Ja han passat més de cinc anys des de l’aplicació plena del Reglament General de Protecció de Dades (RGPD), en vigor des del 25 de maig de 2018, i gairebé el mateix des de l’entrada en vigor de la Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD). Tot i això, el 2025 encara hi ha moltes empreses que no compleixen adequadament aquestes normatives o, pitjor encara, pensen que sí ho fan.
L’RGPD estableix obligacions clares com el manteniment d’un Registre d’Activitats de Tractament, la implementació de mesures tècniques i organitzatives apropiades, la notificació de bretxes de seguretat en un màxim de 72 hores, la formació del personal o la formalització de contractes amb encarregats del tractament. No obstant això, en el dia a dia de les pimes i empreses mitjanes és freqüent trobar situacions d’incompliment, bé per desconeixement o per haver contractat serveis que no cobreixen de forma real totes les exigències normatives.
El preocupant no és només la possibilitat de sancions (que poden superar el milió d’euros, fins i tot en petites organitzacions), sinó la falsa sensació de seguretat que generen certs serveis superficials. Aquest article t’ajudarà a identificar els errors més comuns en protecció de dades per a empreses el 2025 i com evitar-los.
Error 1: Tenir documentació sense adaptar-la a la realitat de l’empresa
L’error més habitual en pimes és pensar que tenir clàusules, contractes o una política de privacitat redactada —sovint copiada o genèrica— significa complir la llei. No obstant això:
¿Aquesta documentació reflecteix realment els fluxos de dades de la teva empresa?
¿S’ha fet una anàlisi de riscos prèvia?
¿Es revisa cada vegada que canvies un programari, sistema informàtic o servei?
Una documentació mal feta o desactualitzada no només no protegeix en absolut: pot agreujar el problema en cas d’inspecció.
Error 2: Oblidar que l’RGPD també implica tecnologia
Molts serveis de “protecció de dades” se centren exclusivament en la part legal o administrativa. Però l’RGPD és clar: exigeix aplicar mesures tècniques i organitzatives per protegir les dades. Això implica tenir:
Còpies de seguretat externes, cifrades i funcionals.
Control d’accessos i contrasenyes segures.
Sistemes amb actualitzacions aplicades i segmentació de xarxa.
Monitorització d’esdeveniments i anàlisi de traçabilitat.
Sense aquests elements, per molt paper que tinguis signat, no hi ha compliment real.
Error 3: No actualitzar regularment el Registre d’Activitats de Tractament (RAT)
El Registre d’Activitats de Tractament (RAT) és obligatori per a la majoria d’empreses. Però:
Moltes mai l’elaboren.
Altres ho fan una vegada i ho obliden.
Algunes ni tan sols coneixen les obligacions de conservació i revisió.
Això pot ser motiu de sanció directa en cas d’inspecció de l’AEPD. A més, és la base per a qualsevol pla seriós de protecció de dades.
Error 4: Delegar el compliment sense involucrar-se
Un error freqüent en les empreses és delegar tot a una consultora externa sense participar en el procés. ¿El resultat?
Manca de coneixement intern.
Mesures que no s’implementen de veritat.
Incapacitat de respondre davant una consulta o incident.
El RGPD exigeix responsabilitat proactiva. I això només s’aconsegueix amb implicació real des de la direcció, ells han de transmetre les directrius i protocols que proposi la consultora o extern especialista en protecció de dades, per incorporar-los en la forma de treballar de tot l’equip professional. Si no, ¿per a què els vols?
Error 5: Formar una vegada… i oblidar-se
La formació puntual és important, però insuficient. Els errors humans continuen sent la causa principal de bretxes de dades.
¿Saben els teus empleats reconèixer un correu electrònic fraudulent?
¿Saben quan han de signar un contracte d’encarregat?
¿Saben què fer davant una fuga d’informació?
La formació ha de ser recurrent, adaptada als llocs i documentada.
Error 6: No designar Delegat de Protecció de Dades (quan és obligatori)
Hi ha empreses que estan legalment obligades a designar un DPD (per exemple, centres educatius, clíniques privades, empreses que tracten dades a gran escala…) i no ho han fet. O han designat a una persona de l’empresa que no té la formació adequada. El DPD no és un adorn. És la figura que garanteix la supervisió del compliment. Contractar un professional capacitat (normalment, un advocat o advocada especialista en protecció de dades) o externalitzar aquest servei contractant una empresa especialitzada és el més segur, i fins i tot pot ser un atenuant en cas d’infracció.
¿Què passa si caic en algun d’aquests errors?
A més del risc de sanció, la conseqüència més greu és que no estaràs preparat davant un incident greu:
Si perds o accedeixen il·legalment a les teves dades, no sabràs com actuar.
Si un client sol·licita exercir els seus drets, podries incomplir terminis o actuar de forma inadequada sense saber-ho (amb el risc que et denunciïn a l’AEPD).
Si pateixes un ciberatac, no tindràs proves de compliment tècnic ni organitzatiu que podrien atenuar una sanció, a més de no saber com notificar la bretxa a l’AEPD.
Serà en aquests moments crítics quan sabràs si el teu proveïdor de protecció de dades dona la talla, i et penediràs de no haver destinat més pressupost a aquesta partida si no és així.
¿Com evitar-ho? Consells des de l’experiència a Edorteam
A diferència de moltes firmes sorgides amb l’arribada del RGPD, la nostra experiència és prèvia i consolidada en el temps, amb una trajectòria basada en el rigor tècnic i legal. Amb més de 30 anys assessorant empreses en tecnologia i compliment, i treballant en matèria de protecció de dades ja des de l’entrada en vigor de la Llei Orgànica 5/1992 (LORTAD) el 1993, aquestes són les nostres recomanacions:
Audita cada any: legalment i tècnicament. Si vas contractar una consultora de protecció de dades, el correcte seria que contactin amb tu per actualitzar el RAT, almenys, una vegada l’any. Si t’oferiren un servei d’adequació al RPGD puntual, sense manteniment ni seguiment, desconfia.
Involucra el teu equip: la protecció de dades no és només del DPD, ell emetrà recomanacions i serà obligació de direcció assignar els recursos necessaris perquè es puguin dur a terme.
Tingues un pla de formació interna continu i mesurable.
Recolza’t en la tecnologia: DLP, còpies de seguretat, control d’accessos, sistemes operatius i dispositius actuals…
Contracta consultores que entenguin el teu negoci, no que entreguin només papers i es desentenguin per sempre.
Et convidem a fer-te aquestes preguntes:
¿Saps quins dades personals gestiona la teva empresa i on s’emmagatzemen?
¿Podries demostrar una traçabilitat completa davant una inspecció?
¿Tens evidències de formació i mesures tècniques implantades?
Si dubtes en alguna resposta, estàs a temps de revisar i corregir. A Edorteam realitzem auditories completes —legals i tècniques— per detectar riscos reals i ajudar-te a corregir-los abans que sigui tard. Pots sol·licitar-nos una revisió inicial gratuïta omplint el formulari de contacte o trucant directament a les nostres oficines si prefereixes una atenció immediata.
El contracte d'encàrrec del tractament RGPD (art. 28) és la peça que autoritza un proveïdor a tractar dades personals per compte de la teva empresa (responsable del tractament). Sense aquest contracte —o amb un de mal redactat— el tractament és il·lícit, encara que el...
Amb l'entrada en vigor de les normatives més recents en seguretat de la informació obligatòries per a les empreses, com serien la Directiva NIS2, l'Esquema Nacional de Seguretat o les noves regulacions en matèria d'intel·ligència artificial i privacitat, moltes...
Dins el sector de la protecció de dades, la desinformació i la picaresca han donat lloc a múltiples fraus que posen en risc tant la legalitat com la reputació de les empreses. Moltes pimes creuen estar complint la llei per haver contractat un servei barat o haver...
Per oferir les millors experiències, nosaltres i els nostres socis fem servir tecnologies com ara galetes per emmagatzemar i/o accedir a la informació del dispositiu. Donar el consentiment a aquestes tecnologies ens permetrà a nosaltres i als nostres socis processar dades personals com ara el comportament de navegació o identificadors únics en aquest lloc i mostrar anuncis (no) personalitzats. No consentir o retirar el consentiment, pot afectar negativament determinades característiques i funcions.
Selecciona qualsevol de les opcions a continuació per a acceptar o rebutjar totes les cookies o per a realitzar una selecció més detallada. Les vostres opcions només s'aplicaran a aquest lloc. Pots canviar les teves preferències en qualsevol moment, fins i tot retirar el consentiment, fent servir els enllaços a Política de cookies o fent clic a la pestanya situada a la part inferior dreta de la pantalla.
Funcionals
Sempre actiu
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferencias
El almacenamiento o acceso técnico es necesario para la finalidad legítima de almacenar preferencias no solicitadas por el abonado o usuario.
Analítiques
El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos.El almacenamiento o acceso técnico que es utilizado exclusivamente con fines estadísticos anónimos. Sin una requerimiento, el cumplimiento voluntario por parte de su proveedor de servicios de Internet, o los registros adicionales de un tercero, la información almacenada o recuperada sólo para este propósito no se puede utilizar para identificarlo.
Màrqueting
El almacenamiento o acceso técnico es necesario para crear perfiles de usuario para enviar publicidad, o para rastrear al usuario en un sitio web o en varios sitios web con fines de marketing similares.
0 Comments