Bloc > Protecció de dades i RGPD

Protecció de dades a les empreses: els errors més comuns que es continuen repetint el 2025

by | 28 jul., 2025

Ja han passat més de cinc anys des de l’aplicació plena del Reglament General de Protecció de Dades (RGPD), en vigor des del 25 de maig de 2018, i gairebé el mateix des de l’entrada en vigor de la Llei Orgànica 3/2018 de Protecció de Dades Personals i garantia dels drets digitals (LOPDGDD). Tot i això, el 2025 encara hi ha moltes empreses que no compleixen adequadament aquestes normatives o, pitjor encara, pensen que sí ho fan.

L’RGPD estableix obligacions clares com el manteniment d’un Registre d’Activitats de Tractament, la implementació de mesures tècniques i organitzatives apropiades, la notificació de bretxes de seguretat en un màxim de 72 hores, la formació del personal o la formalització de contractes amb encarregats del tractament. No obstant això, en el dia a dia de les pimes i empreses mitjanes és freqüent trobar situacions d’incompliment, bé per desconeixement o per haver contractat serveis que no cobreixen de forma real totes les exigències normatives.

El preocupant no és només la possibilitat de sancions (que poden superar el milió d’euros, fins i tot en petites organitzacions), sinó la falsa sensació de seguretat que generen certs serveis superficials. Aquest article t’ajudarà a identificar els errors més comuns en protecció de dades per a empreses el 2025 i com evitar-los.

Contenido del artículo

Error 1: Tenir documentació sense adaptar-la a la realitat de l’empresa

L’error més habitual en pimes és pensar que tenir clàusules, contractes o una política de privacitat redactada —sovint copiada o genèrica— significa complir la llei. No obstant això:

  • ¿Aquesta documentació reflecteix realment els fluxos de dades de la teva empresa?
  • ¿S’ha fet una anàlisi de riscos prèvia?
  • ¿Es revisa cada vegada que canvies un programari, sistema informàtic o servei?

Una documentació mal feta o desactualitzada no només no protegeix en absolut: pot agreujar el problema en cas d’inspecció.

Error 2: Oblidar que l’RGPD també implica tecnologia

Molts serveis de “protecció de dades” se centren exclusivament en la part legal o administrativa. Però l’RGPD és clar: exigeix aplicar mesures tècniques i organitzatives per protegir les dades. Això implica tenir:

  • Còpies de seguretat externes, cifrades i funcionals.
  • Control d’accessos i contrasenyes segures.
  • Sistemes amb actualitzacions aplicades i segmentació de xarxa.
  • Monitorització d’esdeveniments i anàlisi de traçabilitat.

Sense aquests elements, per molt paper que tinguis signat, no hi ha compliment real.

Error 3: No actualitzar regularment el Registre d’Activitats de Tractament (RAT)

El Registre d’Activitats de Tractament (RAT) és obligatori per a la majoria d’empreses. Però:

  • Moltes mai l’elaboren.
  • Altres ho fan una vegada i ho obliden.
  • Algunes ni tan sols coneixen les obligacions de conservació i revisió.

Això pot ser motiu de sanció directa en cas d’inspecció de l’AEPD. A més, és la base per a qualsevol pla seriós de protecció de dades.

Llista d'errors freqüents en protecció de dades en pimes el 2025Error 4: Delegar el compliment sense involucrar-se

Un error freqüent en les empreses és delegar tot a una consultora externa sense participar en el procés. ¿El resultat?

  • Manca de coneixement intern.
  • Mesures que no s’implementen de veritat.
  • Incapacitat de respondre davant una consulta o incident.

El RGPD exigeix responsabilitat proactiva. I això només s’aconsegueix amb implicació real des de la direcció, ells han de transmetre les directrius i protocols que proposi la consultora o extern especialista en protecció de dades, per incorporar-los en la forma de treballar de tot l’equip professional. Si no, ¿per a què els vols?

Error 5: Formar una vegada… i oblidar-se

La formació puntual és important, però insuficient. Els errors humans continuen sent la causa principal de bretxes de dades.

  • ¿Saben els teus empleats reconèixer un correu electrònic fraudulent?
  • ¿Saben quan han de signar un contracte d’encarregat?
  • ¿Saben què fer davant una fuga d’informació?

La formació ha de ser recurrent, adaptada als llocs i documentada.

Error 6: No designar Delegat de Protecció de Dades (quan és obligatori)

Hi ha empreses que estan legalment obligades a designar un DPD (per exemple, centres educatius, clíniques privades, empreses que tracten dades a gran escala…) i no ho han fet. O han designat a una persona de l’empresa que no té la formació adequada. El DPD no és un adorn. És la figura que garanteix la supervisió del compliment. Contractar un professional capacitat (normalment, un advocat o advocada especialista en protecció de dades) o externalitzar aquest servei contractant una empresa especialitzada és el més segur, i fins i tot pot ser un atenuant en cas d’infracció.

¿Què passa si caic en algun d’aquests errors?

A més del risc de sanció, la conseqüència més greu és que no estaràs preparat davant un incident greu:

  • Si perds o accedeixen il·legalment a les teves dades, no sabràs com actuar.
  • Si un client sol·licita exercir els seus drets, podries incomplir terminis o actuar de forma inadequada sense saber-ho (amb el risc que et denunciïn a l’AEPD).
  • Si pateixes un ciberatac, no tindràs proves de compliment tècnic ni organitzatiu que podrien atenuar una sanció, a més de no saber com notificar la bretxa a l’AEPD.

Serà en aquests moments crítics quan sabràs si el teu proveïdor de protecció de dades dona la talla, i et penediràs de no haver destinat més pressupost a aquesta partida si no és així.

¿Com evitar-ho? Consells des de l’experiència a Edorteam

A diferència de moltes firmes sorgides amb l’arribada del RGPD, la nostra experiència és prèvia i consolidada en el temps, amb una trajectòria basada en el rigor tècnic i legal. Amb més de 30 anys assessorant empreses en tecnologia i compliment, i treballant en matèria de protecció de dades ja des de l’entrada en vigor de la Llei Orgànica 5/1992 (LORTAD) el 1993, aquestes són les nostres recomanacions:

  1. Audita cada any: legalment i tècnicament. Si vas contractar una consultora de protecció de dades, el correcte seria que contactin amb tu per actualitzar el RAT, almenys, una vegada l’any. Si t’oferiren un servei d’adequació al RPGD puntual, sense manteniment ni seguiment, desconfia.
  2. Involucra el teu equip: la protecció de dades no és només del DPD, ell emetrà recomanacions i serà obligació de direcció assignar els recursos necessaris perquè es puguin dur a terme.
  3. Tingues un pla de formació interna continu i mesurable.
  4. Recolza’t en la tecnologia: DLP, còpies de seguretat, control d’accessos, sistemes operatius i dispositius actuals…
  5. Contracta consultores que entenguin el teu negoci, no que entreguin només papers i es desentenguin per sempre.

Et convidem a fer-te aquestes preguntes:

  • ¿Saps quins dades personals gestiona la teva empresa i on s’emmagatzemen?
  • ¿Podries demostrar una traçabilitat completa davant una inspecció?
  • ¿Tens evidències de formació i mesures tècniques implantades?

Si dubtes en alguna resposta, estàs a temps de revisar i corregir. A Edorteam realitzem auditories completes —legals i tècniques— per detectar riscos reals i ajudar-te a corregir-los abans que sigui tard. Pots sol·licitar-nos una revisió inicial gratuïta omplint el formulari de contacte o trucant directament a les nostres oficines si prefereixes una atenció immediata.

📩 Sol·licita una revisió inicial gratuïta sense compromís.

Lista de errores frecuentes en protección de datos en pymes en 2025

Sol·licita informació

Segueix-nos a xarxes

Altres publicacions relacionades

0 Comments

Submit a Comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *