Las sanciones RGPD que puede recibir tu web hoy mismo

por Marina Brocca

6 de octubre del 2022

Éste es un post de Marina Brocca, autora del blog marinabrocca.com. Marina es también especialista en protección de datos y asesora a empresas en el marco legal del marketing y social media, además de ponente y formadora.

Pensar que una web pueda ser sancionada por incumplimiento del RGPD parece parte de la mitología popular. Pero te aseguro que no lo es.

Han pasado dos años desde la entrada en vigor del Reglamento General de Protección de Datos o RGPD, muchos parecen haberse olvidado del RGPD, pero el RGPD desde luego, no se ha olvidado de nosotros, y las sanciones a páginas webs, no han parado de crecer, aunque no las veas.

Hoy vas a descubrir los errores que pueden comprometer tu web y tu reputación si te mantienes al margen del RGPD y las sanciones que la Agencia Española de Protección de Datos (AEPD) está imponiendo a webs como la tuya.

También vas a aprender cómo puedes evitar recibir una esas cartas que nunca desearías recibir.

¿Qué encontrarás aquí?

¿Puedes aplazar la legalidad de tu web?
¿Van a sancionar a una web normalita como la mía?
¿Cómo puede mi web recibir una sanción por incumplimiento RGPD?
La carta que nunca desearías recibir (pero que podrías recibir en cualquier momento)
Al margen de la legalidad: el precio de no cumplir
¿Cómo adaptar tu web y evitar estas sanciones de forma sencilla?

¿Puedes aplazar la legalidad de tu web?

Que tu web cumpla con las exigencias normativas puede esperar.

Eso crees.

Y es que éste es uno de esos temas en los que prefieres no pensar, que vas dejando para otro día, que esperas que se resuelvan solos, por ciencia infusa. Uno de esos temas destinados a la caja de las tareas de las que no quieres ocuparte ni preocuparte.

Lo sé, porque las cuestiones de cumplimiento dan pereza y a simple vista, poca recompensa, así que lo dejamos para un día tonto, si llega.

Y esto es mucho más acusado en entornos digitales en dónde las prioridades son otras: tener visibilidad, posicionar, conseguir leads, convertir, pero por encima de todo, está la falsa creencia de que en Internet no hay leyes, acompañada por la peligrosa sensación de impunidad que ofrece el no tener que dar la cara.

O creer que no tienes que darla.

Debes saber, que procrastinar con el cumplimiento de tu web y tus estrategias, compromete la continuidad y la supervivencia de tu negocio y de tu marca personal.

Ocurre con frecuencia, tendemos a solucionar lo urgente en detrimento de lo importante.

Y mucho más si lo importante no parece generar ventas ni rentabilidad, así que lo relegamos al final de la lista, para un rato tonto o cuándo no nos quede más remedio.

¿Te pasa?

Vas apagando fuegos y acabas sometiendo tu negocio al cortoplacismo, es decir, vas resolviendo lo inmediato y no lo que te conviene.

Asumir una cultura de responsabilidad frente al tratamiento de la información personal que recoges en tu web implica una transformación de visión de negocio que impactará en todas tus estrategias y especialmente, en tu web.

Y que debes asumir ya.

En este post no voy a contarte todos esos cambios que deberás incorporar en tu web, porque justamente no hace mucho escribí largamente sobre esto aquí, en Ciudadano 2.0, hoy toca hablar de las consecuencias de no aplicar estos cambios cuanto antes.

Aquí puedes descubrir todos esos cambios y cómo puedes adaptar tu web al RGPD:

¿Van a sancionar a una web normalita como la mía?

Lo más posible es que ni siquiera te lo hayas cuestionado:

¿Quién se ha fijar en mi web si no hago nada raro?

¿Quién va a denunciar a una web normalita como la mía?

¿Acaso pueden sancionar económicamente a una web?

Y así es como te montas tu web, tu landing page, y vas recogiendo datos de otras personas, les metes en tu funnel, les mandas nuevas campañas, los segmentas, almacenas, sin ser consciente en ningún momento de que cada uno de esos datos está sujeto a varios derechos que desconoces y que incumples.

Asi vas haciendo todas estas cosas ignorando completamente como tu propia web y tus propias campañas te están delatando como infractor.

Y ser infractor significa poder ser sancionado.

¿Tienes una web ilegal?

Todas las webs deben cumplir la Ley de Protección de Datos.

¿La tuya lo hace o te estás exponiendo a sanciones...?

Averígualo aquí 100% gratis

¿Cómo puede mi web recibir una sanción por incumplimiento RGPD?

Fácil, un usuario entra un web, identifica que no cumple, hace unas capturas y las envía a la sede electrónica de denuncias telemáticas de la AEPD.

Sólo tiene que rellenar un formulario y adjuntar sus capturas.

sede electronica aepd — El formulario de reclamaciones de la Agencia Española de Protección de Datos.

La agencia recibe la denuncia, comienza las actuaciones previas de investigación para el esclarecimiento de los hechos denunciados, y resuelve, puede archivar, apercibir o sancionar, el caso es que si al verificar la página web, está no cumple, la agencia se limita a emitir una resolución como las que verás a continuación.

La carta que nunca desearías recibir (pero que podrías recibir en cualquier momento)

No, no se trata de meterte el miedo en el cuerpo, se trata de que asumas el deber de cumplimiento de tu web.

He decidido que para que algo deje de ser parte de la fantasía o de la ciencia ficción, lo mejor es hacerlo real.

Y por eso me he dedicado a extraer algunas cartas, enviadas por la AEPD, de sanciones reales a webs tan normalitas como la tuya o como la mía para que podamos analizarlas y ver que errores se cometieron en cada caso y ayudarte a evitar que tú también los cometas.

Son sólo 5 ejemplos, de los más típicos , sólo para que puedas ponerle cara a las sanciones.

Estas sanciones son públicas, las publica la propia agencia en su página oficial y las puedes consultar en este enlace.

pagina-sanciones-aepd — La página de sanciones de la Agencia Española de Protección de Datos.

Yo he realizado un filtrado de las sanciones aplicadas a páginas webs, esas que pensamos que no existen y que son un mito popular y voy a explicarte cómo y porqué acabaron en un expediente sancionador.

Sanción 1: no poseer política de privacidad ni especificar el tratamiento que se realizará en el formulario de contacto

sancion-politica-privacidad — Primer ejemplo de sanción.

Aquí tienes el enlace completo a la resolución

Pero, en resumen, la agencia estable lo siguiente:

“El reclamado ha vulnerado la normativa sobre protección de datos materializado en la inapropiada y defectuosa configuración de la página web en lo relativo a la información ofrecida en materia de protección de datos de aquellas personas accedían y se registraban en la misma, tal como señala el reclamante, careciendo de política de privacidad y aviso legal.

Además, la página web XXXXXXXX, contenía formulario para la recogida de datos de los usuarios, sin hacer referencia alguna al cumplimiento de lo establecido de conformidad con lo señalado en el artículo 13 del RGPD anteriormente citado, en el sentido de determinar la identidad del responsable, los fines a los que se destinaran los datos y los derechos que el interesado puede ejercitar ante el responsable, etc.

Los hechos expuestos son constitutivos de una infracción imputable al reclamado, por vulneración del artículo 13 del RGPD.”

Sanción 2: no recoger el consentimiento previo en los formularios

formularios-sin-consentimiento — Segundo ejemplo de sanción.

Aquí el enlace completo a la resolución

Sanción 3: no poseer política de privacidad, no identificar al responsable en el aviso legal y no aportar información en los formularios

En este caso, la AEPD, al inspeccionar la web se constata que:

No consta la existencia de una política de privacidad.
No consta la identificación del responsable.
Se permite la creación de cuentas de usuario donde, entre otros, se recogen los datos de nombre, apellidos, dirección de correo electrónico y contraseña, así como se da la opción de marcar “Recibir ofertas de nuestros socios” y “Suscribirse a nuestro boletín de noticias”.
Existe un formulario de contacto donde se introducen los datos de correo electrónico y el mensaje.
Existe información de contacto siendo ésta exclusivamente una dirección postal, un teléfono de contacto y un correo electrónico de contacto.

sancion-web-rgpd — Tercer ejemplo de sanción.

Aquí tienes la resolución completa

En este caso, la AEPD concluye que:

“Se tiene en cuenta que el reclamado recoge datos personales de los usuarios que cumplimentan el formulario incluido en el sitio web ***WEB.1 sin proporcionarles, con carácter previo a su recogida, toda la información en materia de protección de datos prevista en el artículo 13 del reseñado RGPD.

De conformidad con las evidencias de las que se dispone en el presente momento de acuerdo de inicio del procedimiento sancionador, y sin perjuicio de lo que resulte de la instrucción, los hechos expuestos podrían constituir, por parte del reclamado, una infracción a lo dispuesto en el artículo 13 del RGPD.", en este caso, impone a la empresa una sanción de 1500€.

Sanción 4: carecer de Política de Cookies y su correspondiente pestaña emergente informativa y no identificar al responsable

sancion-aepd-politica-cookies — Cuarto ejemplo de sanción.

Aquí la resolución completa

Que verifica la AEPD:

Consultada la página web reclamada, con fecha ***FECHA.1, se observa que, el sitio web no dispone de aviso sobre la instalación de cookies ni política sobre ellas, aunque instala una cookie con el contenido de la cesta de la compra en el equipo del visitante. No dispone de “aviso legal” y no se puede identificar al responsable de la página web ni al responsable del tratamiento de datos por carecer de información al respecto.

Sanción 5: no incluir enlace a la política de privacidad en el formulario de venta

politica-privacidad-formularios — Quinto ejemplo de sanción.

Que verifica la AEPD:

Consultada la página web XXXXXXX , con fecha 21/10/19, se observa que se observa que para realizar un pedido de los productos que publicita, se debe introducir los datos personales del interesado, careciendo de cualquier tipo de banner o link a la “política de privacidad” de la página.

El procedimiento completo

Al margen de la legalidad: el precio de no cumplir

La cuestión es muy sencilla, si la materia prima de tu negocio, en este caso tu web, son los datos personales, no sabes gestionarlos adecuadamente es un despropósito.

Ser un profesional digital implica que seas necesariamente, un profesional en la gestión de la información personal y esto no admite mucha más argumentación. Es así de simple.

Pero, además, es una enorme oportunidad para escalar tu negocio y para romper las posiciones de tu competencia.

Si no apuestas por transformar tu web y tus estrategias para adaptarlos a la legalidad, estarás estrangulando tus posibilidades de crecimiento y les das una oportunidad de ventaja a tus competidores más conscientes de esta necesidad.

Debes cambiar el chip y asumir que internet no es el reino de la anarquía, que las personas que te confían su información merecen garantías, merecen transparencia, maceren que sus derechos se respeten.

Y tú mereces que tu web se perciba como un espacio seguro y profesional y, por tanto, debes afrontar esos cambios internos que te permitan hacer frente a los nuevos desafíos de la demanda, la tecnología o la legislación.

En la sociedad de la información, la reputación es un favor imprescindible, estar al margen de las adecuaciones que requiere la actual legislación en cuanto a protección de datos es apostar por tu marca, conseguir que se diferencie, socializar tu prestigio ofreciendo excelencia y profesionalidad.

Y, por último, si quieres conseguir sobrevivir en la sociedad de la información, no tendrás más remedio que asumir que la protección de datos debe ser una urgencia y una decisión impostergable.

¿Cómo adaptar tu web y evitar estas sanciones de forma sencilla?

En primer lugar, realiza una auto-evaluación gratuita con esta herramienta:

¿Tienes una web ilegal?

Todas las webs deben cumplir la Ley de Protección de Datos.

¿La tuya lo hace o te estás exponiendo a sanciones...?

Averígualo aquí 100% gratis

Lo más urgente lo puedes abordar inmediatamente con estas plantillas gratuitas:

Y para que puedas dormir realmente bien, puedes adquirir los kits legales y hacer la adecuación completa de tu web con mis plantillas.

Debes escoger el Kit que se mejor se adapte a tu web y seguir 3 pasos muy sencillos:

Descargas el Kit y rellenas los datos que te pide cada plantilla. Las plantillas son modulares, te permiten incorporar los módulos que realmente necesitas y descartar los que no.
Sigue la Guía de implantación para saber cómo insertar las plantillas en tu web.
Realizas la autoevaluación final para saber que todo está correcto o me contactas para que te realice una auditoría de cumplimiento (esto es un servicio adicional que puedes contratar con las plantillas).

Y con esto ya puedes disfrutar de tener una web 100% legal y libre de sanciones 🙂

10 comentarios en «Las sanciones RGPD que puede recibir tu web hoy mismo»

Felipe

10 de febrero del 2022 a las 21:33

Buenas noches.

¿Hay algún plugin ya sea gratuito o de pago que cumpla con la ley y bloquee las cookies hasta que sean aceptadas? Porque yo tengo uno informativo y por lo visto no cumple con la ley. Gracias por adelantado. Muy buen artículo Marina.
Responder
- Berto López
  
  12 de febrero del 2022 a las 11:28
  
  Hola Felipe,
  
  Hay muchos que puedes evaluar. En esta web usamos GDPR Cookie Consent de Web Toffee:
  
  https://es.wordpress.org/plugins/cookie-law-info/
  
  Cambiamos el anterior porque ralentizaba casi un segunda la carga de las páginas.
  
  Cuidado también con este aspecto de los plugins ya que Google tiene bastante en cuenta la carga de las páginas.
  
  No obstante, quizás Marina te recomiende otra alternativa.
  
  ¡Un saludo!
  Berto
  Responder
- Marina Brocca
  
  12 de febrero del 2022 a las 11:55
  
  Hola Felipe,
  El que te recomienda Berto es una gran opción, también tienes GDPR cookie compliance, como alternativa gratuita y que cumple con todo lo exigido en gestión de cookies por el RGPD.
  
  Un abrazo
  Responder
dafne

6 de julio del 2021 a las 9:44

Hola, el artículo parece interesante, pero, en el cuarto caso la resolución dice que carece de política de cookies, y no dice nada acerca de que tenga que haber una ventana emergente obligatoria informando de las cookies. Esto de la ventana emergente, ¿es optativo u obligatorio?

Y en el caso de los embudos de venta, si al final del embudo hay un enlace para las cookies, privacidad y demás, ¿estaría bien así o es necesario incluso en los embudos añadir una ventana emergente acerca de las cookies?

Saludos.
Responder
- Marina Brocca
  
  9 de julio del 2021 a las 11:36
  
  Hola Dafne,
  
  Los banner de advertencias de cookies son obligatorios en landing y páginas webs, siempre que se utilicen cookies de rastreo, analíticas o publicitarias, y recuerda que no vale con advertir, las cookies deben estar suspendidas o bloqueadas hasta que el usuario preste su consentimiento expreso, por tanto, no se podrá descargar ninguna cookie de terceros que no sean funcionales o necesarias sin informar previamente y requerir el consentimiento.
  Responder
alejandro canosa

20 de octubre del 2020 a las 15:21

muy buen articulo la verdad,yo suelo utilizar en mis paginas el plugin adapta rgpd ,es un plugin gratuito y maravilloso que permite crear tu aviso legal,política de cookies y política de privacidad automáticamente sin hacer nada con clausulas dependiendo si utilizas el programa de afiliados de amazon,los servicio mailchimp,google analytics ,facebook analytics,Google AdSense ,mailpot y muchos mas.
Te permite configurar el tipo de aviso de cookies y ademas te permite cumplir con la LOPD en todos los formularios que tenga tu pagina
Para mi es imprescindible si utilizas wordpress para crear tu negocio
Responder
- Lucía Berlanga
  
  23 de octubre del 2020 a las 16:39
  
  Me alegro de que te haya sido útil 🙂
  
  ¡Un saludo!
  Lucía
  Responder
- Marina Brocca
  
  9 de julio del 2021 a las 12:11
  
  El problema es que ese plugin no resuelve correctamente el tema de cookies, la forma de informar y los sistemas de suspensión de carga no funcionan como exige la regulación.
  Responder
Jaime

21 de abril del 2020 a las 10:27

Buenos días Marina y Berto.
Os felicito por este artículo y otros más sobre el mismo asunto.
Acabo de poner en marcha mi blog aprendeAopositar y me parece que la protección de datos personales es un tema demasiado sensible para dejarlo a un lado. No ya solo por las posibles sanciones, que son dolorosas, sino también por necesidad de dar plena seguridad a todas nuestras actuaciones en la red. Y para generar seguridad lo mejor es ser muy transparentes.
Un saludo
Jaime
Responder
- Marina Brocca
  
  21 de abril del 2020 a las 17:34
  
  ¡Hola Jaime!
  
  Muchísimas gracias por comentar y por esa visión tan responsable y esperanzadora que tienes acerca de la importancia de una cultura de cumplimiento y valores en un negocio digital, insisto siempre que cumplir no es cuestión de miedo, es cuestión de responsabilidad y respeto por nuestra audiencia, pero a veces hay que enseñar esta otra parte, porque al parecer es la que mejor se entiende, aunque no sea la más importante.
  
  Un abrazo
  Responder

Deja un comentario Cancelar la respuesta

Al rellenar el formulario estás dando el consentimiento expreso al tratamiento de tus datos (guardar tu comentario y datos del formulario en el blog) conforme al Reglamento General de Protección de Datos (RGPD).

El responsable de este sitio es Wenova Online S.L.. La finalidad de este formulario es la divulgación en marketing online y emprendimiento, legitimado con tu consentimiento expreso.

El destinatario de tus datos es Webempresa (el hosting de este blog, ubicado en España) y podrás ejercer tus derechos de acceso, rectificación, limitación o supresión de tus datos (ver la política de privacidad).

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.