RGPD 2026: Qué cambia y qué deben tener en cuenta las empresas

1 min. de lectura

El RGPD lleva en vigor desde 2018, pero la aplicación se hará más estricta, las multas más altas y nuevas directrices de las autoridades de protección de datos endurecerán los requisitos. Qué cambios trae 2026 y qué medidas deberían adoptar las empresas ahora.

Multas en nivel récord

Las autoridades europeas de protección de datos han endurecido el ritmo. En 2024 se impusieron multas de más de 2.000 millones de euros – un nuevo récord. Meta encabeza la lista, pero también las empresas de tamaño medio están cada vez más en el punto de mira. El mensaje es claro: el cumplimiento del RGPD no es un ejercicio opcional, sino crítico para el negocio.

Las autoridades alemanas también se han modernizado. Las autoridades de protección de datos de Berlín, Baviera y Renania del Norte-Westfalia llevan a cabo auditorías sectoriales sistemáticas desde 2024 – incluso sin motivo concreto.

IA y toma de decisiones automatizada

El uso de herramientas de IA como ChatGPT, Copilot o soluciones de IA específicas del sector plantea cuestiones de protección de datos. El artículo 22 del RGPD regula las decisiones individuales automatizadas, pero los límites suelen ser poco claros en la práctica. Las autoridades de protección de datos han publicado directrices sobre el uso de la IA en 2025, que exigen transparencia, explicabilidad y supervisión humana.

Las empresas que utilicen IA deberían realizar evaluaciones de impacto de la protección de datos (DSFA), actualizar los registros de procesamiento y documentar la base legal para el procesamiento de datos basado en IA.

Transferencias a terceros países: La incertidumbre persiste

El marco de privacidad de datos UE-EE. UU. (DPF) permite de nuevo las transferencias de datos a Estados Unidos desde 2023 – para empresas certificadas. Sin embargo, defensores como Max Schrems ya han anunciado pasos legales. Un «Schrems III» podría derribar el marco.

Las empresas no deberían confiar ciegamente en el DPF, sino mantener cláusulas contractuales estándar (SCC) como respaldo, documentar evaluaciones de impacto de la transferencia (TIA) y evaluar alternativas europeas para los servicios de la nube en la medida de lo posible.

Obligaciones de notificación dobles: RGPD + NIS2

A partir de 2025, muchas empresas deben notificar incidentes de seguridad tanto bajo el RGPD (72 horas a la autoridad de protección de datos) como bajo NIS2 (24 horas al BSI). Los plazos y destinatarios son diferentes – un proceso coordinado de respuesta a incidentes es esencial.

Datos clave en un vistazo

Multas por el RGPD 2024: Más de 2.000 millones de euros en toda la UE

Multa individual máxima: 1.200 millones de euros (Meta, 2023)

Obligación de notificación del RGPD: 72 horas en caso de violación de datos

Obligación de notificación del NIS2: 24 horas para el primer aviso (¡en paralelo!)

Requisito de IA: DSFA, transparencia, supervisión humana

Transferencia a terceros: DPF UE-EE. UU. activo, pero legalmente incierto

Hecho: Las autoridades de protección de datos de la UE impusieron multas por un total de 4.500 millones de euros en 2024.

Hecho: Según IAPP, las empresas europeas emplean actualmente a más de 500.000 delegados de protección de datos – un aumento del 300% desde la introducción del RGPD.

Preguntas frecuentes

¿Qué ha cambiado en el RGPD desde 2018?

El propio texto legal es inalterado, pero la aplicación se ha endurecido drásticamente. Las multas han subido a niveles de miles de millones, las autoridades de protección de datos realizan auditorías sistemáticas y nuevas directrices concretan los requisitos – por ejemplo, sobre el uso de la IA y las transferencias a terceros países.

¿Debo realizar una DSFA para el uso de ChatGPT?

En muchos casos sí. Si se procesan datos personales – por ejemplo, datos de clientes, candidatos o empleados – es recomendable o incluso obligatorio realizar una evaluación de impacto de la protección de datos (DSFA). El procesamiento a través de un proveedor estadounidense y el uso para decisiones automatizadas aumentan los requisitos.

¿Qué sucede si el marco de privacidad de datos UE-EE. UU. (DPF) cae?

Las empresas que transfieran datos a Estados Unidos deberían recurrir a cláusulas contractuales estándar (SCC) con evaluaciones de impacto de la transferencia (TIA) o utilizar alternativas europeas. La preparación ahora ahorra pánico más tarde.

¿Cómo coordino las obligaciones de notificación del RGPD y el NIS2?

Un proceso integrado de respuesta a incidentes con responsabilidades claras para ambos regímenes de notificación. RGPD: 72h a la autoridad de protección de datos. NIS2: 24h para el primer aviso al BSI. Tener plantillas y datos de contacto para ambas vías de notificación a mano.

¿Qué multas amenazan por violaciones del RGPD?

Hasta 20 millones de euros o el 4% de los ingresos mundiales anuales – dependiendo de cuál de los dos importes sea mayor. También aumentan las multas de los competidores y las demandas de indemnización por parte de las personas afectadas.