Volver a los artículos
RGPD
RGPD Conformidad CNIL Errores

Los 10 errores RGPD más comunes de las empresas

12 de febrero de 2026 14 min de lectura DPLIANCE

Los 10 errores RGPD más comunes de las empresas

Ocho años después de la entrada en vigor del RGPD, los mismos errores se repiten. Una y otra vez. Y la CNIL (autoridad francesa de protección de datos) ya no hace pedagogía — sanciona. En 2025, 486,8 millones de euros en multas. En 2024, 87 sanciones por 55 millones de euros. El procedimiento simplificado permite ahora sancionar rápidamente los expedientes más flagrantes (multas de hasta 20.000 euros sin audiencia).

El problema no es que las empresas se nieguen a cumplir. Es que creen estarlo cuando no lo están.

Estos son los 10 errores RGPD más comunes — con un ejemplo concreto para cada uno, los riesgos incurridos y la solución para remediarlos.

Error 1: política de privacidad ausente o copiada y pegada

Es el error más visible y más extendido. O la política de privacidad simplemente no existe, o se ha copiado de otro sitio sin ninguna adaptación.

El problema: Una política de privacidad genérica no refleja los tratamientos reales de su empresa. No menciona ni las finalidades correctas, ni los destinatarios adecuados, ni los plazos de conservación apropiados. En caso de control, es una señal de alarma inmediata.

Lo que dice el RGPD: Los artículos 13 y 14 imponen una información transparente, inteligible y fácilmente accesible sobre los tratamientos de datos.

La magnitud del problema: En sus controles en línea, la CNIL (autoridad francesa de protección de datos) constata que numerosas empresas utilizan plantillas de políticas de privacidad encontradas en internet, a menudo en inglés traducido aproximadamente, que no corresponden en nada a sus tratamientos reales. Algunas mencionan servicios que no utilizan, otras omiten tratamientos esenciales como el emailing o el CRM.

Cómo corregirlo: Redactar una política específica para su actividad, detallando cada tratamiento, su finalidad, su base jurídica, sus destinatarios y los derechos de las personas. Complio audita automáticamente su sitio web e identifica las carencias en su política de privacidad.

Error 2: cookies depositadas sin consentimiento

Google: 325 millones de euros de multa en septiembre de 2025. SHEIN: 150 millones de euros. ¿El motivo? Cookies publicitarias depositadas antes incluso de que el usuario hubiera tenido la posibilidad de consentir o rechazar.

El problema: Muchos sitios depositan rastreadores desde la carga de la página, antes de cualquier interacción con el banner de cookies. Otros hacen que el rechazo sea más difícil que la aceptación (dark patterns).

Lo que dice la CNIL (autoridad francesa de protección de datos): Desde 2021, las recomendaciones de la CNIL (autoridad francesa de protección de datos) sobre cookies imponen que el rechazo sea tan simple como la aceptación. Ningún rastreador no esencial puede depositarse antes de un consentimiento explícito.

Los dark patterns más frecuentes: Un botón “Aceptar” en verde vivo junto a un enlace “Configurar” en gris discreto. Un banner que se cierra aceptando las cookies si el usuario hace clic en cualquier parte de la página. Un botón “Rechazar” oculto en una segunda pantalla de configuración. Todas estas prácticas se consideran no conformes por la CNIL (autoridad francesa de protección de datos).

Cómo corregirlo: Desplegar una CMP (Consent Management Platform) conforme como Cookilio, que bloquea todos los rastreadores no esenciales mientras el usuario no haya dado su consentimiento, y que propone el rechazo al mismo nivel que la aceptación.

Error 3: registro de tratamientos ausente

El registro de tratamientos es obligatorio para toda empresa de más de 250 empleados, pero también para las más pequeñas si realizan tratamientos no ocasionales (lo que afecta a la práctica totalidad de las empresas que tienen un sitio web, un CRM o una base de contactos).

El problema: Muchas empresas simplemente no tienen registro. Otras tienen un documento creado una sola vez y nunca actualizado, que ya no refleja la realidad de los tratamientos.

Lo que dice el RGPD: El artículo 30 impone la tenencia de un registro que detalle las finalidades, categorías de datos, destinatarios, plazos de conservación y medidas de seguridad para cada tratamiento.

Lo que muchos ignoran: La excepción “menos de 250 empleados” es engañosa. El RGPD precisa que incluso las empresas de menos de 250 empleados deben mantener un registro si sus tratamientos no son ocasionales, si se refieren a datos sensibles, o si son susceptibles de comportar un riesgo para los derechos y libertades de las personas. En la práctica, toda empresa que tiene un sitio web con un formulario de contacto, un boletín o una herramienta CRM está afectada.

Cómo corregirlo: Comenzar por cartografiar todos los tratamientos existentes (sitio web, CRM, emailing, nóminas, contabilidad). La CNIL (autoridad francesa de protección de datos) propone un modelo de registro gratuito. Complio facilita esta cartografía para su presencia web.

Error 4: derechos de las personas ignorados

Sus clientes y usuarios tienen derecho a saber qué datos posee sobre ellos, a hacerlos rectificar, suprimir o transferir a otro servicio. En la práctica, muchas empresas no tienen ningún proceso para tratar estas solicitudes.

El problema: Sin dirección de correo electrónico dedicada, sin procedimiento interno, sin seguimiento de las solicitudes. El plazo legal de respuesta (un mes) se supera regularmente o se ignora.

Lo que dice el RGPD: Los artículos 15 a 22 definen los derechos de las personas. El artículo 12 impone responder en un plazo de un mes.

Un caso concreto: Un cliente solicita acceso a sus datos por correo electrónico. El mensaje llega al buzón general de la empresa, nadie sabe quién debe tratarlo, nadie responde. Tres meses después, el cliente presenta una queja ante la CNIL (autoridad francesa de protección de datos). El procedimiento simplificado permite a la CNIL (autoridad francesa de protección de datos) sancionar este tipo de incumplimiento en pocas semanas.

Cómo corregirlo: Poner en marcha una dirección de correo electrónico dedicada (dpo@suempresa.es o rgpd@suempresa.es), un procedimiento documentado con plantillas de respuesta para cada tipo de derecho, y un registro de seguimiento de solicitudes con las fechas de recepción y respuesta.

Error 5: subcontratistas no regulados

¿Utiliza un alojamiento cloud, una herramienta de emailing, un CRM, una herramienta de analytics? Cada uno de estos proveedores es un subcontratista en el sentido del RGPD. Y cada subcontratista debe estar regulado por un contrato conforme al artículo 28.

El problema: Muchas empresas ni siquiera saben cuántos subcontratistas acceden a sus datos. Aún menos tienen un contrato conforme con cada uno de ellos.

Lo que dice el RGPD: El artículo 28 impone un contrato escrito que detalle las obligaciones del subcontratista, la naturaleza del tratamiento, las medidas de seguridad y las condiciones de subcontratación ulterior.

La subcontratación en cascada: Un riesgo a menudo subestimado. Su proveedor de emailing quizá utiliza AWS para su alojamiento, que a su vez puede estar sujeto al CLOUD Act estadounidense. Su CRM puede transferir datos a servidores situados fuera de la Unión Europea sin que usted lo sepa. Cada eslabón de la cadena de subcontratación debe identificarse y regularse.

Cómo corregirlo: Listar todas las herramientas y proveedores que manipulan datos personales. Verificar la existencia de un Data Processing Agreement (DPA) para cada uno. Priorizar subcontratistas alojados en Europa para evitar las problemáticas de transferencia fuera de la UE.

Error 6: consentimiento con casilla pre-marcada

Una casilla pre-marcada no es un consentimiento. Un scroll por la página no es un consentimiento. La simple continuación de la navegación no es un consentimiento.

El problema: El consentimiento debe ser libre, específico, informado e inequívoco (artículo 4.11 del RGPD). Cualquier forma de consentimiento presunto o implícito es inválida.

Lo que dice la CNIL (autoridad francesa de protección de datos): La CNIL (autoridad francesa de protección de datos) ha sancionado en varias ocasiones a empresas por mecanismos de consentimiento no conformes, en particular mediante dark patterns que hacen el rechazo más complejo que la aceptación.

Más allá de las cookies: El consentimiento viciado no afecta solo a las cookies. Los formularios de suscripción a un boletín con una casilla pre-marcada “Acepto recibir ofertas de partners”, las condiciones generales que incluyen un consentimiento al tratamiento de datos en un bloque de texto ilegible, o las ventanas emergentes que no dejan otra opción que “Aceptar” son todas prácticas no conformes.

Cómo corregirlo: Asegurarse de que cada formulario de recogida utilice casillas no marcadas por defecto, con información clara sobre el uso previsto. Para las cookies, utilizar una CMP como Cookilio que garantiza un consentimiento conforme.

Error 7: datos conservados indefinidamente

“Lo guardamos todo, por si acaso.” Es probablemente la frase más peligrosa en materia de conformidad RGPD.

El problema: Conservar datos más allá del plazo necesario para la finalidad para la que fueron recogidos constituye una violación del artículo 5.1.e del RGPD (principio de limitación de la conservación).

Lo que dice el RGPD: Los datos solo pueden conservarse durante el tiempo necesario para las finalidades para las que fueron recogidos. Más allá, deben suprimirse o anonimizarse.

Ejemplos concretos de plazos: La CNIL (autoridad francesa de protección de datos) publica referenciales sectoriales. Para un prospecto que no ha dado seguimiento a una solicitud comercial, el plazo máximo de conservación es de 3 años a partir del último contacto activo. Para los datos de candidatura a un empleo, es de 2 años máximo. Para los logs de conexión, generalmente es 1 año. Para los datos de facturación, las obligaciones contables imponen una conservación de 10 años, pero eso no justifica conservar la totalidad de los datos asociados al pedido.

Cómo corregirlo: Definir un plazo de conservación para cada tratamiento en su registro. Poner en marcha procedimientos de purga automática. La CNIL (autoridad francesa de protección de datos) publica referenciales de plazos de conservación por sector.

Error 8: sin DPO cuando es obligatorio

Ciertas empresas están obligadas a designar un Delegado de Protección de Datos y no lo hacen, ya sea por desconocimiento de la obligación, o por negarse a asignar los recursos necesarios.

El problema: La ausencia de DPO cuando es obligatorio es una no conformidad en sí misma, independientemente de cualquier otro incumplimiento.

Lo que dice el RGPD: El artículo 37 impone un DPO a las autoridades públicas, a las empresas cuya actividad principal implica un seguimiento regular y sistemático a gran escala, y a las que tratan datos sensibles a gran escala.

La confusión sobre el perímetro: Muchas empresas creen no estar afectadas porque no son del sector “tech”. Sin embargo, una agencia de trabajo temporal que gestiona miles de perfiles de candidatos, una red de farmacias que trata datos de salud, o una cadena de gran distribución con un programa de fidelización están todas potencialmente sujetas a la obligación de designar un DPO.

Cómo corregirlo: Evaluar objetivamente si su empresa entra en uno de los tres casos obligatorios. Si es así, designar un DPO interno o externalizado. Si no, considerar de todos modos un referente RGPD interno.

Error 9: transferencias fuera de la UE no documentadas

Utilizar Google Analytics, AWS alojado en EE.UU., Mailchimp, o cualquier otro servicio estadounidense sin garantías adecuadas constituye una transferencia de datos fuera de la UE potencialmente ilegal.

El problema: Desde la sentencia Schrems II (julio de 2020), las transferencias hacia Estados Unidos ya no gozan de una protección automática. El EU-US Data Privacy Framework adoptado en 2023 está cuestionado jurídicamente y podría ser invalidado (potencial “Schrems III”).

Lo que dice el RGPD: Los artículos 44 a 49 regulan estrictamente las transferencias fuera de la UE. El responsable del tratamiento debe garantizar un nivel de protección equivalente al RGPD.

El iceberg de las transferencias invisibles: Más allá de las herramientas de las que es consciente, su sitio web puede transferir datos a Estados Unidos de manera invisible. Google Fonts carga archivos desde servidores estadounidenses y transmite la dirección IP del visitante a Google. Un CDN estadounidense como Cloudflare ve pasar todos los datos intercambiados entre su sitio y sus visitantes. Un píxel de Facebook deposita cookies y transfiere datos comportamentales hacia los servidores de Meta en Estados Unidos.

Cómo corregirlo: Cartografiar los flujos de datos hacia países terceros. Priorizar las soluciones alojadas en Europa. Reemplazar Google Analytics por Mirage Analytics, alojado en Scaleway en Europa, que no transfiere ningún dato fuera de la UE.

Error 10: sin notificación en caso de violación

FREE Mobile y FREE: 42 millones de euros de multa en enero de 2026 por medidas de seguridad insuficientes que permitieron el acceso a los datos de 24 millones de abonados. France Travail: 5 millones de euros por fallos que expusieron los datos de millones de inscritos.

El problema: Muchas empresas no tienen ningún procedimiento de detección y notificación de violaciones de datos. Algunas descubren la fuga por la prensa.

Lo que dice el RGPD: El artículo 33 impone una notificación a la CNIL (autoridad francesa de protección de datos) en las 72 horas siguientes al descubrimiento de la violación. El artículo 34 impone informar a las personas afectadas si el riesgo es elevado.

Las 72 horas comienzan en el descubrimiento, no en el incidente. La CNIL (autoridad francesa de protección de datos) considera que el responsable del tratamiento debe haber puesto en marcha medidas que permitan detectar rápidamente las violaciones. Un sistema de detección inexistente o deficiente no constituye una excusa para un retraso en la notificación. Al contrario, la CNIL (autoridad francesa de protección de datos) ha sancionado a empresas por haber descubierto una violación con un retraso excesivo, considerando que medidas de monitorización adecuadas habrían permitido una detección más rápida.

Cómo corregirlo: Poner en marcha un proceso de detección de incidentes (logs, monitorización, alertas). Documentar un procedimiento de notificación con responsabilidades claras y plantillas pre-redactadas. Formar a los equipos para identificar y reportar los incidentes de seguridad.

El verdadero coste de la no conformidad

Las multas son solo la parte visible. Una violación de datos no gestionada es también:

  • Una pérdida de confianza de sus clientes
  • Un riesgo reputacional duradero
  • Costes jurídicos y técnicos de remediación
  • Una ventaja competitiva ofrecida a sus competidores conformes
  • Una exclusión potencial de licitaciones públicas y privadas
  • Un impacto en la valoración de la empresa en caso de ronda de financiación o cesión

La conformidad RGPD no es una carga. Es una inversión en la confianza.

FAQ

¿Cuáles son las multas RGPD más elevadas en Francia?

En 2025, las multas más importantes de la CNIL (autoridad francesa de protección de datos) fueron: Google (325 millones de euros por cookies depositadas sin consentimiento), SHEIN (150 millones de euros por el mismo motivo), FREE Mobile y FREE (42 millones de euros por fallos de seguridad), y France Travail (5 millones de euros por seguridad insuficiente). Fuente: CNIL (autoridad francesa de protección de datos) — Bilan des sanctions 2025.

¿La CNIL (autoridad francesa de protección de datos) controla a las pequeñas empresas?

Sí. El procedimiento simplificado puesto en marcha por la CNIL (autoridad francesa de protección de datos) permite sancionar rápidamente los expedientes sin complejidad particular, con multas de hasta 20.000 euros. Las micropymes y pymes no están exentas de controles. En 2025, más del 60 % de las sanciones afectaban a pymes. La CNIL (autoridad francesa de protección de datos) utiliza robots para escanear automáticamente los sitios web, lo que le permite detectar los incumplimientos más comunes sin ninguna intervención humana.

¿Se puede usar Google Analytics en Francia?

Es jurídicamente arriesgado. Google Analytics transfiere datos a Estados Unidos. El EU-US Data Privacy Framework está cuestionado y podría ser invalidado. Para una conformidad tranquila, privilegie una solución como Mirage Analytics que aloja todos los datos en Europa y no deposita ninguna cookie.

¿Cómo saber si mi sitio web cumple con el RGPD?

Una auditoría de conformidad permite identificar los incumplimientos: cookies no conformes, política de privacidad ausente o incompleta, rastreadores de terceros no declarados. Complio realiza esta auditoría automáticamente y le proporciona un informe accionable con una puntuación de conformidad y recomendaciones concretas.

¿Cuánto tiempo lleva ponerse en conformidad?

Para una micropyme con un sitio web simple, unos pocos días bastan para lo esencial (política de privacidad, CMP, analytics conforme). Para una pyme o empresa mediana con tratamientos complejos, cuente varias semanas a algunos meses para un programa de conformidad completo. Lo importante es empezar por los riesgos más visibles — en particular el sitio web, que la CNIL (autoridad francesa de protección de datos) puede controlar en cualquier momento — y progresar por etapas.

Fuentes: CNIL (autoridad francesa de protección de datos) — Bilan des sanctions 2025, CNIL (autoridad francesa de protección de datos) — Sanctions et mesures correctrices 2024, CNIL (autoridad francesa de protección de datos) — Sanction FREE, CNIL (autoridad francesa de protección de datos) — Sanction France Travail, CNIL (autoridad francesa de protección de datos) — Sanction Google. Artículo actualizado el 25 de marzo de 2026.

Escríbanos

contact@dpliance.com
Contáctenos