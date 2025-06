Un toque de atención: KFC España fue sancionada en 2023 con una multa de 25.000 euros por no tener nombrado un Delegado de Protección de Datos y por la falta de información en la política de privacidad. Y todo comenzó porque alertó de ellos una consumidora que detectó ciertas irregularidades en la web de la sucursal española de la cadena de restaurantes de comida rápida y presentó una queja ante la Agencia Española de Protección de Datos (AEP).

Según esta usuaria, el restaurante no seguía las directrices del Reglamento de Protección de datos (RGPD) porque su política de privacidad presentaba una información genérica y ambigua sobre el tratamiento de los datos personales y, además, el enlace redirigía a información estadounidense y no a la europea.

242 multas en un año: ¿están las empresas preparadas?

Desde Panda Security, explican que este es sólo un ejemplo de todas las sanciones que la AEP ha impuesto desde que entrara en vigor el nuevo RGPD en mayo de 2018. Sólo el año pasado, la Agencia Española de Protección de datos aplicó 242 multas que sumaron 27 millones de euros. Y las grandes compañías no fueron las únicas afectadas.

Este tipo de infracciones no castiga únicamente a grandes empresas. Cualquier negocio, sea del tamaño que sea, entidad sin ánimo de lucro o administración está obligado a cumplir con el Reglamento de Protección de Datos, porque trata información personal de terceros y es su deber protegerla y evitar que caigan en malas manos que puedan poner en riesgo la seguridad y privacidad de esos usuarios.

Sin embargo, “maltratar e infravalorar el RGPD es una práctica que lleva haciéndose desde siempre. Muchas organizaciones consideran este texto legal como algo superfluo que no lee nadie y tiran de picardía usando plantillas genéricas o copiando directamente los términos de seguridad de otra página”, indican.

Riesgos de seguridad para los usuarios

Esta falta de compromiso con los datos de sus usuarios abre una brecha en su seguridad. “Sin ir más lejos, cuando una empresa no aplica las medidas de seguridad que afirma tener en su Política de Privacidad (porque la copió de otra página o utilizó alguna plantilla genérica), los datos de los usuarios pueden estar en peligro ante hackeos, filtraciones o robos”, advierte Hervé Lambert, Global Consumer Operations Manager en Panda Security. Así, los datos pueden ser interceptados o manipulados cuando las acciones anunciadas en la política de privacidad (cifrado, firewalls, pseudonimización), no existen en la práctica.

Cuando las medidas prometidas en el texto legal no se materializan la página corre el riesgo de sufrir ataques como man-in-the-middle, inyección SQL o cross-site scripting (XSS) con mayor facilidad, y pierden trazabilidad en los sistemas de alerta temprana frente a intrusiones.

Cuando los datos de los usuarios se filtran debido a medidas insuficientes o inexistentes, pueden ser utilizados para crear cuentas falsas en bancos, redes sociales, plataformas de trading, etc. En ausencia de medidas reales, un atacante puede cruzar información parcial con bases de datos filtradas y reidentificar usuarios. Lo que pone en peligro datos especialmente sensibles como los que tienen que ver con la salud, orientación sexual, financieros…

Si no existen los procesos que se mencionan en la política de datos, la organización no puede responder adecuadamente a una brecha de seguridad. No puede notificar a la AEP ni a los usuarios en 72 horas como exige el reglamento. Y se agrava el daño para el usuario y multiplica la exposición legal para la empresa.