Hay una creencia muy extendida entre los propietarios de pequeñas empresas: "somos demasiado pequeños para que la AEPD se fije en nosotros". Es una creencia que puede salir cara. La Agencia Española de Protección de Datos publica sus resoluciones sancionadoras y entre ellas hay clínicas, academias, inmobiliarias, despachos y comercios con multas que van desde los 3.000 hasta los 150.000 euros.
Qué dice el RGPD sobre seguridad informática
El Reglamento General de Protección de Datos obliga a cualquier empresa que trate datos personales (y todas tratan datos personales: clientes, empleados, proveedores) a aplicar medidas técnicas y organizativas adecuadas para proteger esos datos. No especifica exactamente cuáles, pero sí establece que deben ser proporcionales al riesgo.
Lo que sí dice claramente es que si hay una brecha de seguridad que afecta a datos personales, tienes 72 horas para notificárselo a la AEPD. No notificarlo es una infracción independiente, además de la propia brecha.
Las sanciones del RGPD: las infracciones graves pueden llegar hasta 20 millones de euros o el 4% de la facturación global anual. Las leves, hasta 10 millones o el 2%. En la práctica, para pymes las sanciones que publica la AEPD suelen estar entre 3.000 y 150.000 euros según la gravedad y el número de afectados.
Casos reales de multas a pequeñas empresas en España
La AEPD publica sus resoluciones. Aquí hay algunos tipos de casos documentados que se repiten:
- Clínica con sistema informático sin proteger: datos de pacientes accesibles sin contraseña desde cualquier equipo de la red. Sancionada por no aplicar medidas técnicas mínimas.
- Academia con robo de base de datos: una academia de idiomas fue hackeada y los datos de sus alumnos se filtraron. La sanción no fue solo por el hackeo, sino por no tener medidas de seguridad básicas que lo hubieran dificultado.
- Comercio con cámara de seguridad mal apuntada: una cámara grababa la vía pública más allá del espacio privado. Multa por recogida de datos sin legitimación.
- Despacho con archivos sin cifrar en servicios en la nube: documentos con datos personales de clientes en Dropbox sin cifrado y compartidos con permisos demasiado amplios.
Qué situaciones generan más riesgo en una PYME
Revisando los patrones de las sanciones, estos son los puntos débiles más frecuentes en pequeñas empresas:
- Software sin actualizar que tiene vulnerabilidades conocidas
- Contraseñas débiles o compartidas entre empleados
- No tener copias de seguridad cifradas de los datos de clientes
- Acceso a datos desde equipos personales sin ningún control
- Proveedores o empleados con acceso a más datos de los que necesitan
- No tener un registro de los tratamientos de datos (obligatorio por RGPD)
Lo que más protege legalmente: poder demostrar que tomaste medidas. La AEPD valora que una empresa haya aplicado medidas de seguridad razonables aunque aun así haya ocurrido una brecha. Lo que sanciona con más dureza es la negligencia: no haber hecho nada.
Qué medidas técnicas reduce el riesgo de multa
No se trata de ser perfectos, se trata de ser razonables. Las medidas que marcan la diferencia entre una empresa que ha tomado precauciones y una que no ha hecho nada son:
- Actualizaciones automáticas en todos los sistemas operativos y programas
- Antivirus activo y actualizado en todos los equipos
- Copias de seguridad cifradas de los datos de clientes
- Verificación en dos pasos en el correo corporativo y los sistemas con datos sensibles
- Acceso restringido: cada persona solo accede a lo que necesita para su trabajo
- Saber qué datos tienes, dónde están y quién puede acceder a ellos
Ninguna de estas medidas requiere una inversión enorme. Requieren que alguien las configure correctamente y las mantenga al día. Para un despacho de abogados, una clínica o una asesoría, que trata datos personales sensibles de forma habitual, esto no es opcional: es una obligación legal y una responsabilidad hacia sus clientes.
Qué hacer si crees que has tenido una brecha de seguridad
Si sospechas que datos de clientes pueden haber sido expuestos, el tiempo importa. Tienes 72 horas para notificarlo a la AEPD si la brecha supone un riesgo para los afectados. Notificar tarde o no notificar es una infracción adicional. Lo primero es contener el incidente, lo segundo es evaluar qué datos se han visto afectados, y lo tercero es notificar si corresponde. Para todo esto hace falta tener los sistemas documentados y saber exactamente qué hay en tu red, que es parte de lo que ayudo a organizar a mis clientes.
¿Está tu empresa protegida?
Haz el test de seguridad gratuito y descubre en 5 minutos cuáles son tus puntos débiles reales.
Haz el test de seguridad gratis