Incluso años después de la entrada en vigor del RGPD, muchas empresas cometen graves errores en materia de protección de datos. Presentamos las 15 infracciones más frecuentes y cómo subsanarlas de forma conforme a la normativa.
La protección de datos no es un proyecto, sino un estado permanente
El Reglamento General de Protección de Datos (RGPD) se aplica directamente en todos los Estados miembros de la UE desde mayo de 2018. Sin embargo, los informes de auditoría de las autoridades de control muestran un panorama preocupante: muchas empresas, especialmente las pymes, presentan deficiencias considerables en la implementación. Las sanciones continúan en aumento. Solo en Alemania, las autoridades de protección de datos impusieron en 2024 multas de decenas de millones de euros.
La buena noticia: la mayoría de los errores son evitables si se conocen las trampas típicas y se abordan de forma sistemática. A continuación, presentamos los 15 errores más frecuentes en materia de RGPD y mostramos soluciones concretas.
Los 15 errores más frecuentes en materia de RGPD
Error 1: Política de privacidad ausente o incompleta
Cada sitio web, aplicación y formulario en línea necesita una política de privacidad completa conforme a los art. 13 y 14 RGPD. Las deficiencias frecuentes incluyen la falta de datos del responsable del tratamiento, la enumeración incompleta de las finalidades del tratamiento o bases jurídicas obsoletas.
Solución: Revise su política de privacidad al menos cada seis meses. Cada nuevo tratamiento, como una nueva herramienta de análisis o un servicio de newsletter, debe incorporarse oportunamente.
Error 2: Gestión del consentimiento no conforme
Los banners de cookies que solo muestran un botón de "Aceptar todo" o que utilizan casillas premarcadas infringen el RGPD y el TDDDG (anteriormente TTDSG). Las autoridades de control y los tribunales actúan cada vez más contra los denominados "dark patterns".
Solución: Implemente una plataforma de gestión del consentimiento (CMP) como Usercentrics, Cookiebot o Borlabs Cookie que ofrezca opciones equivalentes para aceptar y rechazar. Asegúrese de que no se establezcan cookies de seguimiento antes de obtener el consentimiento.
Error 3: Contratos de encargo de tratamiento (AVV) ausentes o deficientes
Cada proveedor de servicios que trate datos personales por su cuenta necesita un contrato de encargo de tratamiento conforme al art. 28 RGPD. Esto incluye proveedores de cloud, proveedores de servicios TI, gestorías de nóminas, servicios de newsletter y muchos más.
Solución: Elabore una lista completa de todos los encargados del tratamiento. Verifique que existe un AVV válido para cada uno. Muchos proveedores ofrecen AVV estandarizados que, no obstante, deben revisarse en función de sus requisitos específicos.
Error 4: Registro de actividades de tratamiento inexistente
El registro de actividades de tratamiento conforme al art. 30 RGPD es obligatorio para prácticamente todas las empresas. Documenta todos los procesos de tratamiento de datos y constituye la base de toda demostración de conformidad.
Solución: Elabore un registro estructurado que contenga al menos la siguiente información: denominación de la actividad de tratamiento, finalidad, categorías de interesados y datos, destinatarios, transferencias a terceros países, plazos de supresión y medidas técnicas y organizativas. Actualícelo con cada cambio.
Error 5: Tratamiento inadecuado de datos de empleados
El tratamiento de datos de empleados está sujeto a estrictos requisitos conforme al § 26 BDSG. Los errores frecuentes incluyen el uso privado de aplicaciones de mensajería para la comunicación profesional, la vigilancia ilícita del correo electrónico o la falta de consentimiento para fotos de empleados en el sitio web.
Solución: Elabore una directiva interna sobre el tratamiento de datos en la relación laboral. Regule claramente el uso de los sistemas informáticos y obtenga consentimientos válidos para los tratamientos no necesarios.
Error 6: Ausencia de evaluación de impacto en la protección de datos (EIPD)
Una EIPD conforme al art. 35 RGPD es obligatoria para los tratamientos que presenten un alto riesgo para los derechos y libertades de las personas físicas. Las autoridades de control han publicado listas positivas que identifican tratamientos concretos para los que debe realizarse una EIPD.
Solución: Compruebe en la lista positiva de su autoridad de control competente si se requiere una EIPD para sus actividades de tratamiento. Esto es habitual en casos de videovigilancia, procedimientos de scoring o elaboración de perfiles a gran escala.
Error 7: Transferencias de datos ilícitas a terceros países
La transferencia de datos personales a países fuera del EEE requiere medidas de protección especiales. Tras la sentencia "Schrems II" y el EU-US Data Privacy Framework, persisten incertidumbres considerables, especialmente en relación con el uso de servicios cloud estadounidenses.
Solución: Documente la base jurídica de cada transferencia a terceros países. Utilice las cláusulas contractuales tipo de la UE en su versión vigente y realice una evaluación de impacto de la transferencia (TIA) para cada transferencia.
Error 8: Medidas técnicas y organizativas (MTO) insuficientes
El art. 32 RGPD obliga a implementar MTO adecuadas. Muchas empresas carecen de una política de seguridad informática documentada, utilizan contraseñas inseguras o no cifran los datos sensibles.
Solución: Documente sus MTO de forma exhaustiva y actualice la documentación periódicamente. Los requisitos mínimos incluyen: control de acceso físico y lógico, cifrado, seudonimización cuando sea posible, copias de seguridad periódicas y un concepto de autorización.
Error 9: Inexistencia de procedimiento para violaciones de datos
Conforme al art. 33 RGPD, las violaciones de datos deben notificarse a la autoridad de control en un plazo de 72 horas. Muchas empresas no disponen ni de un sistema de detección ni de un procedimiento de notificación definido.
Solución: Establezca un plan de respuesta ante violaciones de datos. Defina quién debe ser informado internamente, quién realiza la notificación a la autoridad de control y cómo se informa a los afectados conforme al art. 34 RGPD. Practique el proceso al menos una vez al año.
Error 10: Incumplimiento de plazos de conservación y supresión
El RGPD exige la supresión de datos personales una vez que la finalidad del tratamiento haya cesado (art. 17 RGPD). Al mismo tiempo, existen obligaciones legales de conservación, por ejemplo conforme al HGB y la AO. Esta tensión es una fuente frecuente de errores.
Solución: Elabore un concepto de supresión que tenga en cuenta todos los plazos de conservación relevantes. Implemente rutinas de supresión automatizadas en sus sistemas informáticos y documente los procesos de supresión.
Error 11: Falta de respuesta a las solicitudes de los interesados
Las solicitudes conforme a los art. 15-22 RGPD (acceso, rectificación, supresión, portabilidad) deben ser respondidas en el plazo de un mes. Muchas empresas carecen de un proceso definido e incumplen los plazos.
Solución: Establezca un proceso estandarizado para la gestión de solicitudes de los interesados. Prepare plantillas de respuesta y forme a sus empleados en la identificación y transmisión de dichas solicitudes.
Error 12: Delegado de protección de datos ausente o no cualificado
Las empresas con al menos 20 personas dedicadas de forma permanente al tratamiento automatizado de datos deben designar un delegado de protección de datos (DPD) conforme al § 38 BDSG. El DPD debe poseer la cualificación necesaria.
Solución: Verifique si su empresa está sujeta a la obligación de designación. Evalúe si un DPD interno o externo es más adecuado para su situación. Asegúrese de que el DPD dispone de la independencia y los recursos necesarios.
Error 13: Protección de datos desatendida en acciones de marketing
El marketing por correo electrónico sin consentimiento válido (doble opt-in), el seguimiento ilícito o la compra de listas de direcciones siguen siendo infracciones extendidas.
Solución: Implemente un procedimiento de doble opt-in conforme a la normativa para newsletters. Documente todos los consentimientos de forma auditable y ofrezca un mecanismo de baja sencillo.
Error 14: Ausencia de formación en protección de datos para empleados
Las mejores medidas técnicas son de poca utilidad si sus empleados no están sensibilizados. Los correos electrónicos mal dirigidos, las contraseñas inseguras y los ataques de ingeniería social son causas frecuentes de violaciones de datos.
Solución: Realice formaciones obligatorias en protección de datos al menos una vez al año. Complételas con información periódica sobre amenazas actuales y nuevos requisitos.
Error 15: Protección de datos no considerada en proyectos (Privacy by Design)
El art. 25 RGPD exige la protección de datos desde el diseño y por defecto. Los nuevos sistemas informáticos, aplicaciones o procesos deben diseñarse de forma conforme a la protección de datos desde el principio.
Solución: Integre una revisión de protección de datos en su proceso de planificación de proyectos. Involucre a su DPD desde el inicio en los nuevos proyectos y documente las decisiones adoptadas en materia de protección de datos.
Evaluar de forma realista los riesgos de sanción
El RGPD permite multas de hasta 20 millones de euros o el cuatro por ciento de la facturación anual mundial. En la práctica, las autoridades de control gradúan las multas según la gravedad de la infracción:
- Multas bajas (1.000-50.000 euros): Infracciones formales como la ausencia de registro o políticas de privacidad incompletas.
- Multas medias (50.000-500.000 euros): Ausencia de AVV, MTO insuficientes o notificaciones tardías.
- Multas elevadas (a partir de 500.000 euros): Infracciones sistemáticas, transferencias de datos ilícitas o incumplimiento de resoluciones de la autoridad de control.
Conclusión: la protección de datos como ventaja competitiva
La conformidad con el RGPD no es un ejercicio puntual, sino un proceso continuo que debe integrarse en la cultura empresarial. Las empresas que se toman en serio la protección de datos se benefician de una mayor confianza de sus clientes, menores riesgos de responsabilidad y una auténtica ventaja competitiva.
El equipo de compleneo le apoya en la revisión sistemática y la optimización de sus medidas de protección de datos. Ya se trate de un análisis de brechas, la implementación de un sistema de gestión de protección de datos o la formación de sus empleados, le acompañamos de forma práctica y orientada a soluciones.
