Hace algunos años, una consumidora detectó ciertas irregularidades en la política de privacidad publicada en la web española de la cadena de comida rápida KFC.
Dicha usuaria consideraba que la firma de restauración no seguía las directrices del Reglamento de Protección de datos (RGPD) porque su política de privacidad presentaba información genérica y ambigua sobre el tratamiento de los datos personales. Además, el enlace contenido en dicha página redirigía a información estadounidense, en lugar de remitir a la europea.
Ni corta ni perezosa, decidió denunciar esta situación ante la Agencia Española de Protección de Datos (AEPD), que le dio la razón. El organismo reconoció la falta de información en la política de privacidad de KFC. Además, comprobó que la empresa no había nombrado un Delegado de Protección de Datos. Como consecuencia de ello, le impuso una multa de 25.000 euros, tal y como cuenta Panda Security.
El riesgo de incumplir el RGPD
Aunque una sanción de 25.000 euros es insignificante para una gran corporación como KFC, puede suponer un importante ‘roto’ para cualquier pyme.
Y no conviene despistarse, puesto que la AEPD está muy atenta ante posibles infracciones del RGPD. De acuerdo con los datos recogidos en su Memoria Anual, la agencia impuso 281 multas en 2024, frente a las 367 del año anterior. Sin embargo, el importe total de las mismas aumentó casi un 20%, por lo que la sanción media se elevó hasta aproximadamente 125.000 euros, un 56% más que en 2023.
Además, Panda Security remarca que este tipo de multas por no cumplir con el RGPD no castiga únicamente a grandes corporaciones, sino que están expuestas a ellas cualquier empresa, sea del tamaño que sea, así como entidades sin ánimo de lucro e incluso administraciones públicas.
Todas ellas tratan información personal de terceros y es su deber protegerla para evitar que caigan en malas manos que puedan poner en riesgo la seguridad y privacidad de los usuarios.
Sin embargo, la compañía de ciberseguridad advierte que muchas empresas no se toman demasiado en serio el RGPD, por lo que tratan de quitarse de encima la elaboración de la política de privacidad que publican en su web, sin poner demasiada atención en ello.
“Muchas organizaciones consideran este texto legal como algo superfluo que no lee nadie y tiran de picardía, usando plantillas genéricas o copiando directamente los términos de seguridad de otra página”, indica Panda Security.
El ejemplo que hemos visto de KFC demuestra que esto es una mala idea. Y no sólo por las posibles sanciones, sino también porque esta falta de compromiso con los datos de los usuarios abre una brecha en su seguridad.
“Sin ir más lejos, cuando una empresa no aplica las medidas de seguridad que afirma tener en su política de privacidad porque la copió de otra página o utilizó alguna plantilla genérica, los datos de los usuarios pueden estar en peligro ante hackeos, filtraciones o robos”, advierte Hervé Lambert, Global Consumer Operations Manager de la empresa de ciberseguridad.
De este modo, dichos datos podrían ser interceptados o manipulados si las acciones anunciadas en la política de privacidad (cifrado, firewalls, pseudonimización) realmente no existen.
“Cuando las medidas prometidas en el texto legal no se materializan, la página corre el riesgo de sufrir ataques como man-in-the-middle, inyección SQL o cross-site scripting (XSS) con mayor facilidad; y pierden trazabilidad en los sistemas de alerta temprana frente a intrusiones”, detalla Panda Security.
“Cuando los datos de los usuarios se filtran debido a medidas insuficientes o inexistentes, pueden ser utilizados para crear cuentas falsas en bancos, redes sociales, plataformas de trading, etc. En ausencia de medidas reales, un atacante puede cruzar información parcial con bases de datos filtradas y reidentificar usuarios, lo que pone en peligro datos especialmente sensibles como los que tienen que ver con la salud, orientación sexual, financieros…”, añade.
Asimismo, reseña que la organización no podrá responder adecuadamente a una brecha de seguridad si los procesos que se mencionan en la política de datos no son reales. “No puede notificar a la AEPD ni a los usuarios en 72 horas, como exige el reglamento. Y se agrava el daño para el usuario y multiplica la exposición legal para la empresa”, recalca.
