El RGPD y las plataformas digitales: la realidad para las pymes
La mayoría de empresas usan decenas de plataformas digitales que tratan datos personales: correo electrónico, CRM, herramientas de marketing, pasarelas de pago, apps de gestión de empleados, redes sociales corporativas. Cada una de estas plataformas implica obligaciones específicas bajo el RGPD que muchas empresas desconocen.
Las plataformas más habituales y sus obligaciones
Gmail y Google Workspace
Si usas Gmail para comunicaciones con clientes que incluyen datos personales, Google actúa como encargado del tratamiento. Debes tener firmado el Data Processing Agreement (DPA) con Google y documentar este tratamiento en tu Registro de Actividades. Las transferencias internacionales de datos a servidores de Google deben estar cubiertas por las cláusulas contractuales tipo de la UE.
WhatsApp Business
WhatsApp Business implica que Meta trata datos de tus clientes. Necesitas: informar a los clientes de este tratamiento, tener el DPA con Meta, y asegurarte de que solo usas WhatsApp para los fines informados. Grabar conversaciones sin consentimiento es una infracción grave.
CRM y bases de datos de clientes
Los CRM son los sistemas con mayor concentración de datos personales. El proveedor del CRM actúa como encargado y necesita contrato de encargo de tratamiento. Además debes asegurarte de que los datos se conservan solo el tiempo necesario y que el proveedor cumple medidas de seguridad adecuadas.
La AEPD ha sancionado a empresas por no tener contratos de encargo de tratamiento con sus proveedores de CRM. El responsable siempre es la empresa — no el proveedor tecnológico — aunque el fallo de seguridad sea del proveedor.
Plataformas de ecommerce
Las tiendas online tratan datos muy sensibles: nombre, dirección, email, datos de pago. Necesitan política de privacidad completa, gestión de cookies conforme, contratos con pasarelas de pago y proveedores de envío, y protocolo de respuesta ante brechas de datos.
Herramientas de RRHH y nóminas
Las aplicaciones de gestión de empleados tratan datos especialmente sensibles: datos laborales, nóminas, bajas médicas, datos bancarios. El proveedor de software de nóminas necesita contrato de encargo de tratamiento. Los empleados deben ser informados de los tratamientos.
Redes sociales corporativas
Si tu empresa tiene perfiles en LinkedIn, Instagram o Facebook y publica contenido con imágenes de empleados o clientes, necesitas consentimiento específico de cada persona que aparezca en las imágenes. El consentimiento genérico del contrato laboral no es suficiente.
Los errores más habituales
- Usar plataformas sin firmar el DPA con el proveedor
- No informar a los clientes de qué plataformas tratan sus datos
- Conservar datos en plataformas más tiempo del necesario
- No tener protocolo de respuesta ante brechas de seguridad en plataformas de terceros
- Publicar imágenes de empleados en redes sociales sin consentimiento específico
¿Puedo usar Gmail para enviar datos de clientes y cumplir el RGPD?
Sí, pero con medidas específicas. Debes tener firmado el DPA con Google, informar a los clientes del tratamiento e incluir a Google en tu Registro de Actividades como encargado. El uso de Gmail no está prohibido, pero requiere formalización documental.
¿Qué pasa si un proveedor de software sufre una brecha de datos con información de mis clientes?
La responsabilidad ante la AEPD es tuya como responsable del tratamiento, aunque el fallo sea del proveedor. Tienes 72 horas para notificar a la AEPD si hay riesgo para los afectados. Por eso el contrato de encargo de tratamiento con el proveedor es fundamental — te da derecho a reclamarle.
¿Cuántas plataformas digitales debo incluir en mi Registro de Actividades?
Todas las que traten datos personales de clientes, empleados o proveedores. Esto incluye: email, CRM, herramientas de marketing, software de nóminas, apps de gestión, pasarelas de pago, herramientas de videoconferencia y cualquier otra plataforma que acceda a datos personales.