Microlab Hard S.L.

El Reglamento General de Protección de Datos (RGPD) es una normativa europea diseñada para garantizar la privacidad y la protección de los datos personales. Todas las empresas, independientemente de su tamaño o sector, están obligadas a cumplirla si tratan datos de clientes, empleados o usuarios.

En Microlab Hard te explicamos qué exige el RGPD, cómo evaluar si tu negocio realmente cumple con sus obligaciones y te ofrecemos un checklist básico para comprobarlo por tu cuenta. Además, te contamos las consecuencias de no cumplir la normativa y cómo podemos ayudarte a garantizar una gestión segura y legal de los datos personales.

¿Qué significa cumplir con el RGPD?

Cumplir con el RGPD implica aplicar medidas técnicas, organizativas y legales para garantizar que los datos personales se tratan de forma segura, con transparencia y siempre con una base legal adecuada. Esto afecta a procesos tan habituales como enviar newsletters, gestionar currículums, almacenar datos de clientes, instalar formularios en la web o usar herramientas de terceros como CRMs, plataformas de email marketing o cookies.

El RGPD no solo busca proteger la información personal, sino también fomentar la confianza entre la empresa y sus usuarios, así como prevenir filtraciones, usos indebidos o accesos no autorizados.

Checklist básico para comprobar si tu empresa cumple el RGPD

A continuación, te presentamos un listado de verificación sencillo y práctico para evaluar si tu empresa está alineada con los requisitos del RGPD.

1. ¿Tienes un Registro de Actividades de Tratamiento (RAT)?

Es obligatorio para prácticamente cualquier empresa. Debe recoger qué datos tratas, para qué los usas, quién accede a ellos, dónde se almacenan y cuánto tiempo los conservas.

Si no lo tienes documentado, no estás cumpliendo el RGPD.

2. ¿Informas correctamente a usuarios y clientes?

Toda recogida de datos debe ir acompañada de una política de privacidad clara, accesible y transparente. Esta política debe indicar:

• Responsable del tratamiento
• Finalidad de los datos
• Base legal
• Plazos de conservación
• Cesiones y transferencias
• Derechos del usuario
  Si tu aviso legal o política de privacidad están incompletos o desactualizados, debes revisarlos.

3. ¿Obtienes el consentimiento de forma válida?

El consentimiento debe ser explícito, informado y verificable.
Esto implica:

• Nada de casillas premarcadas
• Nada de textos confusos
• Nada de silencios interpretados como “sí”

Si publicas imágenes de terceros en RRSS, utilizas cookies analíticas o newsletters, debes poder demostrar que el usuario aceptó el tratamiento.

4. ¿Has firmado contratos con tus proveedores?

Si trabajas con herramientas o empresas que acceden a datos (hosting, email marketing, ERP, gestorías, plataformas en la nube...), debes firmar un Contrato de Encargado de Tratamiento con cada uno.

Sin estos contratos, tu empresa está expuesta a sanciones.

5. ¿Tienes medidas de seguridad adecuadas?

El RGPD exige medidas técnicas y organizativas como:

• Contraseñas seguras
• Copias de seguridad
• Control de accesos
• Protocolos en caso de brechas de seguridad
• Cifrado cuando sea necesario

Cuanta más sensibilidad tengan los datos, mayores deben ser estas medidas.

6. ¿Permites a los usuarios ejercer sus derechos?

Los usuarios deben poder acceder, rectificar, cancelar, oponerse y solicitar portar o limitar el uso de sus datos. Tu empresa debe tener un procedimiento claro, rápido y gratuito para atender estas solicitudes.

7. ¿Formas a tus empleados en protección de datos?

Tus trabajadores deben conocer los protocolos internos, las normas de seguridad y cómo manejar datos correctamente. La formación es una parte fundamental del cumplimiento.

8. ¿Has evaluado si necesitas un Delegado de Protección de Datos (DPD)?

No todas las empresas están obligadas, pero muchas sí. Por ejemplo:

• Centros educativos
• Centros sanitarios
• Empresas que monitorizan datos a gran escala
• Seguridad privada
  Si entras en uno de estos grupos, necesitas un DPD registrado ante la AEPD.

Riesgos de no cumplir con el RGPD

Ignorar el RGPD puede generar consecuencias importantes como:

• Multas de hasta 20 millones de euros o el 4 % de la facturación anual.
• Pérdida de confianza por parte de los clientes.
• Reputación dañada.
• Obligación de detener tratamientos o borrar bases de datos completas.

Además, un mal manejo de datos aumenta el riesgo de brechas de seguridad, filtraciones o ataques informáticos.

Beneficios de cumplir el RGPD

Cumplir con el RGPD no solo protege a la empresa legalmente, también ofrece ventajas estratégicas:

• Mayor confianza de los clientes
• Procesos más organizados
• Mejor control interno de la información
• Reducción de riesgos tecnológicos y legales
• Imagen profesional y transparente

Es una inversión en seguridad y reputación.

¿Por qué confiar en Microlab Hard?

En Microlab Hard somos especialistas en derecho digital y cumplimiento del RGPD. Te ayudamos a elaborar toda la documentación obligatoria, adaptar tus procesos internos, verificar el cumplimiento de tus proveedores y asegurar que tu empresa opera conforme a la ley.

También analizamos tus riesgos, redactamos políticas legales, configuramos formularios y herramientas digitales y te guiamos en la implantación de un sistema de protección de datos realmente efectivo.

Te acompañamos en todo el proceso para que tu empresa cumpla el RGPD con garantías, seguridad y tranquilidad. Contacta con nosotros para revisar tu situación, detectar tus puntos débiles y ayudarte a cumplir con todos los requisitos legales.

La Agencia Española de Protección de Datos (AEPD) ha publicado recientemente una Política general para el uso de inteligencia artificial generativa (IAG) en sus procesos administrativos, que constituye el primer marco de este tipo en el sector público español. Su ámbito se circunscribe al uso interno de tecnologías de IA generativa por parte de la AEPD, orientando su implantación para que sea segura, eficiente y conforme con los derechos fundamentales, incluida la protección de datos personales.

Aunque esta política es de naturaleza interna y no vincula directamente a terceros, su contenido y los criterios que incorpora son especialmente relevantes para cualquier organización que aspire a utilizar IA en sus procedimientos, porque muestra cómo integrar la innovación tecnológica con el cumplimiento del Reglamento General de Protección de Datos (RGPD), la LOPDGDD y las mejores prácticas de gobernanza y ética en sistemas automatizados.

Integración de la IA en la administración pública

La política parte del reconocimiento de que la IA generativa puede aportar mejoras sustanciales en la eficiencia y calidad de los servicios administrativos, pero subraya que su uso debe coincidir con el respeto a los derechos y libertades fundamentales, incluido el derecho a la protección de datos. Para ello, define principios de implementación que equilibran la innovación con la legalidad, la transparencia y la seguridad.

Esto implica que, incluso cuando la IA se utilice en procesos internos que no impliquen datos personales, la organización debe evaluar impactos, documentación de procesos y mecanismos de control para garantizar que su implementación no derive en tratamientos de datos contrarios al RGPD o a la LOPDGDD. En definitiva, esta política se aplica a todos los procesos realizados por la AEPD que utilicen inteligencia artificial, aunque prevé obligaciones específicas cuando exista un tratamiento de datos personales, que deben de ser analizadas previamente al tratamiento.

Transparencia, explicabilidad y trazabilidad

La política de la AEPD hace hincapié en la transparencia y la explicabilidad de los sistemas de IA. Es decir, no basta con que un proceso automatizado funcione correctamente desde un punto de vista técnico: debe ser comprensible para quienes interactúan con él, y documentado de forma que permita comprender por qué y cómo se toman decisiones o se generan determinados resultados.

Este principio responde directamente a exigencias del RGPD, que en su artículo 5 consagra el principio de transparencia, y a la doctrina de la AEPD y del Comité Europeo de Protección de Datos, que insisten en que los interesados deben entender qué tratamiento se realiza con sus datos, incluso cuando se empleen tecnologías automatizadas.

En la práctica, esto exige que los sistemas de IA cuenten con documentación interna que permita explicar, auditar y justificar su comportamiento, así como mecanismos para advertir cuando una interacción ha sido asistida por IA. Este enfoque es congruente con el principio de responsabilidad proactiva del artículo 24 del RGPD.

Gobernanza interna y análisis de riesgos

La política describe un marco de gobernanza interna para la IA que incluye análisis de riesgos asociados a cada caso de uso, evaluación previa de impactos y medidas

de mitigación. Esto se alinea con el enfoque de la AEPD y del RGPD sobre la necesidad de integrar la protección de datos desde el diseño y por defecto en cualquier sistema que pueda implicar tratamiento de datos personales.

El análisis de riesgos, en particular, debe considerar cuestiones como la posibilidad de sesgos, discriminación, impacto sobre derechos individuales y los beneficios frente a los posibles daños. Este tipo de análisis será aún más crítico cuando estos sistemas traten datos personales o se empleen en decisiones automatizadas con efectos significativos sobre las personas, tal como contempla el RGPD en su artículo 22. Para profundizar en este aspecto, puede consultarse el análisis sobre decisiones automatizadas según el RGPD.

La elaboración de un análisis riguroso de riesgos previos a la implementación reduce la probabilidad de tratamientos ilícitos o contrarios a las expectativas de privacidad de los interesados, siendo especialmente relevante la evaluación de impacto en la protección de datos en este tipo de escenarios.

Protección de datos personales en el núcleo de la IA

Aunque la política es interna y no establece obligaciones directas para otras organizaciones, su enfoque sobre el tratamiento de datos personales en sistemas de IA puede servir de guía. El documento incorpora, entre sus políticas internas, una sección específica sobre la gestión de información personal, sensible o confidencial, que exige:

• Evaluar detalladamente qué datos se utilizan en cada caso de uso de la IA.
• Limitar los datos al mínimo necesario para la finalidad perseguida.
• Asegurar que los tratamientos de datos personales cumplen las bases jurídicas requeridas por el RGPD.
• Integrar medidas técnicas y organizativas de seguridad adecuadas.

Este enfoque interno de la AEPD refleja la interpretación doctrinal que la Agencia ha desarrollado durante años: la IA no exime del cumplimiento de la normativa de protección de datos, sino que impone un nivel de diligencia reforzado, especialmente si los modelos o servicios utilizan datos personales para su entrenamiento o funcionamiento.

Supervisión humana y controles continuos

Un elemento destacado de la política es que la supervisión humana continua no es una mera recomendación, sino un principio operativo: los sistemas de IA deben diseñarse para que su intervención esté sujeta a supervisión humana y su impacto sea evaluable. Esta obligación guarda estrecha relación con la doctrina de la AEPD y la interpretación del RGPD sobre decisiones automatizadas y el derecho de los interesados a no estar sujetos únicamente a decisiones basadas en procesos automatizados que produzcan efectos significativos.

La política también prevé mecanismos internos de gestión de incidentes, revisión de políticas y adaptación continua ante avances tecnológicos o cambios normativos, lo que permite a la administración anticiparse a los desafíos que presenta un entorno tecnológico dinámico.

Pautas aplicables a cualquier organización

La Política general de la AEPD para el uso de IA generativa no es un documento vinculante para las empresas españolas, pero constituye un referente en el diseño y gobernanza responsable de sistemas basados en IA. Su énfasis en la transparencia, el análisis de riesgos, la protección de datos personales y la supervisión humana refleja los principios del RGPD y la LOPDGDD, así como la doctrina consolidada de la AEPD.

Para empresas y administraciones que integren IA en sus operaciones, este documento ofrece elementos valiosos para estructurar políticas internas propias conformes a la normativa vigente y a las expectativas regulatorias emergentes, con especial atención a la protección de los derechos de los ciudadanos en la era digital.

La implementación de la IA generativa en el entorno administrativo y empresarial no debe verse como un reto aislado, sino como una oportunidad para reforzar el compromiso con la ética digital. Desde MICROLAB, aportamos el asesoramiento estratégico y técnico necesario para alinear la innovación tecnológica con la normativa de protección de datos, garantizando que la adopción de la inteligencia artificial en su organización sea siempre segura, transparente y plenamente conforme con los criterios de la AEPD.

En el ámbito empresarial, los procesos de selección de personal son uno de los escenarios de mayor riesgo para el cumplimiento de la normativa de protección de datos: manejo de currículums, entrevistas, pruebas de aptitud, referencias o verificaciones adicionales son operaciones que, aunque parezcan rutinarias, implican tratamiento de información personal conforme al Reglamento General de Protección de Datos (RGPD).

La Agencia Española de Protección de Datos (AEPD) ha reiterado en numerosas ocasiones que el cumplimiento en materia de protección de datos no es una cuestión exclusivamente documental, sino que exige integrar la privacidad en todas las fases del proceso selectivo. Sobre esa base, desde el departamento de MICROLAB hemos desarrollado los cinco aspectos esenciales que toda organización debería conocer para garantizar un proceso de selección respetuoso con el RGPD y la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD). Para un enfoque más amplio en el ámbito laboral, puedes ampliar esta información en protección de datos y recursos humanos.

1. El deber de transparencia

El RGPD impone la obligación de informar a los candidatos, de forma previa y comprensible, sobre el tratamiento de sus datos personales. Esta información debe facilitarse en el momento de la captación del currículo, con independencia del canal utilizado: web corporativa, plataformas de empleo, correo electrónico o entrega presencial.

El contenido mínimo de esta información debe incluir, entre otros extremos, la identidad del responsable, la finalidad del tratamiento, la base jurídica, los plazos de conservación y los derechos que asisten a los candidatos, así como el modo de ejercerlos. Si necesitas contexto sobre obligaciones generales para empresas, puedes consultar requisitos y responsabilidades de las empresas según la LOPD y el RGPD.

La ausencia de una cláusula informativa adecuada ha dado lugar a numerosas sanciones por parte de la AEPD, por lo que disponer de un aviso claro, visible y accesible en cada canal de recepción de candidaturas resulta imprescindible.

2. La base legal del tratamiento: interés legítimo y consentimiento

Todo tratamiento de datos personales debe apoyarse en una base jurídica válida. En los procesos de selección de personal, el tratamiento de currículums para procesos abiertos puede ampararse en el interés legítimo de la empresa, siempre que el candidato haya sido debidamente informado.

Sin embargo, la conservación del CV una vez finalizado el proceso constituye una finalidad distinta, lo que exige recabar el consentimiento expreso del interesado. Conservar currículums “por si acaso” sin este consentimiento no resulta conforme a la normativa.

3. Principio de minimización: solo datos necesarios

El principio de minimización obliga a tratar únicamente los datos estrictamente necesarios y relacionados con el puesto a cubrir. En la práctica, esto implica no solicitar información irrelevante ni indagar en aspectos de la esfera personal del candidato que no guarden relación con su idoneidad profesional. Un ejemplo práctico de aplicación del principio de minimización en el ámbito laboral lo tienes en si la empresa puede tratar el número de teléfono personal de un trabajador.

La solicitud o el uso de este tipo de información no solo infringe el RGPD, sino que puede vulnerar derechos fundamentales vinculados a la igualdad y la no discriminación.

4. Plazos de conservación ajustados a la finalidad

Los datos personales deben conservarse únicamente durante el tiempo necesario para la finalidad con la que fueron recabados. Mientras el proceso de selección esté abierto, la conservación del CV resulta lícita.

Finalizado el proceso, la conservación para futuras oportunidades requiere consentimiento expreso. Como criterio prudente, se recomienda un plazo máximo de dos años, ya que los currículums tienden a quedar desactualizados. Superar estos plazos sin base jurídica es una de las infracciones más habituales detectadas por la AEPD.

5. Formación del personal de Recursos Humanos

La empresa debe garantizar que las personas que participan en los procesos de selección conocen y aplican correctamente la normativa de protección de datos. Para ello, resulta esencial contar con formación periódica y con procedimientos internos claros sobre la recepción, gestión y eliminación de currículums.

En la mayoría de los casos, los incumplimientos no derivan de la inexistencia de políticas, sino de su incorrecta aplicación. Por ello, la formación es una pieza clave de la responsabilidad proactiva exigida por el RGPD.

En definitiva, cumplir con estas claves en los procesos de selección no es solo una obligación legal, sino una buena práctica que permite desarrollar procesos eficientes y alineados con la normativa de protección de datos.

Desde MICROLAB aportamos el asesoramiento y la formación necesarios para que la captación de talento sea eficiente, lícita y protegida frente a los riesgos derivados de una mala gestión de datos personales. Si quieres ver el alcance de la adaptación, puedes consultar nuestros servicios de adecuación al RGPD y LOPDGDD y, si necesitas contexto adicional, por qué deberías contratar una empresa de protección de datos.