Volver al inicio
Despachos · Compliance

Cumplimiento RGPD en despachos pequeños: checklist completo

Mayo 2026 · Lectura: ~15 min

Un despacho de tres abogados maneja, en términos de protección de datos, un volumen de información sensible comparable al de una pyme de cuarenta empleados. Cada cliente que entra deja una huella documental que incluye DNI, domicilio, datos económicos, en muchos casos datos de salud o información laboral, y a veces datos de menores o de víctimas. Esa concentración —combinada con la obligación de secreto profesional del Art. 542 LOPJ y Art. 31 del Estatuto General de la Abogacía— convierte al despacho pequeño en uno de los objetivos preferentes de las inspecciones de la AEPD: el riesgo por expediente es alto y los recursos para defenderse, limitados.

Esta guía es un checklist completo de cumplimiento RGPD pensado específicamente para despachos de uno a quince abogados. No reproduce el RGPD ni la LOPDGDD —para eso están el texto del Reglamento y la Ley Orgánica 3/2018—, sino que traduce ambas normas en pasos accionables. Si al terminar de leerla puedes señalar qué tienes y qué te falta, la guía cumple su función. Para el marco general de principios, consulta también el Artículo 5 RGPD explicado con ejemplos y la guía sobre LexNET y protección de datos.

Por qué un checklist específico para despachos

La normativa de protección de datos es la misma para un despacho que para una multinacional, pero la forma de aplicarla cambia. El RGPD usa la fórmula «medidas apropiadas al riesgo y a los recursos» en varios artículos clave (32, 35, 37), lo que significa que la AEPD no exige a un despacho de tres abogados las mismas estructuras que a un bufete con doscientos profesionales. Lo que sí exige, con la misma intensidad, es que se demuestre el principio de responsabilidad proactiva (Art. 5.2): cumplir y poder demostrar que se cumple.

En un despacho pequeño, los riesgos típicos no son ataques cibernéticos sofisticados sino tres categorías mucho más prosaicas:

  • ·Errores humanos: enviar un email al destinatario equivocado, perder un USB con expedientes, dejar documentos a la vista en la sala de visitas.
  • ·Proveedores no controlados: gestoría, asesor fiscal, software de facturación, herramienta de firma electrónica. Si tratan datos sin un contrato de encargo, cualquier brecha en su lado se imputa al despacho.
  • ·Publicación incorrecta: subir un caso ganado a la web sin anonimizar adecuadamente, compartir documentos en redes profesionales, usar casos reales en formación o ponencias.

Las sanciones más frecuentes de la AEPD a despachos pequeños se concentran precisamente en estas tres áreas, no en cuestiones técnicas avanzadas. El checklist está diseñado para cubrirlas.

1. Documentación mínima obligatoria

Estos son los documentos que un despacho debe tener elaborados, firmados y accesibles. Si la AEPD inspecciona, el primer requerimiento será verlos. La ausencia de cualquiera de ellos es, por sí sola, un incumplimiento sancionable, independientemente del resto del nivel de cumplimiento.

DocumentoBase normativaQué debe incluir
Política de privacidad publicada en la webArts. 13-14 RGPDIdentidad del responsable, finalidades, base legal de cada tratamiento, plazos de conservación, derechos del interesado y vía de contacto del DPD si existe. Lenguaje claro, no jurídico.
Aviso legal específico para el ejercicio profesionalLey 34/2002 (LSSI-CE) + Estatuto AbogacíaDatos del Colegio, número de colegiado, normativa profesional aplicable y régimen de responsabilidad. Imprescindible en la web del despacho.
Registro de Actividades de Tratamiento (RAT)Art. 30 RGPDDocumento interno por tratamiento: gestión de clientes, gestión de procedimientos, gestión laboral del despacho, marketing, videovigilancia. Incluir base legal, categorías de datos, destinatarios y plazos.
Cláusula de información al cliente en la hoja de encargoArt. 13 RGPDTexto breve incorporado al contrato de prestación de servicios donde el cliente queda informado del tratamiento. Acompañar con casilla de confirmación de lectura.
Contrato de encargo de tratamiento (DPA) con cada proveedorArt. 28 RGPDFirmar DPAs con: gestor documental, servicio de email, hosting, gestoría laboral, asesor fiscal, software de facturación, plataforma de videoconferencia, herramienta de firma electrónica.
Cláusulas de confidencialidad en contratos laborales y de pasantíaArt. 32 RGPD + Estatuto Abogacía Art. 31Obligaciones de secreto extendidas a abogados colaboradores, pasantes, personal administrativo y becarios. Incluir consecuencias del incumplimiento.
Procedimiento documentado de ejercicio de derechosArts. 15-22 RGPDProtocolo interno para responder solicitudes de acceso, rectificación, supresión, oposición y portabilidad en el plazo de un mes. Plantillas de respuesta.
Protocolo de gestión de brechas de seguridadArts. 33-34 RGPDDiagrama de decisión sobre cuándo notificar a la AEPD (72h) y cuándo a los interesados. Registro interno de todas las brechas, notificables o no.
Política interna de uso aceptable de sistemasArt. 32 RGPDReglas sobre uso del email, dispositivos personales, almacenamiento externo, redes sociales y publicación de casos. Firmada por todo el personal.

La forma habitual de fallar este apartado no es no tener los documentos, sino tenerlos desactualizados. Una política de privacidad redactada en 2018 que no menciona el envío de newsletters que el despacho lleva haciendo desde 2023 es una infracción del deber de información. Revísalos al menos una vez al año.

Documentos esenciales de cumplimiento RGPD para un despacho de abogados: política de privacidad, RAT, contratos de encargo, política interna y registro de brechas.
La base documental del cumplimiento: nueve documentos que un inspector de la AEPD pedirá ver, en este orden, si abre una actuación previa.

2. Identificar los tratamientos y construir el RAT

El Registro de Actividades de Tratamiento (RAT) es el documento más importante del bloque interno. Sirve para inventariar todos los flujos de datos que ocurren en el despacho. Un despacho pequeño tiene típicamente entre cinco y ocho tratamientos diferenciados, y cada uno debe tener su ficha en el RAT.

Los tratamientos habituales en un despacho son:

  1. 1

    Gestión de clientes y procedimientos

    Datos identificativos, económicos, de contraparte y, en su caso, sensibles (salud, ideología, antecedentes). Base legal: ejecución del contrato de servicios jurídicos (Art. 6.1.b) y obligación legal en lo relativo a normativa procesal.

  2. 2

    Gestión laboral y de pasantías

    Datos de personal contratado y de colaboradores. Base legal: ejecución del contrato laboral y obligaciones derivadas (Seguridad Social, IRPF). Incluye nóminas, cotizaciones y formación.

  3. 3

    Facturación y cumplimiento fiscal

    Datos fiscales de clientes. Base legal: obligación legal tributaria. Plazos de conservación: cuatro años con carácter general (LGT), diez para PBC.

  4. 4

    Marketing y comunicación

    Email marketing, newsletter, redes sociales corporativas. Base legal: consentimiento del interesado (Art. 6.1.a) o interés legítimo del responsable si se trata de clientes que ya tienen relación contractual y se ofrecen servicios similares.

  5. 5

    Videovigilancia

    Si hay cámaras en el despacho o en la entrada. Base legal: interés legítimo. Requiere cartel informativo conforme a la Instrucción 1/2006 de la AEPD y revisión del periodo de conservación (30 días salvo incidente).

  6. 6

    Web y formularios de contacto

    Datos de quien rellena un formulario en la web del despacho. Base legal: consentimiento expreso. Política de privacidad accesible desde el propio formulario.

  7. 7

    Prevención del blanqueo de capitales (PBC)

    Si el despacho ejerce alguna de las actividades del Art. 2 de la Ley 10/2010. Base legal: obligación legal específica. Plazo de conservación reforzado: diez años.

Cada ficha del RAT debe contener, como mínimo: nombre del tratamiento, finalidad, base legal, categorías de datos, categorías de interesados, destinatarios o transferencias, plazo de conservación y descripción de las medidas de seguridad. Hay plantillas oficiales de la AEPD que puedes usar como punto de partida.

3. Medidas de seguridad técnicas y organizativas

El Art. 32 RGPD pide medidas «apropiadas al riesgo». Para un despacho pequeño, este es el nivel razonable que la AEPD considera proporcionado y que puedes implementar sin contratar un departamento de IT. El criterio no es la sofisticación de cada medida, sino que estén implantadas, documentadas y se cumplan.

Acceso a equipos

  • ·Cifrado de disco activado en todos los ordenadores (BitLocker en Windows, FileVault en macOS).
  • ·Contraseñas robustas con gestor profesional (1Password, Bitwarden Teams) y autenticación de dos factores.
  • ·Bloqueo automático de pantalla a los 5 minutos de inactividad.
  • ·Cierre de sesión obligatorio al abandonar el puesto.

Correo electrónico

  • ·Dominio profesional propio, nunca cuentas de Gmail/Hotmail para uso del despacho.
  • ·Autenticación de dos factores activada en todas las cuentas.
  • ·Cifrado en tránsito (TLS) confirmado con el proveedor.
  • ·Política de no enviar documentos con datos sensibles como adjuntos sin protección por contraseña.

Almacenamiento de expedientes

  • ·Servicio cloud con servidores en UE o con cláusulas tipo de la Comisión Europea (Microsoft 365, Google Workspace con configuración EU, sí; servicios consumer no).
  • ·Estructura de carpetas con permisos por procedimiento, no acceso indiscriminado a todo el archivo.
  • ·Copia de seguridad cifrada con rotación, al menos diaria, con verificación periódica de restauración.
  • ·Política de retención que ejecute borrado automático al cumplirse los plazos.

Trabajo remoto

  • ·VPN obligatoria si se accede al servidor del despacho desde fuera.
  • ·Prohibición de almacenar copias locales en equipos personales no controlados.
  • ·Dispositivos del despacho cifrados y gestionados (MDM si hay 5+ equipos).
  • ·Política expresa para dispositivos móviles que reciban email profesional.

Documentos en papel

  • ·Mesas limpias al final del día, sin expedientes a la vista.
  • ·Armarios cerrados con llave para archivos físicos.
  • ·Destructora de papel con corte cruzado para descarte (nivel P-4 o superior).
  • ·Registro de movimientos de expedientes fuera del despacho (juzgado, cliente, peritos).

Anonimización de documentos

  • ·Procedimiento documentado para anonimizar antes de publicar, formar o compartir con terceros.
  • ·Herramienta que aplique eliminación estructural, no superposición visual.
  • ·Verificación posterior (búsqueda interna, selección, visor alternativo).
  • ·Registro de qué documentos se anonimizaron, con qué herramienta y para qué destino.

Ninguna de estas medidas requiere inversión significativa. Bitwarden Teams, BitLocker, FileVault y la configuración EU de Microsoft 365 o Google Workspace cubren el grueso del bloque técnico. El bloque organizativo se construye con dos documentos firmados (política de uso aceptable y compromiso de confidencialidad) y un acta anual de formación al personal.

¿Anonimizas documentos en tu despacho?

AnonDocs automatiza la anonimización de PDFs jurídicos en español: detecta DNIs, IBANs, direcciones, datos de salud y firmas, y aplica eliminación estructural. Cumplimiento de los principios de minimización y seguridad del Art. 5 RGPD con un solo paso.

Ver cómo funciona

4. Procedimiento de ejercicio de derechos

Los Arts. 15 a 22 RGPD reconocen al interesado un conjunto de derechos que el despacho debe poder ejecutar dentro de un mes desde la solicitud (Art. 12.3). La AEPD recibe cada año cientos de reclamaciones por falta de respuesta o respuesta extemporánea: es uno de los motivos más frecuentes de sanción y el más fácil de evitar.

El procedimiento mínimo debe incluir:

  • ·Un canal de entrada explícito en la política de privacidad (un email del tipo privacidad@despacho.es o un formulario en la web).
  • ·Verificación de la identidad del solicitante: nunca responder sin verificar que quien pide los datos es realmente el titular o un representante con poder.
  • ·Plantillas de respuesta para cada tipo de derecho, con la base legal y los plazos aplicables.
  • ·Plazo de respuesta: un mes desde la solicitud, ampliable a dos meses adicionales en casos complejos comunicándolo al interesado.
  • ·Registro interno de todas las solicitudes recibidas: quién, cuándo, qué pidió, cómo se respondió, en qué plazo.
  • ·Cláusulas de oposición fundamentadas si el derecho no es ejecutable: por ejemplo, la conservación legal del expediente impide el borrado total mientras subsistan los plazos.

5. Gestión de brechas de seguridad

La obligación de notificar brechas en 72 horas (Art. 33 RGPD) y, en casos graves, también al interesado (Art. 34) es uno de los apartados que más sanciones genera. No por el incumplimiento de la notificación en sí, sino porque la falta de un procedimiento documentado se interpreta como ausencia del principio de responsabilidad proactiva.

El protocolo mínimo del despacho debe responder a estas cuatro preguntas con un diagrama de decisión:

¿Ha habido brecha?

Una brecha es cualquier incidente que comprometa la confidencialidad, integridad o disponibilidad de datos personales. Incluye envíos por error, pérdida de dispositivos, accesos no autorizados, ransomware y borrados accidentales.

¿Supone riesgo para los derechos del interesado?

Si la respuesta es no (p. ej., email enviado por error con información no identificativa), se documenta internamente y no se notifica. Si es sí o no se puede descartar, hay que notificar a la AEPD.

¿Es de alto riesgo?

Si la brecha puede causar daños relevantes —datos sensibles divulgados, riesgo de suplantación, perjuicio económico significativo— hay que notificar también al interesado, sin demora indebida y en lenguaje claro.

¿Qué medidas correctivas y preventivas se aplican?

Documentar qué se hizo para contener la brecha, qué se va a hacer para que no se repita y cuándo se completarán los pasos. Esta documentación es lo primero que la AEPD pedirá.

Errores frecuentes en despachos pequeños

Los errores que más se repiten en las inspecciones de la AEPD a despachos pequeños no son técnicos: son organizativos y se deben, en su mayoría, a tratar el RGPD como un trámite inicial y no como un proceso continuo.

  1. 1

    Confiar en una plantilla genérica de política de privacidad copiada de otro despacho

    La política debe reflejar tus tratamientos reales: si copias y no incluyes el envío de boletines pero los mandas, estás incumpliendo el deber de información. La AEPD verifica que lo declarado coincide con lo practicado.

  2. 2

    No firmar contratos de encargo con la gestoría laboral o el asesor fiscal

    Esos proveedores tratan datos de empleados y clientes del despacho. Sin DPA, eres responsable de cualquier brecha que ocurra en su lado. Es uno de los puntos que la AEPD verifica primero en una inspección.

  3. 3

    Conservar expedientes indefinidamente «por si acaso»

    Mantener datos más allá del plazo justificado vulnera el principio de limitación del plazo de conservación (Art. 5.1.e RGPD). Pasados los plazos legales, hay que suprimir o anonimizar realmente, no archivar en una carpeta llamada «cerrados».

  4. 4

    Publicar sentencias o escritos en la web del despacho sin anonimización estructural

    Sustituir nombres con un rectángulo negro visual en un PDF no elimina el texto subyacente. La AEPD ha sancionado a despachos por publicar documentos «anonimizados» con esta técnica. La redacción tiene que eliminar caracteres del archivo, no taparlos.

  5. 5

    Usar WhatsApp para enviar documentos del cliente

    WhatsApp como aplicación de mensajería instantánea no es adecuado para transmitir datos profesionales sensibles. Si se usa puntualmente, debe documentarse en la política de uso y obtener el consentimiento expreso del cliente para esa vía.

  6. 6

    Olvidar incluir a los pasantes y becarios en la política de confidencialidad

    El secreto profesional alcanza a todo el personal que tenga acceso a expedientes. Sin acuerdo firmado, una filtración por un becario expone al despacho como responsable principal y no permite repercutir la sanción.

  7. 7

    No documentar las brechas «menores»

    Aunque no se notifique a la AEPD, el registro interno de brechas es obligatorio. Si la AEPD inspecciona y no existe ese registro, se interpreta como incumplimiento del principio de responsabilidad proactiva (Art. 5.2).

  8. 8

    Tratar como anónima información que solo está pseudonimizada

    Sustituir nombres por iniciales o por códigos internos no es anonimización: si conservas la tabla de equivalencias o los datos siguen permitiendo reidentificación contextual, sigues tratando datos personales y aplican todas las obligaciones del RGPD.

Checklist mensual de mantenimiento

El cumplimiento RGPD no es un estado, es un proceso. Estas seis tareas, ejecutadas una vez al mes por la persona designada como responsable interno de protección de datos, mantienen el sistema vivo:

  • Revisar accesos: dar de baja exempleados, pasantes que finalizaron y colaboradores externos cuyo encargo terminó.
  • Verificar copias de seguridad: ejecutar restauración de prueba al menos una vez al mes.
  • Repasar el registro de brechas: cerrar las del mes y comprobar que se documentaron correctamente.
  • Auditar solicitudes de derechos: confirmar que todas las del mes se respondieron dentro de plazo.
  • Comprobar plazos de conservación: identificar expedientes que ya pueden suprimirse o anonimizarse.
  • Actualizar el RAT si se añadió un nuevo tratamiento (envío de newsletter, software nuevo, herramienta de IA).

Anualmente, además, conviene auditar el cumplimiento completo, repasar todos los DPAs con proveedores y formar al personal en una sesión de una hora. Esa auditoría anual queda documentada en un acta breve que pasa a formar parte del expediente de cumplimiento.

Recurso descargable

Versión PDF imprimible de este checklist con casillas para marcar el estado de cada apartado en tu despacho. Pensado para auditarse en una mañana y guardarse como evidencia anual de cumplimiento.

Lead magnet en preparación — disponible próximamente desde esta misma página.

Preguntas frecuentes

¿Un despacho de menos de 5 abogados necesita un Delegado de Protección de Datos (DPD)?

Como regla general, no. El Art. 37 RGPD obliga a designar DPD cuando el tratamiento de datos sensibles forma parte de la actividad principal a gran escala, lo cual no suele aplicarse a un despacho pequeño que gestiona casos individuales. Sin embargo, hay supuestos donde sí es obligatorio: si el despacho se especializa en grandes volúmenes de procedimientos colectivos (consumidores, cláusulas suelo, hipotecas), si trata datos de categorías especiales de forma masiva (salud, ideología, antecedentes penales) o si lo exige una norma sectorial. Incluso cuando no es obligatorio, designar un DPD voluntario refuerza la posición ante la AEPD.

¿Tengo que inscribir mi despacho en algún registro de protección de datos?

No. La obligación de inscripción de ficheros en el Registro General de Protección de Datos desapareció con la entrada en vigor del RGPD en 2018. Lo que sí debe mantenerse es el Registro de Actividades de Tratamiento (RAT), un documento interno regulado por el Art. 30 RGPD que el despacho elabora y conserva, sin remitirlo a la AEPD salvo requerimiento expreso. La inscripción en el registro de la AEPD ya no existe para responsables del tratamiento.

¿Es obligatoria la Evaluación de Impacto (EIPD) en un despacho pequeño?

Solo cuando el tratamiento entra en alguno de los supuestos del Art. 35 RGPD: evaluación sistemática, tratamiento a gran escala de categorías especiales, observación sistemática a gran escala de zonas accesibles al público, o cuando aparece en la lista publicada por la AEPD. Un despacho que tramita procedimientos individuales con datos de clientes no suele necesitar EIPD. Sí la necesita si implanta sistemas de IA para decisiones automatizadas, videovigilancia perimetral con reconocimiento facial o gestión masiva de reclamaciones colectivas.

¿Qué pasa si un cliente me pide que borre todos sus datos al terminar el caso?

El derecho de supresión (Art. 17 RGPD) no es absoluto. El despacho puede oponerse al borrado mientras subsista la base legal de conservación: principalmente, los plazos de prescripción de la responsabilidad civil profesional (tres años desde la finalización del encargo, Art. 1968 CC), las obligaciones tributarias (cuatro años bajo la LGT) y la prevención del blanqueo de capitales (diez años bajo la Ley 10/2010). Pasados todos los plazos aplicables, sí procede suprimir o anonimizar los datos. La respuesta al cliente debe documentar la base legal de la conservación con esos plazos concretos.

¿Tengo que notificar todas las brechas de seguridad a la AEPD?

No. Solo deben notificarse en un plazo de 72 horas las brechas que supongan un riesgo para los derechos y libertades de los interesados (Art. 33 RGPD). Si un email se envía por error a un destinatario incorrecto pero el contenido no incluye datos sensibles ni identificadores económicos relevantes, puede no requerir notificación. Lo que sí debe hacerse siempre es documentar la brecha en un registro interno: descripción, datos afectados, consecuencias y medidas adoptadas. Ante la duda, notificar es la opción más prudente; la AEPD valora positivamente la transparencia.

¿Cómo cumple un despacho pequeño con el principio de seguridad si no tiene departamento técnico?

El RGPD exige medidas «adecuadas al riesgo», no medidas de gran empresa. Para un despacho pequeño, un nivel razonable incluye: cifrado de discos en todos los equipos (BitLocker o FileVault, gratuitos), autenticación de dos factores en email y servicios cloud, copias de seguridad cifradas con rotación, gestor de contraseñas profesional, política de mesa limpia y formación básica al personal. La AEPD ha sido consistente en que valorará el cumplimiento en función de los recursos del despacho, no exigirá soluciones enterprise a un despacho de tres abogados.

¿Qué documento es más importante: política de privacidad, RAT o contratos de encargo?

Los tres son necesarios y cumplen funciones distintas: la política de privacidad informa al cliente (Arts. 13-14 RGPD) y es la cara externa del cumplimiento; el RAT documenta internamente cada tratamiento (Art. 30) y es lo primero que pedirá la AEPD en una inspección; los contratos de encargo (Art. 28) regulan la relación con proveedores que acceden a datos de clientes. Sin política, el despacho incumple el deber de información. Sin RAT, no puede demostrar la responsabilidad proactiva. Sin DPAs, los proveedores son una vía de fuga sin control.

Conclusión

Un despacho de uno a quince abogados no necesita reproducir el aparato de cumplimiento de una multinacional para estar bien protegido frente a la AEPD. Lo que necesita es tener documentos vivos —no plantillas copiadas—, procedimientos que se ejecuten realmente y registros que demuestren lo anterior. La diferencia entre un despacho que aprueba una inspección y otro que recibe una sanción de cuarenta mil euros no suele estar en la tecnología, sino en la disciplina documental.

Si después de revisar el checklist detectas tres o cuatro huecos —es lo habitual en el primer pase—, prioriza por el orden del artículo: primero la documentación mínima, luego el RAT, después las medidas de seguridad básicas, los derechos y, por último, el protocolo de brechas. Cubrir los cuatro primeros bloques te coloca por encima del 80% de los despachos que la AEPD inspecciona. El último te coloca en el percentil de los que casi nunca son sancionados.

Para profundizar, los siguientes artículos cubren áreas específicas del cumplimiento: LexNET y protección de datos, cómo anonimizar una demanda civil y los siete principios del Art. 5 RGPD.

Automatiza la anonimización en tu despacho

AnonDocs detecta y elimina DNIs, IBANs, datos de salud, direcciones y firmas en documentos jurídicos. Eliminación estructural con IA entrenada en español, conforme a los principios del Art. 5 RGPD.

Probar AnonDocs

Artículos relacionados