compartir un vídeo o una imagen, lo más prudente es pedir permiso.

Y si eres un centro educativo, asegúrate de contar con los avisos legales necesarios para proteger a tu alumnado y a sus familias.

También puedes consultar los canales oficiales de la AEPD sobre este tema.

¿Tienes preguntas? Contáctanos y te asesoramos sin compromiso.

CEO Data Protect Plus

Sylvia Fries

La Lista Stop Publicidad: un nuevo escenario legal para la comunicación comercial

El 31 de enero de 2025, la Agencia Española de Protección de Datos (AEPD) publicó la resolución SEP2024-003, reconociendo oficialmente la Lista Stop Publicidad como un sistema de exclusión publicitaria válido en el marco del cumplimiento de la LOPDGDD y el RGPD.

Este sistema, gestionado por la Asociación Española para la Privacidad Digital, ofrece a cualquier particular la posibilidad de inscribirse gratuitamente para no recibir comunicaciones comerciales no deseadas. En consecuencia, todas las empresas que realicen campañas publicitarias deben consultar esta lista y excluir de sus bases de datos a los inscritos pasados 30 días desde su alta.

Se trata de una herramienta que refuerza el derecho a la protección de datos personales y que, a partir de ahora, debe integrarse dentro de las prácticas de compliance normativo de cualquier organización que opere en España o dentro del Espacio Económico Europeo.

¿Qué implica para las empresas la Lista Stop Publicidad?

Este reconocimiento no solo es simbólico: impone obligaciones concretas que pueden derivar en sanciones si no se cumplen adecuadamente.

Obligación de consulta

Las empresas deben consultar la Lista Stop Publicidad antes de lanzar cualquier acción publicitaria dirigida a particulares, tanto por medios físicos (correo postal, llamadas, buzoneo) como digitales (emails, SMS, WhatsApp, etc.).

Plazo de aplicación

Se establece un plazo de 30 días desde que el particular se da de alta en la lista. Una vez transcurrido ese plazo, las empresas deben asegurarse de excluirlo de cualquier envío comercial.

Ámbito de aplicación

Esta obligación aplica a:

• Empresas españolas.
• Empresas extranjeras que traten datos de residentes en España.
• Agencias de marketing, publicidad o venta directa que actúen en nombre de terceros.

¿Cómo pueden adaptarse las empresas?

Integración con bases de datos

Es fundamental revisar periódicamente la Lista Stop Publicidad e integrarla con los sistemas de CRM o plataformas de automatización de marketing, de forma que se bloquee automáticamente cualquier envío a personas inscritas.

Registro de consultas

Se recomienda mantener un registro documental de cada consulta a la lista, con fecha y resultados, como evidencia en caso de inspección o requerimiento por parte de la AEPD.

Formación al personal

El equipo de marketing, atención al cliente y ventas debe ser formado en los nuevos requisitos, especialmente si realiza campañas directas o maneja datos de particulares.

Evaluación de impacto

En campañas de gran alcance, puede ser útil realizar una Evaluación de Impacto en Protección de Datos (DPIA) para identificar riesgos y adoptar medidas preventivas.

¿Qué riesgos hay por ignorar la Lista Stop Publicidad?

La infracción del deber de exclusión de personas inscritas en la Lista Stop Publicidad puede conllevar sanciones administrativas impuestas por la AEPD. Las multas, según el RGPD, pueden llegar hasta los 20 millones de euros o el 4 % del volumen de negocio global anual, dependiendo de la gravedad y persistencia de la infracción.

Además, el incumplimiento afecta negativamente a la imagen corporativa, la confianza del consumidor y la reputación digital de la marca.

¿Qué beneficios aporta cumplir con esta obligación?

Aunque pueda parecer una traba operativa, la correcta gestión de exclusiones publicitarias tiene beneficios importantes para la empresa:

• Mejora de la segmentación: al eliminar a los usuarios no interesados, se optimiza el retorno de las campañas.
• Cumplimiento normativo: evita sanciones y mejora la postura de cumplimiento ante auditorías.
• Confianza y transparencia: se refuerza la percepción positiva por parte del cliente, al respetar sus derechos.
• Reducción de quejas: disminuye la probabilidad de reclamaciones ante la AEPD.

¿Dónde se puede consultar la Lista Stop Publicidad?

La lista está disponible en la sede electrónica de la AEPD y también se puede acceder a través de la web oficial de la Asociación Española para la Privacidad Digital.

Empresas, agencias y entidades con fines comerciales pueden realizar consultas automatizadas o por lotes, cumpliendo con los procedimientos establecidos por la plataforma.

Lista Stop Publicidad: implicaciones clave para el marketing responsable

La entrada en vigor de esta lista representa un paso más hacia una publicidad ética, transparente y respetuosa con los derechos de los ciudadanos. A partir de ahora, la comunicación comercial en España deberá ajustarse a este nuevo estándar, alineado con los principios del RGPD europeo.

Preguntas frecuentes

¿La Lista Stop Publicidad es obligatoria para todas las empresas?
Sí, cualquier empresa que envíe publicidad a particulares debe consultarla y respetarla, sin importar su tamaño o sector.

¿Qué ocurre si ignoro esta lista y sigo enviando publicidad?
Puedes enfrentarte a sanciones por parte de la AEPD y a reclamaciones por parte de los afectados.

¿La lista aplica también a comunicaciones informativas?
No. Solo se aplica a comunicaciones de naturaleza comercial o publicitaria. Las informativas o necesarias para la prestación del servicio están excluidas.

¿Cada cuánto debo consultar la lista?
Se recomienda hacerlo al menos cada 30 días, aunque lo ideal es integrarlo en los procesos automáticos de validación de datos.

¿Qué pasa si contrato una agencia externa para mis campañas?
La responsabilidad sigue siendo de tu empresa. Debes asegurarte de que el proveedor también cumple con esta obligación.

¿Está relacionada esta lista con el sistema de derechos ARCO?
No directamente, pero se enmarca en el mismo espíritu de protección de derechos y control de los datos personales.

Desde DataProtectPlushttps://dataprotectplus.com/, te ayudamos a adaptar tus procesos y sistemas a esta nueva obligación. Consúltanos si necesitas apoyo en el cumplimiento normativo o en la integración técnica de estas exclusiones publicitarias.

CEO Data Protect Plus

Sylvia Fries

Fuente: AEPD

Lo que necesitas saber sobre el registro laboral en 2025

La nueva ley de registro laboral en España, que entrará en vigor en 2025, introduce importantes cambios que todas las empresas deben tener en cuenta para cumplir con las nuevas obligaciones y evitar sanciones.

Nuevas Obligaciones

Registro Digital Obligatorio: Todas las empresas deberán implementar un sistema de registro digital para controlar las horas de trabajo de sus empleados.

Accesibilidad y Transparencia: El sistema de registro debe ser accesible para cada trabajador, sus representantes y la Inspección de Trabajo, permitiendo el acceso remoto.

Control de Horas Extra: Se busca evitar la proliferación de horas extraordinarias ilegales e impagadas mediante un control más estricto.

Fechas Clave

Mediados de 2025: Se espera que la ley esté completamente implantada para el verano de 2025.

Consecuencias de Incumplimiento para las empresas

Multas Elevadas: Las sanciones por no cumplir con el registro digital pueden alcanzar hasta los 7.500 euros por trabajador.

Inspecciones Rigurosas: La Inspección de Trabajo tendrá la capacidad de revisar los registros en tiempo real, lo que aumentará la probabilidad de detectar incumplimientos. Esto significa que las empresas estarán bajo un escrutinio constante, aumentando la probabilidad de detectar incumplimientos.

Problemas Legales: Además de las multas, las empresas pueden enfrentarse a problemas legales adicionales, incluyendo demandas por parte de empleados que no reciban el pago adecuado por sus horas trabajadas.

Consecuencias de Incumplimiento para los empleados

Advertencias y Sanciones: Inicialmente, el trabajador puede recibir advertencias por parte de la empresa. Si el incumplimiento persiste, la empresa puede imponer sanciones disciplinarias, que pueden incluir desde amonestaciones hasta suspensiones.

Despido: En casos de desobediencia reiterada o incumplimiento grave, el trabajador puede enfrentarse al despido. Esto está contemplado en el artículo 58 del Estatuto de los Trabajadores.

Pérdida de Beneficios: El incumplimiento de la normativa puede llevar a la pérdida de ciertos beneficios laborales, como bonificaciones o incentivos que estén vinculados al cumplimiento de horarios y registros.

Impacto en la Evaluación del Rendimiento: El incumplimiento puede afectar negativamente la evaluación del rendimiento del trabajador, lo que podría influir en futuras promociones o incrementos salariales.

¿Quién tiene que cumplir con el registro?

Empleados: Todos los trabajadores por cuenta ajena deben registrar sus horas de trabajo, incluyendo las horas de inicio y finalización de la jornada, así como las pausas y descansos.

Empresas con Empleados: Todas las empresas que tengan empleados, sin importar el número de trabajadores, deben implementar un sistema de registro horario.

Socios Trabajadores: En el caso de cooperativas y sociedades laborales, los socios trabajadores también están obligados a registrar sus horas de trabajo. Esto se debe a que, aunque sea autónomo, al tener una nómina y estar vinculado a una empresa, se le considera un trabajador por cuenta ajena en ese contexto. Por lo tanto, debe registrar sus horas de trabajo de acuerdo con la nueva ley.

Autónomos con Empleados: Los trabajadores autónomos que tengan empleados a su cargo deben asegurarse de que estos cumplan con la normativa de registro horario.

Excepciones

Autónomos sin Empleados: Los trabajadores autónomos que no tienen empleados no están obligados a llevar un registro horario de su propia jornada laboral.

¿Y cómo afecta a los datos personales y los tratamientos de los mismos?

Uso Proporcional: Los datos de geolocalización deben ceñirse exclusivamente al horario laboral y ser necesarios para la actividad de la empresa. La finalidad del uso de la geolocalización debe estar claramente definida y ser proporcional a las necesidades de la empresa.

Información Previa: La empresa debe informar de manera expresa, clara e inequívoca a los trabajadores sobre la existencia y características de los dispositivos de geolocalización.

Consentimiento: No es necesario el consentimiento del trabajador, pero sí es obligatorio informarles previamente.

Derechos de los Trabajadores: Los trabajadores tienen derecho a conocer quién dispone de sus datos personales y a qué uso se someten, así como a ejercer sus derechos de acceso, rectificación, limitación del tratamiento y supresión. La geolocalización debe respetar el derecho a la intimidad de los trabajadores y no puede utilizarse fuera del horario laboral sin una justificación adecuada.

¿Necesitas una APP que cumpla con todos los requisitos?

¡La tenemos! Solo tienes que pedir información aquí.

CEO Data Protect Plus®

Sylvia Fries

La Directiva NIS 2 (NIS 2) es la nueva normativa de ciberseguridad de la Unión Europea que busca mejorar el nivel de protección de datos y la seguridad digital en toda la UE. Esta directiva, que entrará en vigor el 18 de octubre de 2024, amplía el ámbito de aplicación y establece requisitos más estrictos para las empresas.

Ventajas de la NIS 2 para tu empresa

Mayor Protección de Datos: La NIS 2 obliga a las empresas a implementar medidas de seguridad más robustas, lo que reduce significativamente el riesgo de brechas de seguridad y ataques cibernéticos.

1. Cumplimiento Legal: Al seguir la NIS 2, tu empresa no solo cumple con la normativa vigente, sino que también demuestra su compromiso con la protección de datos y la ciberseguridad.
2. Reputación Mejorada: Cumplir con la NIS 2 puede mejorar la reputación de tu empresa, mostrando a clientes y socios que tomas la seguridad de sus datos en serio.
3. Reducción de Sanciones: La NIS 2 endurece las sanciones en caso de incumplimiento, pero también proporciona una guía clara para evitarlas.

¿Qué sectores están afectados por la normativa?

La Directiva NIS 2 afecta a una amplia gama de sectores considerados críticos para la infraestructura y seguridad de la Unión Europea. Estos sectores se dividen en dos categorías principales: sectores esenciales y sectores importantes.

Sectores Esenciales (altamente críticos)

1. Energético: Incluye la producción, distribución y suministro de energía.
2. Transporte: Incluye transporte aéreo, ferroviario, marítimo y por carretera.
3. Finanzas, Banca y mercados financieros: Instituciones financieras y servicios relacionados.
4. Sanitario: Parte del sector sanitario, como hospitales y clínicas, así como fabricación de material sanitario.
5. Agua potable y Residuales: Organizaciones encargadas de la gestión de aguas potables y residuales.
6. Infraestructuras Digitales: Servicios y redes críticos para la infraestructura digital.
7. Gestión TIC (B2B): Servicios de gestión de tecnologías de la información y la comunicación.
8. Administraciones públicas: Entidades de la Administración pública, con exclusión del poder judicial, los parlamentos y los bancos centrales.
9. Espacial: Organizaciones del sector espacial.

Sectores Importantes (sectores críticos)

1. Mensajería: Servicios postales y de mensajería.
2. Residuos: Gestión de residuos.
3. Seguros: Empresas de seguros y reaseguros.
4. Telecomunicaciones: Proveedores de servicios de telecomunicaciones.
5. Sector de la Automoción: Fabricantes y distribuidores de vehículos.
6. Manufactura: Sectores de manufactura crítica.
7. Agricultura y Alimentación: Producción y distribución de alimentos.
8. Sector de la Salud: Además del sector sanitario, también incluye la industria farmacéutica.
9. Educación: Instituciones educativas y de investigación.
10. Cultura: Instituciones culturales y de medios de comunicación.

Descarga la tabla con toda la información aquí.

Estos sectores deben cumplir con las obligaciones establecidas por la NIS 2, que incluyen la gestión de riesgos de ciberseguridad, la notificación de incidentes significativos y la implementación de medidas técnicas, operativas y organizativas para proteger sus sistemas y datos.

¿Cómo Data Protect Plus puede ayudarte?

En Data Protect Plus, ofrecemos servicios integrales de consultoría para asegurar que tu empresa cumple con la NIS 2 y otras normativas de protección de datos. Nuestro equipo de expertos te guiará a través del proceso de cumplimiento, ayudándote a implementar las medidas necesarias y a mantener la seguridad de tus datos.

Para ello contamos con nuestra solución CYBERNIS.EU, que reúne empresas altamente cualificadas del sector de datos para dar cumplimiento a la normativa NIS 2.

Solicita más información en este link: NIS 2

Byline: CEO Data Protect Plus