Checklist de Cumplimiento RGPD
15 puntos esenciales que toda PyME debe cumplir para proteger los datos de sus clientes y evitar sanciones de hasta 20 millones de euros.
Checklist RGPD
para PyMES.
Por Xavi Alonso — Solutech | Almería y Murcia
Gestión de Datos Personales
1. Registro de Actividades de Tratamiento (RAT)
¿Tienes documentado qué datos personales recoges, para qué los usas y dónde los guardas? Es obligatorio desde 2018.
2. Base Legal del Tratamiento
¿Cada dato que recoges tiene una justificación legal? (consentimiento, contrato, interés legítimo, obligación legal...)
3. Política de Privacidad Actualizada
¿Tu web tiene una política de privacidad que incluye: responsable, finalidad, base legal, destinatarios, plazos de conservación y derechos del usuario?
4. Consentimiento Explícito
¿Los formularios de tu web tienen checkbox de aceptación (no pre-marcado) con enlace a la política de privacidad?
Seguridad Técnica
5. Cifrado de Datos en Reposo
¿Los discos duros de los equipos que contienen datos de clientes están cifrados? (BitLocker en Windows, FileVault en Mac)
6. Cifrado de Datos en Tránsito
¿Tu web usa HTTPS? ¿Los emails con datos sensibles se envían cifrados? ¿Usas VPN para acceso remoto?
7. Control de Accesos por Usuario
¿Cada empleado tiene su propia cuenta con contraseña? ¿Los permisos están limitados a lo que necesita cada uno?
8. Copias de Seguridad Externas
¿Tienes backups automáticos fuera de la oficina (nube o ubicación remota)? ¿Los has probado alguna vez restaurando datos reales?
9. Antivirus/Antimalware Actualizado
¿Todos los equipos tienen protección activa y actualizada? ¿Quién se encarga de verificarlo?
Protocolos y Procedimientos
10. Protocolo ante Brechas de Seguridad
¿Sabes qué hacer si te roban un portátil o si un ransomware cifra tus archivos? El RGPD obliga a notificar a la AEPD en 72 horas.
11. Gestión de Derechos ARCO+
¿Tienes un procedimiento para cuando un cliente te pida acceso, rectificación, supresión o portabilidad de sus datos?
12. Contratos con Encargados de Tratamiento
¿Tienes contrato RGPD firmado con tu asesoría, tu proveedor de hosting, tu servicio de email marketing, etc.?
13. Formación a Empleados
¿Tus empleados saben identificar un phishing? ¿Saben que no deben enviar datos personales por WhatsApp sin cifrar?
14. Análisis de Riesgos Documentado
¿Has identificado los riesgos principales para los datos que manejas y las medidas que aplicas para mitigarlos?
15. Delegado de Protección de Datos (DPD)
¿Necesitas nombrar un DPD? (Obligatorio para centros sanitarios, colegios, empresas de más de 250 empleados o que manejen datos a gran escala)
¿Cuántos puntos has marcado?
Si te faltan más de 3 puntos, tu empresa está expuesta a sanciones y a pérdidas de datos. No esperes a que pase — el coste de prevenir siempre es menor que el de reparar.
Solicitar Auditoría RGPD CompletaIncluida en el Pack Blindaje Total (499€/mes) o como servicio independiente.
© 2026 Xavi Alonso | Solutech — Almería y Murcia
Este recurso es orientativo y no constituye asesoramiento legal.