⏱️ Tiempo de lectura: 3 min – 400 palabras aprox.
Por qué te interesa (aunque “nadie haya filtrado nada”)
Imagina que, un martes cualquiera, tu empresa detecta un correo masivo con datos de clientes enviado por error. A los pocos días, la Agencia Española de Protección de Datos (AEPD) solicita tu registro de actividades y, en especial, las acreditaciones de formación del personal con acceso habitual a datos. Si no demuestras que esa gente estaba formada y sensibilizada, la investigación puede acabar en multas millonarias y daño reputacional.
En este artículo verás qué exige la ley, a quién alcanza y cuánto cuesta incumplirla.
¿A quién obliga exactamente?
-
Responsables y encargados del tratamiento establecidos en la UE.
-
Empresas extracomunitarias que ofrezcan bienes/servicios o monitoricen a personas en la UE.
-
Administraciones públicas, ONG y colegios profesionales.
-
Freelancers y microempresas que traten datos sensibles (salud, biometría, sanciones…).
Si tu organización procesa datos de personas físicas, la obligación existe.
Qué dice la ley
RGPD 2016/679, art. 32.1 d)
«El responsable y el encargado aplicarán medidas técnicas y organizativas apropiadas, entre ellas la facultad de garantizar que toda persona que actúe bajo la autoridad del responsable o del encargado… haya recibido la formación adecuada en materia de protección de datos.»
RGPD 2016/679, art. 39.1 b) (función DPO)
«El delegado de protección de datos tendrá como mínimo… la función de informar y asesorar… y supervisar el cumplimiento, incluida la asignación de responsabilidades, la sensibilización y formación del personal que participa en las operaciones de tratamiento.»
LOPDGDD 3/2018, art. 47.2 n)
En reglas corporativas vinculantes deberá constar «la formación en protección de datos pertinente para el personal que tenga acceso permanente o habitual a datos personales».
Además, el RGPD exige procedimientos escritos (registro de actividades, análisis de riesgos, brechas) y formación como “medida organizativa”: Reglamento (UE) 2016/679, artículos 30 y 32, junto con la LOPDGDD 3/2018, artículo 47.
Sanciones por incumplir
| Marco sancionador | Artículo | Multa máxima ( € ) | Cuándo se aplica específicamente a la formación |
|---|---|---|---|
| RGPD | 83.4 a) | Hasta 10.000 000 € o el 2 % de la facturación mundial (la cifra mayor) | Incumplir «las medidas técnicas y organizativas apropiadas» del art. 32 RGPD —la formación adecuada está expresamente citada como una de esas medidas. |
| RGPD | 83.5 a–b) | Hasta 20.000.000 € o el 4 % de la facturación mundial (la cifra mayor) | Infracciones que vulneren principios básicos (arts. 5-6 RGPD) o derechos de los interesados. La AEPD puede escalar la sanción si la falta de formación desemboca en estas violaciones. |
| LOPDGDD | 70-74 | Remite a los mismos topes del RGPD; tipifica como «muy grave» la carencia de formación cuando genera riesgo o daño | La AEPD gradúa entre leve, grave y muy grave según el art. 73 f) y 74 c). |
Preguntas frecuentes
-
¿Basta con un vídeo de bienvenida?
No. Debe existir formación suficiente y adecuada con evaluación y registro del resultado. -
¿Cada cuánto reciclo la formación?
La práctica recomendada es una vez al año y siempre que cambie la legislación o la tecnología. -
¿Sirve la formación online?
Sí, si incluye contenidos actualizados, control de progreso y test final trazable.
Lo que viene después…
Si tu organización maneja transacciones financieras o criptomonedas, la siguiente parada es la formación obligatoria en prevención de blanqueo de capitales. » Sigue leyendo: Blanqueo de capitales
¿Dudas o casos especiales?
Escríbenos a info@modusconsulting.es o reserva una llamada de 15 min. Un consultor te responderá en menos de 48 h.
En Modus Consulting acompañamos a las empresas a crecer.