Blog
RGPD en 2026: Los 10 errores que las empresas siguen cometiendo
Ocho años después de la entrada en vigor del RGPD, las mismas categorías de infracción aparecen una y otra vez en las resoluciones sancionadoras. Aquí están los diez errores que generan más hallazgos regulatorios y cómo corregirlos.
El RGPD entró en vigor en mayo de 2018. Ocho años después, las autoridades de protección de datos siguen emitiendo multas significativas por las mismas categorías de infracción. La ley no se ha vuelto más compleja — la aplicación se ha vuelto más experimentada. Los reguladores saben dónde buscar, qué preguntas hacer y qué documentación solicitar.
Estos son los diez errores que aparecen de forma más consistente en las resoluciones sancionadoras, las orientaciones regulatorias y los hallazgos de auditoría.
Error 1: Tratar el aviso de privacidad como el programa de cumplimiento
El aviso de privacidad es una obligación de divulgación. No es un sistema de cumplimiento. Las organizaciones que actualizaron su aviso en 2018 y consideraron el RGPD resuelto tienen un documento de divulgación y nada debajo de él.
Un programa RGPD funcional requiere: base jurídica documentada para cada actividad de tratamiento, procesos operativos de derechos de los interesados, una capacidad de respuesta ante brechas, calendarios de retención que se apliquen realmente y acuerdos de encargado actualizados.
Error 2: Confiar en el consentimiento cuando no es necesario
El consentimiento es uno de seis fundamentos para el tratamiento. Frecuentemente es el más difícil de mantener correctamente. Si tratas datos porque son necesarios para ejecutar un contrato, usa la necesidad contractual. Si tienes un propósito empresarial legítimo, usa los intereses legítimos con una prueba de ponderación documentada.
Error 3: Olvidar los encargados
Cada vez que compartes datos con un proveedor de servicios externo que los trata en tu nombre, necesitas un Acuerdo de Encargado. Los más frecuentemente omitidos: empresas de soporte IT, plataformas de RRHH, herramientas de BI y almacenamiento de documentos.
Error 4: Consentimiento vago o agrupado para marketing
El consentimiento para marketing electrónico debe ser específico al propósito y al canal. Una casilla que dice “acepto recibir comunicaciones de nuestros socios” no constituye consentimiento válido. Tampoco una casilla premarcada o enterrada en los términos del servicio.
Error 5: No responder a tiempo a las solicitudes de los interesados
El plazo de un mes corre desde la fecha de recepción, no desde que alguien la revisa. Las autoridades de control rastrean el tratamiento de las solicitudes de acceso cuidadosamente — son una de las fuentes más comunes de reclamaciones.
Error 6: Conservar datos más tiempo del necesario
La mayoría de las organizaciones nunca han implementado una política de retención automatizada. Los datos se acumulan indefinidamente en sistemas de correo, unidades compartidas y bases de datos. Cada día de retención innecesaria es tratamiento ilícito.
Error 7: No documentar la evaluación de intereses legítimos
Si invocas intereses legítimos como base jurídica, necesitas una evaluación documentada que demuestre que has sopesado tus intereses frente a los del interesado. Sin documentación contemporánea, has reclamado efectivamente una base que no puedes evidenciar.
Error 8: Sin registro de brechas
El artículo 33(5) del RGPD exige documentar todas las brechas, incluidas las que no alcanzan el umbral de notificación. La ausencia de registro — o un registro que solo muestra una entrada (la brecha actual) — indica que los eventos anteriores no fueron identificados ni documentados.
Error 9: Formación del personal no documentada
La formación ocurrida una vez en 2019, sin registros de quién asistió, no es un activo de cumplimiento — es una responsabilidad. Los registros de formación deben ser individuales, fechados y conservados durante un período definido.
Error 10: Ignorar las obligaciones de transferencia transfronteriza
Cada vez que datos de residentes en la UE se mueven fuera del EEE, la transferencia requiere un mecanismo legal. Muchas organizaciones implementaron Cláusulas Contractuales Tipo pero nunca realizaron la Evaluación de Impacto de la Transferencia requerida desde el caso Schrems II.
El hilo conductor de todos estos errores es el mismo: el cumplimiento se trató como un ejercicio de documentación en lugar de un programa operacional. Las organizaciones que superan las inspecciones regulatorias no son las que tienen las mejores políticas — son aquellas cuyas operaciones diarias producen la evidencia de que las políticas son reales.