Logotipo Servicios Integrales Para Pymes
Cita online

5 fallos que pueden acabar en sanción de la AEPD

Ejemplos claros y cotidianos

Cumplir con protección de datos en España no consiste solo en tener una política de privacidad en la web o un cartel de videovigilancia en la entrada. En la práctica, muchas sanciones y apercibimientos llegan por errores muy cotidianos: pedir más datos de los necesarios, enviar un correo sin copia oculta, usar cámaras sin informar bien o responder tarde a una incidencia de seguridad.

La base jurídica general está en el RGPD, especialmente en los principios de licitud, lealtad y transparencia, minimización de datos, limitación de la finalidad, exactitud, integridad y confidencialidad, así como en la responsabilidad proactiva. En España, la LOPDGDD concreta además cuestiones como la videovigilancia y el régimen sancionador.

1) Informar mal o informar tarde: formularios, webs y carteles incompletos

Uno de los errores más frecuentes es recoger datos personales sin facilitar una información clara, comprensible y completa. Pasa en formularios de contacto, presupuestos online, suscripciones, procesos de selección, currículums enviados por email o incluso en cámaras de videovigilancia con carteles insuficientes.

Un ejemplo cotidiano: una empresa pide nombre, teléfono y correo para “contactar”, pero no explica quién es el responsable, para qué usa realmente los datos, cuánto tiempo los conservará, si habrá cesiones, cuál es la base jurídica o cómo ejercer derechos. Otro ejemplo: un negocio pone un cartel de cámara, pero no identifica adecuadamente al responsable ni informa sobre el modo de ejercer derechos.

Riesgo real: la persona no sabe qué se hace con sus datos y pierde control sobre ellos. Además, el tratamiento se vuelve opaco, algo especialmente problemático cuando después hay comunicaciones comerciales, perfilados o cesiones a terceros.

Beneficio de hacerlo bien: aumenta la confianza, reduce reclamaciones y mejora la trazabilidad interna del tratamiento.

Base de legitimación habitual: ejecución de medidas precontractuales o contractuales, interés legítimo bien ponderado, obligación legal o consentimiento, según el caso. No vale mezclar finalidades con una única cláusula genérica.

¿Hace falta EIPD? No por regla general. Solo si ese tratamiento, por su naturaleza, alcance, contexto o fines, entraña alto riesgo, por ejemplo si hay seguimiento sistemático intenso, cruce de bases de datos, tecnologías invasivas o categorías especiales a gran escala.

Medidas proporcionadas: cláusulas por capas, enlace visible a política ampliada, cartelería correcta, registro de actividades actualizado y revisión periódica de formularios.

2) Pedir copia del DNI “por si acaso”

Otro fallo muy habitual es solicitar copia del DNI o del pasaporte sin una necesidad real y específica. Se ve en hoteles, academias, comunidades, gimnasios, procesos de alta de clientes, ejercicio de derechos e incluso en trámites internos de empresa.

Ejemplo cotidiano: un negocio pide por WhatsApp una foto del DNI para enviar un presupuesto o reservar una cita. Otro: una empresa exige copia del DNI para atender un derecho de acceso, cuando podría verificar la identidad por medios menos invasivos.

Riesgo real: se capturan datos excesivos, como fotografía, número CAN, firma o información no necesaria para la finalidad concreta. Eso multiplica el impacto si hay una brecha.

Beneficio de hacerlo bien: menos exposición, menos riesgo de suplantación y mejor cumplimiento del principio de minimización.

Base de legitimación: si existe obligación legal concreta, se recogen solo los datos exigidos por esa norma. Si no existe, no se puede convertir la comodidad operativa en excusa para pedir de más.

¿Hace falta EIPD? En la mayoría de supuestos cotidianos, no. Pero si la organización implanta procesos masivos de verificación documental, digital onboarding, biometría o cruces automáticos de identidad, puede aparecer un alto riesgo que obligue a analizarlo.

Medidas proporcionadas: visualización sin copia, cotejo manual, solicitud parcial de datos, sistemas de verificación alternativos y protocolos internos para no pedir documentos enteros sin justificación.

3) Revelar datos a terceros por errores “normales”: correos, grupos y mensajería

Aquí entran muchos clásicos: enviar un email a varios clientes sin copia oculta, reenviar una cadena con datos personales, crear grupos de WhatsApp mostrando todos los teléfonos, adjuntar el archivo equivocado o responder al destinatario incorrecto.

Ejemplo cotidiano: una academia manda un recordatorio de pagos a 80 familias dejando visibles todos los correos. O una empresa crea un grupo de WhatsApp con clientes para coordinar citas, exponiendo sus números de teléfono.

Riesgo real: comunicación ilícita de datos, pérdida de confidencialidad, conflictos reputacionales y posibilidad de reclamación ante la AEPD.

Beneficio de hacerlo bien: se protege la confidencialidad y se evita convertir una gestión rutinaria en una brecha de seguridad.

Base de legitimación: aunque exista una relación contractual, eso no autoriza a revelar datos de unas personas a otras. La legitimación sirve para tratar datos, no para difundirlos indiscriminadamente.

¿Hace falta EIPD? En estos supuestos cotidianos, normalmente no. El problema aquí no suele ser de alto riesgo estructural, sino de mala configuración, ausencia de formación o falta de controles.

Medidas proporcionadas: uso de CCO por defecto, listas de distribución bien configuradas, canales alternativos en vez de grupos abiertos, doble revisión de adjuntos, política clara de mensajería corporativa y formación periódica del personal.

4) Tener una brecha de seguridad y gestionarla mal

No todas las sanciones vienen por el incidente inicial. Muchas llegan por no tener medidas adecuadas o por reaccionar mal: no documentar la brecha, no analizar riesgos, no notificar cuando procede o hacerlo fuera de plazo.

Ejemplo cotidiano: envío de nóminas a la persona equivocada, pérdida de un portátil sin cifrar, acceso indebido a historias de clientes o robo de un móvil corporativo con datos personales.

Riesgo real: fraude, suplantación, exposición económica, discriminación o daño reputacional para las personas afectadas.

Beneficio de hacerlo bien: contención temprana, menos daño y mejor defensa del cumplimiento.

Base de legitimación: aquí no hablamos tanto de base jurídica del tratamiento como de obligaciones del responsable: seguridad, responsabilidad proactiva y gestión de incidentes.

¿Hace falta EIPD? Depende del tratamiento de origen. Si el sistema ya implicaba alto riesgo, probablemente debía haberse valorado antes. Pero incluso sin EIPD obligatoria, toda organización debe hacer análisis de riesgos y aplicar medidas apropiadas.

Medidas proporcionadas: cifrado, control de accesos, copias seguras, registro de incidencias, plan de respuesta, formación, revisión de permisos y procedimiento interno de notificación.

5) Usar videovigilancia sin límites claros

La videovigilancia es un terreno clásico de reclamaciones. En España, la LOPDGDD regula expresamente los tratamientos con fines de videovigilancia.

Ejemplo cotidiano: un comercio instala cámaras apuntando parcialmente a la calle o a zonas no necesarias; un bar graba sin cartel; una empresa usa cámaras para “control total” de la plantilla sin delimitar finalidad ni acceso; una comunidad instala sistemas sin reglas claras sobre visionado y conservación.

Riesgo real: vigilancia desproporcionada, captura de terceros ajenos, afectación a la intimidad y uso secundario indebido de las imágenes.

Beneficio de hacerlo bien: mayor seguridad física sin invadir más de lo necesario.

Base de legitimación: interés legítimo o habilitación legal, según el contexto. Pero debe respetarse la proporcionalidad: no todo lo técnicamente posible es jurídicamente admisible.

¿Hace falta EIPD? Puede ser necesaria si la videovigilancia es sistemática, intensiva, a gran escala o combinada con tecnologías especialmente intrusivas. No toda cámara obliga a EIPD, pero sí exige análisis previo de necesidad y proporcionalidad.

Medidas proporcionadas: cartel visible, política interna, limitación del encuadre, accesos restringidos, plazo de conservación ajustado, contrato con proveedor si actúa como encargado y prohibición de reutilizar imágenes fuera de la finalidad legítima.

Conclusión

La mayoría de los problemas no nacen de una gran conspiración tecnológica, sino de decisiones pequeñas y mal resueltas: pedir demasiado, informar poco, compartir sin cuidado o proteger insuficientemente. La AEPD y el RGPD no exigen perfección absoluta, pero sí diligencia, proporcionalidad y responsabilidad proactiva.

Quien trata datos personales debe poder explicar qué hace, por qué lo hace, con qué base jurídica, durante cuánto tiempo y con qué salvaguardas.

Este contenido es informativo y general. Para adoptar decisiones concretas conviene revisar el sector, la finalidad, los sistemas utilizados y el riesgo real del tratamiento.

#sipylopd #SIPY #RGPD #LOPDGDD #AEPD #Privacidad #ProteccionDeDatos #Ciberseguridad

Facebook
Twitter
LinkedIn
Email
WhatsApp
Telegram
Skype
Print
Imagen de admin
admin

Boletin informativo

Suscríbete al boletín informativo para estar al día

Por favor, antes de enviar tus datos lee la política de privacidad

Últimas publicaciones