Saltar al contenido

9 multas claras por errores de RGPD en webs en España

  • Josep 

En 2018, la UE metió las reglas más estrictas del mundo sobre consentimiento de usuarios.

Unas cuantas cosas cambiaron:

  • Nada de banners con casillas premarcadas. Fuera.
  • No cumplir puede costarte hasta 20 millones de euros o el 4% de tus ingresos. Ouch.
  • Si tienes un negocio en España, toca actualizar políticas de cookies y privacidad. Quieras o no.

Al principio pensé, bah, esto solo va a pillar a las grandes que la lían con datos sensibles. Tipo bancos. Hackeos gordos. Lo típico. Y sí, en 2024 la AEPD le metió una multa de 600.000 pavos a una financiera por no tener doble autenticación en préstamos. Unos hackers se hicieron pasar por 139 personas y les sacaron pasta.

Vale, eso tiene sentido. Pero…

No pensé que los pequeños negocios iban a ser objetivo. Es que me ponía enfermo abrir un email con una frase y veinte párrafos de avisos legales.

Hasta que un día, un cliente me suelta:

«Josep (bueno, no me llamo así), ¿por qué no tienes un aviso legal en los correos? Conozco un bufete en Sitges al que le cayó una multa por eso».

¿Qué me estás contando?

Así que me puse a investigar.

27 millones en multas en 2024 – ¿pero qué pasa con los pequeños?

Cinco Días dice que la AEPD soltó 242 multas el año pasado, sumando 27 millonazos. Pero, ¿cuánto de eso fue a pequeños negocios?

Pues al menos 12,8 millones fueron por fallos de ciberseguridad, con sanciones como:

  • 5 millones a Enérgya-VM por no prevenir fraudes con datos personales.
  • 1,2 millones a CaixaBank por obligar a clientes a dar info a la TGSS sin opción a negarse.

También hubo:

  • 46 multas por errores en gestión de datos de clientes
  • 41 por cámaras y grabaciones mal usadas
  • 36 por cosas chungas en servicios de internet
  • 21 por movidas de marketing en emails, webs y móviles

Según un tal Bartolomé Martín, experto en ciberseguridad, la AEPD ahora va a saco con el «marketing digital» y el «consentimiento de cookies».

¿Solo 21 multas? Parece poco. Pero…

Me puse a rascar más.

9 multas claras por RGPD en webs españolas

  1. Bazardelalegion – 3.000€ por no decir quién está detrás y no explicar qué hacen con los datos.
    Se hacían pasar por una tienda oficial de las Fuerzas Armadas. Nada claro quién gestionaba los datos ni qué derechos tenías. Si tienes un negocio online, ojo, porque te puede caer lo mismo.
  2. KFC – 25.000€ por no tener delegado de protección de datos y una política de privacidad cutre.
    Una clienta se quejó porque la web mandaba a una política de privacidad yankee en vez de cumplir con la europea. Ah, y te obligaban a aceptar ofertas para registrarte. Error.
  3. Hotel – 30.000€ por escanear pasaportes sin justificación.
    Dijeron que era por seguridad y para recuperar tarjetas de habitaciones perdidas. La AEPD dijo que no figuraba en su política de privacidad. Si tu negocio pide datos porque sí, cuidado.
  4. Iberia – 30.000€ por no dejar rechazar cookies.
    Básicamente, si no aceptabas, no podías navegar. Clásico truco sucio. Ahora ya sabes que no vale.
  5. SEAT – 12.000€ por no dejar borrar cookies ya aceptadas.
    La AEPD pilló que, una vez que dabas “sí” a las cookies, no había marcha atrás. Ni opción de revocarlas. Nada. Error de manual. Las webs tienen que dar control total al usuario sobre sus datos. Aprended, gente.
  6. Colegio Montessori – 3.000€ porque su web ni avisaba de cookies.
    Entrabas en su web y ni un cartelito de cookies, ni opción de configurarlas. Nada. Como si estuviéramos en 2005. La AEPD no se lo pensó dos veces. Multa al canto. Un aviso para cualquier negocio, grande o pequeño: las reglas aplican para todos.
  7. Massimo Dutti – 5.000€ por no dejar rechazar cookies no esenciales ni revocar consentimiento.
    O las aceptabas todas, o nada. No había botón de rechazo visible. Y si las aceptabas por error, ya no podías echarte atrás. Vamos, que básicamente te atrapaban. La AEPD vio el truco y… toma multa.
  8. Agencia de marketing – 10.000€ por redirigir su política de privacidad a otra web.
    En su web había formularios para meter datos, pero el aviso legal no tenía ni pies ni cabeza. Pinchabas en la política de privacidad y te mandaba a otra empresa. Chapuza de nivel épico. La AEPD no tuvo piedad.
  9. La Vanguardia – 10.000€ por soltar cookies sin permiso y no dejar quitarlas.
    Aunque dijeras que no querías cookies, su web seguía soltándolas. Y luego, si querías cambiarlas… sorpresa, no podías. La AEPD investigó, confirmó el desastre y zas, multazo.

¿Deberían preocuparse los pequeños negocios?

No soy abogado. No quiero líos. Investiga antes de hacer (o no hacer) cambios en tu web.

La verdad, estas multas me sorprendieron.

Busqué en Google y boom, ahí estaban.

Tengo clientes que podrían recibir una de estas. Algunos ni tienen banner de cookies. Otros lo tienen, pero no bloquea nada.

(Y por cosas como esta, escribo con un nombre falso.)

Pero también…

Hablamos de 21 multas entre 6 millones de negocios, pymes y autónomos. La probabilidad de que te toque es ridícula.

Y la mayoría de las sancionadas no son pymes.

Entonces, ¿estamos a salvo?

Bueno… casi todas las multas vinieron de dos cosas:

  1. Alguien los denunció.
  2. Una brecha de datos que llevó a una denuncia.

Si manejas datos que pueden usarse para fraude o tienes competencia con abogados de sobra, mejor cúbrete las espaldas.

Para el resto…

Podrías no hacer nada y salirte con la tuya. Fácil.

Pero después de escribir esto, estoy más cagado de lo que estaba.

Voy a mirar esto con más calma en futuros posts.

Así que atento.

NOTA: No soy abogado. No tomes esto como consejo legal. Infórmate por tu cuenta.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *