La aplicación inadecuada del RGPD, ya sea por copiar políticas sin adaptarlas al contexto específico de la empresa o por no comprender plenamente las obligaciones legales, puede resultar en sanciones significativas para las empresas, porque pone en jaque los datos de sus usuarios.
Casos reales que evidencian errores al aplicar el RGPD
Un toque de atención. KFC España fue sancionada en 2023 con una multa de 25.000 euros por no tener nombrado un Delegado de Protección de Datos y por la falta de información en la política de privacidad. Y todo comenzó con un toque de atención por parte de una consumidora que detectó ciertas irregularidades en la web de la sucursal española de la cadena de restaurantes de comida rápida y presentó una queja ante la Agencia Española de Protección de Datos (AEP). Según esta usuaria, el restaurante no seguía las directrices del Reglamento de Protección de datos (RGPD) porque su política de privacidad presentaba una información genérica y ambigua sobre el tratamiento de los datos personales y, además, el enlace redirigía a información estadounidense y no a la europea.
242 multas en un año: ¿están las empresas preparadas?
Este es sólo un ejemplo de todas las sanciones que la AEP ha impuesto desde que entrara en vigor el nuevo RGPD en mayo de 2018. Sólo el año pasado, la Agencia Española de Protección de datos aplicó 242 multas que sumaron 27 millones de euros. Y las grandes compañías no fueron las únicas afectadas.
Este tipo de infracciones no castiga únicamente a grandes empresas. Cualquier negocio, sea del tamaño que sea, entidad sin ánimo de lucro o administración está obligado a cumplir con el Reglamento de Protección de Datos, porque trata información personal de terceros y es su deber protegerla y evitar que caigan en malas manos que puedan poner en riesgo la seguridad y privacidad de esos usuarios. Sin embargo, maltratar e infravalorar el RGPD es una práctica que lleva haciéndose desde siempre. Muchas organizaciones consideran este texto legal como algo superfluo que no lee nadie y tiran de picardía usando plantillas genéricas o copiando directamente los términos de seguridad de otra página.
Te puede interesar: Razones por las que las empresas deben cuidar el RGPD
Riesgos de seguridad para los usuarios
Esta falta de compromiso con los datos de sus usuarios abre una brecha en su seguridad. “Sin ir más lejos, cuando una empresa no aplica las medidas de seguridad que afirma tener en su Política de Privacidad (porque la copió de otra página o utilizó alguna plantilla genérica), los datos de los usuarios pueden estar en peligro ante hackeos, filtraciones o robos”, advierte Hervé Lambert, Global Consumer Operations Manager en Panda Security. Así, los datos pueden ser interceptados o manipulados cuando las acciones anunciadas en la política de privacidad (cifrado, firewalls, pseudonimización), no existen en la práctica.
Cuando las medidas prometidas en el texto legal no se materializan la página corre el riesgo de sufrir ataques como man-in-the-middle, inyección SQL o cross-site scripting (XSS) con mayor facilidad, y pierden trazabilidad en los sistemas de alerta temprana frente a intrusiones.
Cuando los datos de los usuarios se filtran debido a medidas insuficientes o inexistentes, pueden ser utilizados para crear cuentas falsas en bancos, redes sociales, plataformas de trading, etc. En ausencia de medidas reales, un atacante puede cruzar información parcial con bases de datos filtradas y reidentificar usuarios. Lo que pone en peligro datos especialmente sensibles como los que tienen que ver con la salud, orientación sexual, financieros…
Si no existen los procesos que se mencionan en la política de datos, la organización no puede responder adecuadamente a una brecha de seguridad. No puede notificar a la AEP ni a los usuarios en 72 horas como exige el reglamento. Y se agrava el daño para el usuario y multiplica la exposición legal para la empresa.
Cómo debe actuar el usuario
Por eso es tan importante que, cuando un usuario se da cuenta de que la política de privacidad de la página en la que está navegando no es 100% fiable o redirige a un reglamento distinto al RGPD, tome cartas en el asunto.
De ahí que siempre sea básico analizar la política antes de aceptarla. Y, en caso de que salten las alarmas, recopilar evidencias y guardar capturas de pantalla. O descargar el texto para verificar si existen o no incongruencias claras. A partir de ahí, y si hay fallos garrafales como promesas técnicas irreales o falta de apartados obligatorios. Puede ejercer su derecho a la información clara y contactar directamente con la empresa para que le resuelvan las dudas. Si ni así se aclaran los malentendidos o la empresa hace oídos sordos a las reclamaciones, el usuario puede presentar una reclamación ante la AEP. Adjuntando las evidencias que compiló en su análisis previo.
“También es importante saber que el usuario siempre tiene derecho a solicitar a la página el acceso a sus datos y saber cómo se están tratando; pedir la rectificación o supresión si detecta errores o tratamiento ilegítimo; y oponerse al tratamiento si no está justificado legalmente”, señala Lambert.
Si la política de privacidad promete una seguridad inexistente, vulnera el reglamento ético y legal. Y pone en riesgo la protección real de los usuarios. Porque no debemos olvidar que el RGPD exige demostrar coherencia entre lo que se dice y lo que se hace.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
También te puede interesar
Panda Antivirus Gratis
Soporte Técnico GRATUITO
