El 25 de mayo de 2026 se cumplen 10 años del RGPD. El Comité Europeo de Protección de Datos (EDPB) publicó un balance oficial donde 31 autoridades de protección de datos europeas marcan los hitos del primer marco coordinado a nivel continental. Más allá de las efemérides, este aniversario sirve para hacer un balance operativo: qué ha cambiado en la práctica para los SaaS pequeños, qué obligaciones se relajaron, cuáles se endurecieron, y por dónde apuntan los próximos cuatro años con DSA, DMA y AI Act ya en producción.
Lo que el RGPD cambió de verdad para tu SaaS
1. La carga de prueba cambió de lado
Antes de 2018, demostrar que una empresa procesaba mal tus datos era trabajo del usuario. Tras el RGPD, demostrar que se procesan bien es trabajo de la empresa. Para un SaaS pequeño esto significa que cualquier reclamación llega con presunción contraria, y la documentación interna (registro de actividades, base legal, retención) pasa de "buena práctica" a defensa probatoria.
2. La privacidad por diseño dejó de ser etiqueta
Artículo 25 RGPD: privacidad por diseño y por defecto. Suena abstracto, pero opera concreto: cualquier feature nueva debe llegar al sprint con la pregunta "qué datos personales toca" respondida. Los SaaS que añaden esta pregunta al template de PR ahorran auditorías costosas más adelante.
3. El consent banner se convirtió en infraestructura
Lo que en 2018 era un footer discreto, hoy es un componente con SDK, version log y diff visible. Un consent que no registra qué versión de la política vio el usuario no es defendible en una reclamación.
Lo que se relajó (y por qué)
| Aspecto | Cambio práctico |
|---|---|
| Designación de DPO | Sigue siendo obligatorio en muchos casos pero las pymes han clarificado mucho cuándo aplica (procesamiento sistemático a gran escala, datos sensibles) |
| Notificación de brechas | El plazo de 72h se mantiene, pero la guía sobre qué notificar y qué no se ha estabilizado tras 8 años de práctica |
| Transferencias internacionales | Las cláusulas contractuales tipo (SCC) de 2021 simplificaron los acuerdos con proveedores fuera de UE |
Lo que se endureció
| Aspecto | Realidad 2026 |
|---|---|
| Sanciones efectivas | El total de sanciones acumuladas supera los 5.000 millones de euros desde 2018; los reguladores son menos paciencia con casos repetidos |
| Coordinación entre autoridades | Casos transfronterizos ahora se procesan en semanas, no años; la cooperación EDPB acelera |
| Vigilancia de cookies y trackers | Los reguladores españoles y franceses lideran sanciones específicas a banner mal implementados |
| Cumplimiento del Articolo 32 (seguridad) | Tras varios casos sonados, las medidas mínimas técnicas son menos opcionales |
El RGPD ya no opera solo. Convive con el Digital Services Act, el Digital Markets Act y el AI Act. Para un SaaS, esto significa que el cumplimiento ya no es "hicimos lo del RGPD, pasamos". Es un mapa de obligaciones cruzadas que requiere actualización continua.
Las tres tendencias que llegan a partir de aquí
1. Convergencia con el AI Act
La protección de datos y la regulación de IA convergen. Las DPIA (evaluaciones de impacto) clásicas del RGPD se extienden a sistemas de IA de alto riesgo. Si tu SaaS usa IA para procesar datos personales (recomendaciones, scoring, automatización de decisiones), prepara para revisar todas tus políticas en los próximos 18 meses.
2. Estandarización del consent banner
El EDPB está empujando hacia patrones de consent banner más uniformes. Las opciones "Aceptar / Rechazar" simétricas dejan de ser una recomendación y pasan a ser exigencia en varios mercados.
3. Auditorías más frecuentes a SaaS pequeños
La AEPD reportó 30.931 reclamaciones en 2025, un 64% más que el año anterior. El umbral para que una autoridad audite no es ya "solo gran corporación"; los SaaS de tamaño medio están entrando al radar.
Qué hacer en tu SaaS los próximos 90 días
- Audit interno de bases legales: revisa que cada flow de datos personales tiene una base RGPD documentada (consentimiento, ejecución contrato, interés legítimo, etc.).
- Actualiza tu Privacy Policy con DSA/DMA si te aplican: umbrales y obligaciones nuevas que no estaban en 2024.
- Implementa version history visible en tus políticas: imprescindible para defenderte ante reclamaciones.
- Revisa transferencias internacionales: contratos con proveedores fuera de UE necesitan SCC vigentes.
- Mapea features con IA y prepara DPIA actualizada para las que clasifiquen como alto riesgo bajo AI Act.
"El RGPD se ha establecido como el primer marco integral de protección de datos en un continente completo, reshape de la realidad digital europea e inspiración para regulaciones similares globalmente" (síntesis del balance oficial del EDPB en su décimo aniversario).
Conclusión
Diez años de RGPD muestran un patrón claro: el cumplimiento dejó de ser un trámite y se convirtió en infraestructura. Para los SaaS pequeños que arrancan en 2026, la buena noticia es que las herramientas están maduras; la mala es que las exigencias también. La diferencia entre el SaaS que pasa una auditoría sin estrés y el que se ve obligado a parar operaciones es la disciplina trimestral de mantener políticas, consent y registros vigentes.
Si quieres centralizar privacy policy, cookie policy, ToS y registros de versión de varios proyectos en un único dashboard, Termerly es gratis y cubre las cuatro jurisdicciones (GDPR, CCPA, LGPD, PIPL) desde el primer día.
