En esta guía, describo algunas de las infracciones más comunes que cometen las empresas en materia de privacidad de datos y ofrezco consejos sencillos para evitar cometer los mismos errores.
Es importante que las empresas conozcan esta información, ya que podrían estar sujetas a las siguientes leyes de protección de datos, que establecen sanciones estrictas si se incumple su normativa, ya sea de forma consciente o inconsciente.
Siga leyendo para obtener más información sobre estas infracciones comunes, por qué se producen y qué puede hacer para evitarlas. Al final, verá cómo Termly ayudarle a simplificar aún más el cumplimiento de la normativa de privacidad de datos de su empresa.
- ¿Las leyes de privacidad de datos afectan a su negocio?
- ¿Cuáles son las consecuencias de infringir las leyes de protección de datos?
- ¿Cuáles son las infracciones más comunes en materia de privacidad de datos?
- Cómo Termly las empresas a simplificar el cumplimiento de la normativa de privacidad de datos
¿Las leyes de privacidad de datos afectan a su negocio?
Si recopila datos personales de sus consumidores, es muy probable que las leyes de protección de datos afecten a su negocio.
Cada ley de protección de datos es diferente, pero puede aplicarse a usted en función de los siguientes factores:
- Dónde está ubicada su empresa,
- Dónde se encuentran tus consumidores,
- ¿Cuántos datos personales recopilas?
- El tipo de datos personales que recopila (es decir, categorías especiales de datos como datos personales sensibles, datos de menores, datos médicos, etc.).
En algunos casos, hay consideraciones adicionales, como tus ingresos brutos anuales y la cantidad de datos que compartes o vendes.
Por ejemplo, el rgpd un umbral muy amplio, que afecta a entidades pequeñas y grandes de todo el mundo, ya que se aplica a todas las entidades de la UE/EEE y a cualquier persona fuera de la UE/EEE que:
- Ofrece bienes o servicios en la región, y
- Supervisa el comportamiento en línea de las personas en la UE/EEE.
Del mismo modo, la ley estatal de California CalOPPA, encargada de regular el contenido de las políticas de privacidad, se aplica a cualquier sitio web con visitantes del estado de California.
Sin embargo, la CCPA, por otro lado, tiene en cuenta otros factores, como los ingresos anuales de una empresa y la cantidad de datos personales que recopila, a pesar de que también es una ley estatal de California (y la ley de privacidad más estricta hasta la fecha en los Estados Unidos).
Estas variaciones en los umbrales son una de las razones por las que mantenerse al día con todos los diferentes requisitos de cada ley aplicable puede parecer un trabajo a tiempo completo.
Determinar cuáles se deben seguir puede parecer un obstáculo confuso para muchas empresas.
¿Cuáles son las consecuencias de infringir las leyes de protección de datos?
Las leyes de protección de datos establecen varias obligaciones que las empresas deben cumplir, ya que, de lo contrario, una autoridad supervisora podría sancionarlas si se descubre que infringen estas normas.
El castigo depende de la ley específica, pero podría incluir multas, el cese del procesamiento de datos, posibles sanciones penales, daños a la reputación de su marca y la pérdida de la confianza de los consumidores.
La siguiente tabla enumera las principales leyes de privacidad y las sanciones por infringirlas:
| Ley | Pena máxima | Autoridad encargada de hacer cumplir la ley | Fuente oficial |
| RGPD | 20 millones de euros o el 4 % de la facturación anual global. | Autoridades de protección de datos (DPA) | Artículo 83 del rgpd |
| LGPD | 2 % de los ingresos brasileños, con un límite máximo de 50 millones de reales brasileños por infracción. | ANPD (Autoridad Nacional de Protección de Datos) | Texto oficial de la LGPD |
| CCPA | 2500 $ por infracción (no intencionada), 7500 $ por infracción (intencionada/menores) | Fiscal General de California | Código Civil de California, artículo 1798.155 |
| Ley de Privacidad de Colorado | Hasta 20 000 dólares por infracción. | Fiscal General de Colorado y fiscales de distrito | Código Revisado de Colorado, §§6-1-1301–1314 |
| Ley de Protección de Datos de Connecticut | Hasta 5.000 dólares por infracción dolosa | Fiscal General de Connecticut | Código General de Connecticut, §42-515 y siguientes. |
| CDPA de Virginia | Hasta 7.500 dólares por infracción | Fiscal General de Virginia | Código de Virginia, capítulo 53 |
| PIPEDA | Hasta 100 000 dólares canadienses por infracción. | Oficina del Comisionado de Privacidad y Tribunal Federal | Texto completo de la PIPEDA |
| Ley australiana de protección de la intimidad de 1988 | Hasta 50 millones de dólares australianos o el 30 % del volumen de negocios. | OAIC (Oficina del Comisionado de Información de Australia) | Ley de Protección de la Intimidad de 1988 |
| POPIA de Sudáfrica | Hasta 10 millones de rands sudafricanos o 10 años de prisión. | Regulador de la información | Texto oficial de la POPIA |
¿Cuáles son las infracciones más comunes en materia de privacidad de datos?
Ahora que hemos visto qué leyes pueden afectar a su negocio y por qué es importante cumplir las normas que establecen, veamos cuáles son las infracciones más comunes que cometen las empresas en materia de privacidad de datos, para que pueda evitarlas más fácilmente.
1. Base jurídica insuficiente para el tratamiento de datos
Según el rgpd Tracker, la infracción más común entre las entidades sujetas al rgpd es la «base jurídica insuficiente para el tratamiento de datos».
Con 785 multas por un total de alrededor de 3000 millones de euros (3500 millones de dólares), es la infracción más grave tanto por la cuantía de las multas como por su número.
¿Por qué ocurre esto?
Según el rgpd, existen seis bases legales para el tratamiento de datos, y corresponde a la empresa demostrar adecuadamente que su razonamiento se ajusta a las directrices específicas.
Por lo general, esta información se incluye en la política de privacidad (o aviso de privacidad) de las entidades.
Si falta en la notificación, o si la empresa no puede demostrar adecuadamente que la base jurídica es válida, podría ser sancionada por esta infracción.
¿Cómo puede mi empresa evitarlo?
Para evitar cometer este mismo error, asegúrese de tener una base legal válida para cada tipo de datos que recopile:
- Consentimiento obtenido del interesado
- Obligación contractual
- Obligación legal
- Intereses vitales del individuo
- Tareas públicas/interés público
- Interés legítimo
Desarrolle también una forma válida de demostrar que la base jurídica tiene sentido para el tipo de datos que está recopilando y que se ajusta a las normas establecidas en el Reglamento.
Por ejemplo, si el consentimiento es su base jurídica, debe cumplir todas las normas y obligaciones específicas rgpden materia de consentimiento.
2. Cumplimiento insuficiente de los derechos de los interesados
Según el rgpd Tracker, el importe total de las multas impuestas a empresas por no respetar los derechos de los interesados asciende actualmente a 103 millones de euros (120 millones de dólares).
Esta es otra infracción habitual, ya que todas las leyes de privacidad obligan a las empresas a encontrar formas de recibir y responder a las solicitudes de las personas para que puedan ejercer sus derechos.
¿Por qué ocurre esto?
Las leyes de privacidad exigen a las empresas que respondan a las solicitudes de los consumidores para que estos puedan ejercer sus derechos en un plazo determinado.
Si una empresa no responde a tiempo (o no responde en absoluto), podría recibir una sanción por esta infracción.
También puede ocurrir si la empresa se niega injustificadamente a cumplir con la solicitud de la persona, no puede satisfacer adecuadamente la solicitud o no tiene forma de verificar correctamente la identidad de la persona que realiza la solicitud.
¿Cómo puede mi empresa evitarlo?
La mejor manera de evitar esta infracción es asegurarse de que su empresa cuente con un proceso o flujo de trabajo DSAR.
También es útil proporcionar vías claras para que los usuarios envíen estas solicitudes, como añadir un formulario DSAR a su sitio web y disponer de una dirección de correo electrónico claramente identificada para este tipo de consultas.
Optimizar el flujo de trabajo de DSAR de esta manera hace que sea más eficiente identificar, abordar y responder a cada uno de ellos de manera oportuna y conforme a la ley.
3. consentimiento de cookies inadecuadas
Las leyes de privacidad afectan a cómo y cuándo los sitios web pueden utilizar cookies y otros rastreadores, y usted debe obtener el consentimiento adecuado para estas cookies; de lo contrario, corre el riesgo de ser sancionado.
¿Por qué ocurre esto?
Esta infracción suele producirse cuando los sitios web muestran a los usuarios banners de cookies inadecuados que pueden carecer de características clave, entre ellas:
- Botón "Rechazar
- Un botón «Preferencias»
- Un enlace activo a una política de cookies precisa.
- Un enlace activo a una política de privacidad precisa.
Las normas sobre consentimiento varían en función de la legislación aplicable al consumidor que ve el banner de consentimiento, por lo que es recomendable utilizar herramientas que incluyan funciones como la configuración del consentimiento regional.
¿Cómo puede mi empresa evitarlo?
Para evitar cometer este error, utilice una gestión del consentimiento fiable con un banner de consentimiento que pueda configurar para ajustarse a todas las leyes que afectan a su negocio y a sus consumidores.
Asegúrate también de realizar análisis periódicos del sitio web para encontrar, clasificar y etiquetar todas las cookies que tu sitio web desea colocar en los navegadores de los usuarios.
Presénteles todos estos detalles en una política de cookies a su banner; de esta manera, sabrá que estarán completamente informados, lo que le ayudará a cumplir con las leyes de privacidad.
4. Ignorar las señales de exclusión voluntaria de los usuarios
Los usuarios de Internet pueden configurar señales de preferencia de exclusión voluntaria en sus navegadores o utilizar extensiones de navegador.
Algunas leyes de privacidad consideran que esta es una forma válida de cumplir con el derecho de las personas a «optar por no participar» en el procesamiento de datos.
Si su sitio web ignora estas señales, podría recibir una multa por infringir leyes como la CCPA.
¿Por qué ocurre esto?
Esta infracción puede producirse cuando los sitios web no disponen de los conocimientos técnicos, el presupuesto o el tiempo necesarios para que su sitio respete los mecanismos universales de exclusión voluntaria.
En algunos casos, los sitios web maliciosos pueden engañar deliberadamente a los visitantes, lo que a menudo conduce a violaciones más significativas de la ley de privacidad.
¿Cómo puede mi empresa evitarlo?
Para evitar ser sancionado por infringir esta ley, dedique tiempo a implementar las medidas técnicas adecuadas en su sitio web.
Asegúrese de que puede detectar estas señales de exclusión voluntaria y ajustarse en consecuencia, incluyendo la desactivación de todas las cookies publicitarias.
Podría detectar la señal en los encabezados HTTP o JavaScript.
5. Detalles vagos (¡o inexistentes!) sobre la política de privacidad
Las políticas de privacidad incompletas, deshonestas o desactualizadas ponen a su empresa en riesgo de recibir multas por infringir las leyes de privacidad.
Las políticas de privacidad actualizadas no solo son exigidas por leyes como el rgpd, la CCPA y otras, sino que varias leyes establecen que es ilegal recopilar datos que no se hayan comunicado adecuadamente al consumidor.
¿Cuál es la mejor manera de divulgar estos detalles? En una política de privacidad completa y redactada adecuadamente.
¿Por qué ocurre esto?
Esto puede suceder cuando las empresas cambian sus prácticas de privacidad, pero se olvidan de actualizar su política o no informan adecuadamente a sus usuarios sobre los cambios.
También puede ocurrir cuando las empresas no dan prioridad al cumplimiento de las leyes de privacidad.
Por ejemplo, algunos podrían creer erróneamente que las leyes de privacidad no importan, o que su negocio es «demasiado pequeño» como para ser multado por infringir la ley.
¿Cómo puede mi empresa evitarlo?
Para evitar tener una política de privacidad imprecisa, o si aún necesita crear una para su plataforma, pruebe a utilizar un Generador de política de privacidad como Termly.
Con el respaldo de nuestro equipo jurídico y nuestros expertos en privacidad de datos, hemos creado esta herramienta para ayudar a las empresas a simplificar el proceso de elaboración de políticas de privacidad que se ajusten a la legislación vigente.
Hace preguntas sencillas sobre su negocio y sobre cómo recopila y procesa los datos, e incluye detalles que le ayudarán a crear diferentes cláusulas según lo exigido por 30 leyes de privacidad (¡y sumando!).
6. Recopilar demasiados datos innecesarios
Todas las leyes de protección de datos limitan la cantidad de datos que las entidades pueden recopilar legalmente.
Los sitios web que optan por recopilar tanta información como sea posible de los usuarios sin ningún motivo concreto se exponen al riesgo de ser multados (o algo peor) por infringir estas leyes.
¿Por qué ocurre esto?
La recopilación excesiva de datos suele producirse cuando las empresas no se toman en serio las leyes de privacidad o sus consecuencias, lo que supone una falta de respeto hacia la privacidad personal de los consumidores.
Almacenar grandes cantidades de datos no solo es irresponsable desde el punto de vista legal, sino que también expone la información a un mayor riesgo de acceso ilegal o violación.
¿Cómo puede mi empresa evitarlo?
Para evitar esta infracción, realice una auditoría de datos para saber todos los datos personales que recopila su empresa, por qué y qué hace con ellos.
Si alguna información no tiene un propósito claro y legítimo para ser recopilada y utilizada, entonces es recomendable detener el procesamiento de datos.
Pregúntese siempre: ¿es necesario recopilar esta información para mi negocio? Si la respuesta es no, entonces no lo haga.
7. Violaciones de datos, fugas y acceso no autorizado
El último punto de la lista, pero no por ello menos importante, son las violaciones de datos, las filtraciones y las multas por otros problemas relacionados con el acceso no autorizado a datos personales.
Cuando se produce una filtración o violación de los datos personales que obran en su poder, las leyes de privacidad de datos le hacen responsable desde el punto de vista financiero y legal.
¿Por qué ocurre esto?
Las fugas y violaciones de datos se producen cuando las empresas no protegen adecuadamente los datos que recopilan y almacenan.
También puede ocurrir debido a un error interno, principalmente si su equipo no está debidamente capacitado para combatir y reconocer los delitos cibernéticos comunes o las actividades inseguras en línea.
Según datos recientes, los ciberataques están aumentando, lo que convierte este aspecto en un elemento importante del procesamiento de datos que las empresas deben tener en cuenta.
¿Cómo puede mi empresa evitarlo?
Para evitar fugas de datos no autorizadas, violaciones de seguridad y ciberataques, considere implementar las siguientes prácticas recomendadas:
- Forma a todo tu equipo para que esté al tanto de los delitos cibernéticos, como los ataques de phishing, el spoofing, evitar hacer clic en enlaces inseguros y más.
- Implemente políticas de contraseñas seguras y aplique la autenticación multifactorial.
- Cifre los datos de los dispositivos, así como cualquier copia de seguridad que haya almacenado.
- Utilice cortafuegos y software antivirus.
- Actualice periódicamente todo su software, sistemas operativos y otras herramientas de seguridad para evitar brechas de seguridad.
- Limita el acceso a los datos de tu equipo solo a aquellos que los necesiten.
- Siempre evalúa a los proveedores externos para garantizar que cuentan con medidas de seguridad sólidas.
Cómo Termly las empresas a simplificar el cumplimiento de la normativa de privacidad de datos
Con Termly tu caja de herramientas, es mucho más fácil evitar estas y otras infracciones comunes de la privacidad de los datos.
Nuestras herramientas ayudan a las empresas a simplificar el proceso de adecuación de su sitio web o aplicación a las leyes de privacidad de datos aplicables.
El Generador de política de privacidad incluye cláusulas exigidas por 30 leyes de privacidad de todo el mundo, y nuestro equipo jurídico y nuestros expertos en privacidad de datos lo actualizan periódicamente para adaptarlo al panorama jurídico en constante evolución y a las necesidades de nuestros usuarios.
Nuestra gestión del consentimiento se puede configurar para cumplir con los requisitos de aceptación y rechazo de las leyes de 80 regiones. Incluye funciones como bloqueadores automáticos de scripts, normas regionales de consentimiento, registros de consentimiento, un centro de preferencias del usuario, compatibilidad con el modo de consentimiento de Google y mucho más.
¿Lo mejor de todo? Puedes gestionar todas estas herramientas desde un único y cómodo lugar: el Termly . ¡Empieza hoy mismo de forma gratuita!
Más sobre el autor
Escrito por Natasha Piirainen
Natasha es especialista en contenidos con más de 10 años de experiencia profesional en el desarrollo de contenidosbasados en la investigación. Es licenciada en Filosofía e Inglés por el Wheaton College. En Termly,se centra en las mejores prácticas de privacidad de datos y gestión del consentimiento yes responsable del mantenimiento y la actualización de materialesexhaustivos sobre privacidad de datos .
Más sobre el autor
Revisado por Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directora de Privacidad Global
