Jordi Vegueria Ocáriz, abogado en LEXITER Abogados
En los últimos meses se ha popularizado la oferta de “cursos de protección de datos obligatorios”, dirigidos sobre todo a autónomos y pequeñas empresas. Muchos profesionales reciben correos o llamadas en las que se les advierte de sanciones inminentes si no contratan una formación específica y certificada. ¿Existe, en realidad, tal obligación legal?
1. Marco normativo: RGPD y LOPDGDD
- Reglamento (UE) 2016/679 (RGPD): impone a responsables y encargados el deber de aplicar el principio de responsabilidad proactiva (art. 5.2) y de implantar medidas técnicas y organizativas apropiadas (art. 24).
- Ley Orgánica 3/2018, de Protección de Datos y Garantía de los Derechos Digitales (LOPDGDD): desarrolla el RGPD en el ordenamiento español y mantiene la exigencia de que las empresas acrediten haber tomado “medidas adecuadas” para proteger los datos personales.
Ni el RGPD ni la LOPDGDD establecen un curso externo y concreto como requisito imprescindible para cumplir la normativa. Sí exigen, en cambio, que el personal con acceso a datos reciba la formación necesaria para actuar conforme a las políticas de la empresa. Esa formación puede ser interna o externa, presencial u online, siempre que sea adecuada, documentada y periódica.
2. Obligaciones formativas del Delegado de Protección de Datos (DPO)
El art. 39 RGPD encomienda al DPO la tarea de “formar y concienciar al personal” que participa en las operaciones de tratamiento. No se exige que esta formación se contrate a terceros ni que conduzca a un certificado oficial; lo esencial es que sea eficaz y que quede constancia escrita de su realización, para poder demostrar el cumplimiento ante la AEPD.
3. ¿Cuándo puede la formación llegar a ser exigible?
- Sectores regulados (sanitario, financiero, telecomunicaciones): la ley sectorial o los códigos de conducta pueden requerir planes formativos específicos.
- Contratas y subcontratas: el contratante puede imponer cláusulas que obliguen a acreditar formación en protección de datos como condición de homologación.
- Certificaciones ISO/ENS: si la empresa pretende certificarse, los auditores exigirán evidencias de formación periódica.
Fuera de estos supuestos, la formación es recomendable por razones de buena práctica y reducción de riesgos, pero no es una “tasa” ni un curso obligatorio y tasado por la normativa.
4. Riesgos de los “cursos obligatorios” ofrecidos por terceros
- Publicidad engañosa: presentar la formación como requisito legal ineludible puede vulnerar la Ley General para la Defensa de los Consumidores y Usuarios (arts. 20 y 47).
- Cláusulas abusivas: contratos que imponen renovaciones automáticas o penalizaciones desproporcionadas si el cliente intenta cancelar.
- Protección de datos: paradójicamente, algunas de estas empresas recaban datos personales sin la transparencia exigida por el RGPD.
Si se ha contratado bajo la falsa premisa de obligatoriedad, cabe solicitar la anulación del contrato por vicio en el consentimiento (arts. 1265 y 1300 CC) y, en su caso, denunciar la práctica ante la AEPD y Consumo autonómico.
5. Buenas prácticas para cumplir sin caer en fraudes
| Paso | Descripción |
|---|---|
| 1. Evaluar riesgos | Identificar los tratamientos de datos, su volumen y su sensibilidad. |
| 2. Plan de formación interno | Diseñar sesiones adaptadas a los puestos de trabajo (15‑30 min. trimestrales suelen ser suficientes en pymes). |
| 3. Documentar | Guardar temario, fechas, asistencia y cuestionarios. |
| 4. Revisión anual | Actualizar contenidos tras cambios legislativos o incidentes de seguridad. |
| 5. Asesoramiento experto | Contar con un DPO externo o un despacho especializado cuando el tratamiento sea complejo o masivo. |
6. Conclusiones
No existe, en 2025, un curso oficial obligatorio de protección de datos aplicable a todos los negocios. La normativa exige formar y concienciar al personal, pero deja libertad para elegir el formato. Las empresas deben centrarse en la eficacia de la formación y en la correcta documentación de sus políticas, evitando caer en campañas comerciales que se presentan como “obligatorias” sin fundamento legal.
¿Necesitas ayuda para ponerte al día en protección de datos?
En LEXITER Abogados llevamos más de diez años asesorando a pymes, autónomos y grandes corporaciones en materia de privacidad. Elaboramos planes de formación a medida, auditamos tus procesos y defendemos tus intereses ante la AEPD si ya has sufrido una reclamación.
Contáctanos y descubre cómo podemos ayudarte a cumplir con la normativa sin incurrir en gastos innecesarios.
LEXITER Abogados — www.lexiterabogadosonline.com