O: Por qué el pánico por el 90% fue infundado (y cuáles son los 10% que realmente os salvarán el pellejo).
¿Os acordáis de mayo de 2018? Se avecinaba el gran apocalipsis del RGPD. Los abogados pronosticaban oleadas de advertencias, los consultores vendían costosos paquetes de emergencia y, al parecer, uno de cada dos boletines anunciaba el fin de Internet.
Ahora, casi siete años después, es hora de hacer un balance realista. ¿Qué ha pasado realmente? Spoiler: Internet sigue existiendo, la mayoría de vosotros también, ¿y las multas millonarias? Bueno, a eso llegaremos enseguida.
El gran balance del pánico: cifras sorprendentes
¿Os imagináis que casi no ha quedado nada de las temidas advertencias masivas? Según las encuestas de Bitkom, alrededor del 20 % de las empresas denuncian al menos una infracción de la protección de datos en el plazo de un año, pero solo una parte insignificante de ellas acaba realmente con una multa.
Una evaluación de las multas publicadas en Alemania en virtud del RGPD arroja una media de alrededor de 8500 euros para 2018, muy lejos de las cifras millonarias que se citan a menudo.
A modo de comparación:
- Sanciones previstas para 2018: hasta 20 millones de euros (¡¡¡pánico!!!)
- Penalización media real para las pymes: 8.500 euros
- Castigo más frecuente: Advertencia sin multa
Si se analizan todas las multas publicadas en los últimos años, en Alemania se llega a la siguiente cifra: entre 1600 y 1700 casos conocidos.
E incluso si el número de casos no registrados es un poco más alto:
Estamos hablando de una cifra insignificante.
Con más de 3,5 millones de empresas, eso es prácticamente nada. Tienes más posibilidades de que te caiga un rayo.
📊 Tabla: „Multas impuestas en Alemania por incumplimiento del RGPD entre 2018 y 2023».
| Año | Número de multas | Total de multas (en millones de euros) | Incidencias de datos notificadas |
|---|---|---|---|
| 2018 | alrededor de 40 | — | — |
| 2019 | 187 | > 25 | — |
| 2020 | 284 | 48,15 | 26.057 |
| 2021 | 373 | 2,11 | 13.890 |
| 2022 | 453 | 5,81 | 21.170 |
| 2023 | 357 | 4,94 | 24.749 |
- Publicado por las autoridades regionales o resumido en Portal del RGPD.de. Bufete especializado en protección de datos +3dsgvo-portal.de +3dsgvo-portal.de +3
- Solo las sumas comunicadas como „límite mínimo“: algunas autoridades no presentaron datos completos. 2020: 48,15 millones de euros. dsgvo-portal.de+1
- Notificación de violaciones de datos (no automáticamente multas).
- Número aproximado de 40 casos en 2018 según Wikipedia („hasta finales de 2018 en 41 casos...“). Wikipedia+1
- 2019: 187 multas, > 25 millones de euros según el portal del RGPD. Retrospectiva 2020. dsgvo-portal.de
- Datos de 2020 del portal del RGPD (26 057 notificaciones, 284 multas, 48,15 millones de euros). dsgvo-portal.de+1
- 2021: 373 multas, 2,11 millones de euros como límite mínimo. dsgvo-portal.de
- 2022: 453 multas, 5,81 millones de euros. dsgvo-portal.de+1
- 2023: 357 multas, 4,94 millones de euros. dsgvo-portal.de
Nota: No se dispone de datos fiables completos para 2024 ni hasta finales de 2024.
Los datos muestran que, aunque el RGPD está en vigor desde 2018, se han producido entre 2018 y 2023, menos de 1700 multas en Alemania imponen (véase la tabla). Con alrededor de 3,5 millones de empresas, esto significa que solo alrededor de una de las aproximadamente 2000 empresas ha recibido hasta ahora ninguna multa.
Lo que REALMENTE interesa a las autoridades (y lo que no)
Después de siete años de RGPD, sabemos con bastante certeza dónde se fijan los defensores de la protección de datos y dónde hacen la vista gorda. Sorpresa: no es lo que nos dijeron en 2018.
Esto es realmente interesante:
1. Fugas de datos y ataques de piratas informáticos sin notificación – Quien tenga una violación de datos sujeta a notificación y no la comunique en un plazo de 72 horas, tendrá un verdadero problema.
En los informes de actividad de las autoridades, este punto aparece regularmente como uno de los motivos más frecuentes de imposición de multas, especialmente en el caso de fugas importantes o de falta total de notificación.
2. No respuesta a las solicitudes de información – Si alguien te pide tus datos y tú simplemente no responde, entonces la cosa se pone realmente desagradable.
Los tribunales alemanes conceden ahora regularmente indemnizaciones por daños y perjuicios, que van desde unos pocos cientos hasta cantidades de cinco cifras.
¿Quieres un ejemplo?
10 000 euros por proporcionar información con 20 meses de retraso a un exempleado (Tribunal Laboral de Oldenburg).
Incluso las pequeñas tiendas online cobran ahora cantidades de cuatro cifras si simplemente no responden.
3. Boletín informativo sin consentimiento – El éxito de ventas desde hace 20 años.
Este tema aparece una y otra vez en la práctica de las advertencias legales, tan fiable como una liquidación anual.
Enviar sin consentimiento en 2025 es tan ingenioso como Password123.
A (casi) nadie le interesa:
- Detalles del banner de cookies: Da igual si tu banner está a la izquierda o a la derecha, si el botón „Aceptar todo“ es azul o verde. Lo importante es que esté ahí (cuando lo necesites).
- Falta de contratos de procesamiento de pedidos: En teoría es obligatorio, pero en la práctica nadie lo pregunta. A menos que ocurra algo diferente y lo examinen más detenidamente.
- Declaraciones de privacidad obsoletasMientras haya alguno, a casi nadie le importa si es de 2019 o de 2024.
Los tres riesgos reales que pueden afectaros en 2025
Riesgo 1: Google Fonts: la trampa de las advertencias legales que nadie vio venir
En 2022 se produjo un gran revuelo: una sentencia del Tribunal Regional de Múnich I dejó claro que volver a cargar fuentes de Google desde servidores estadounidenses sin consentimiento constituye una infracción del RGPD. Zack: a un usuario se le concedieron 100 € en concepto de indemnización por daños y perjuicios, y de repente algunos demandantes especialmente creativos vieron en ello su próximo modelo de negocio. Resultado: al menos cien mil cartas recorrieron el país. Reclamación: alrededor de 170 € „Indemnización por daños morales“ – tan bajo que muchos simplemente pagaron para tener tranquilidad.
La solución es, hasta la fecha, ridículamente sencilla:
- Alojar fuentes localmente (plugin, 2 clics, listo)
- O utilizar directamente las fuentes del sistema
- También hay soluciones proxy, pero eso es más bien cosa de frikis.
Y ahora lo mejor: también 2023, 2024 e incluso 2025 Los casos relacionados con las fuentes de Google siguen ocupando a los tribunales. Algunas sentencias califican ahora la elusión de las advertencias como „abusiva“, pero hasta que todo esto se resuelva definitivamente, la justicia seguirá su curso. Lento, pero seguro.
Riesgo 2: Google Analytics sin base jurídica
Aquí se pone interesante. La autoridad austriaca de protección de datos ha dado el primer paso, y Francia e Italia le han seguido: Google Analytics no cumple con el RGPD en su configuración estándar. ¿Y Alemania? Por ahora se mantiene al margen, pero todo apunta a que se avecina una tormenta.
Lo que realmente ocurre:
- Hasta ahora no se han producido advertencias masivas.
- PERO: En caso de quejas, las autoridades investigan minuciosamente.
Google Analytics sin base jurídica no es una falta leve.
En la UE ya ha habido varios casos de este tipo. multas de cuatro a cinco cifras, dependiendo de la gravedad y la configuración.
Alemania aún se mantiene cautelosa, pero cuando se reciben quejas, las autoridades las examinan con mucho detenimiento.
Lo que podéis hacer:
- Google Analytics con Consent Mode V2 y procesamiento de pedidos (complicado)
- Cambiar a alternativas de la UE (Matomo, Plausible o... bueno, ya sabéis).
- Renunciar por completo a la analítica (en serio, también es posible)
Riesgo 3: formularios de contacto sin SSL
Sí, en 2025 seguiremos hablando de ello. ¿Te imaginas que todavía haya sitios web sin HTTPS? Yo tampoco, pero existen. Y eso sale caro.
Caso real de 2024: Empresa artesanal, multa de 3500 euros por un formulario de contacto sin cifrar. El motivo: „Puesta en peligro negligente de datos personales“.“
La solución:
- Let’s Encrypt = certificado SSL gratuito
- Instalación: 5 minutos
- Excusas: cero.
El elefante en la habitación: por qué los banners de cookies siguen estando por todas partes
Aunque casi nadie es sancionado por utilizar banners de cookies incorrectos, todo el mundo los tiene. ¿Por qué?
La verdad:
😧 70 % Todos los banners de cookies son técnicamente incorrectos.
🤔 La tasa de consentimiento es de un mísero 3-8 %.
🙄 ¿Y las advertencias? Prácticamente no se producen.
A pesar de ello, todo el mundo tiene uno de esos en su página.
¿Por qué? ¿Por miedo a perderse algo? ¿Por miedo? ¿O porque alguna agencia decidió en 2018 que „así es como se hace“?
Y ahora viene lo realmente interesante:
Solo necesitas un banner si servicios no esenciales utiliza, es decir, elementos que envían datos a terceros o rastrean a los usuarios.
Entre ellos se incluyen, por ejemplo:
- Herramientas de seguimiento con cookies o huellas digitales
- Guiones de marketing/publicidad (Meta Pixel, Google Ads, etc.)
- Recursos externos que transfieren datos personales
- Contenidos incrustados que realizan un seguimiento por sí mismos (YouTube, Maps, feeds sociales)
Si omites todo esto o lo integras de forma que respete la protección de datos, a menudo ya no necesitarás el banner.
Sin seguimiento externo = sin consentimiento = sin banner = sin circo.
Con modernas Soluciones de análisis sin cookies obtendrás toda la información importante, sin necesidad de obtener el consentimiento y sin pérdidas de conversión.
Prueba Trackboxx gratis durante 30 días
¡Sin introducir datos de pago! Sin renovación automática
Su Trackboxx estará listo en 1 minuto.
Lo que realmente ha cambiado en 2025
IA y protección de datos: el nuevo campo minado
ChatGPT, Claude, Midjourney... La cuestión ya no es si utilizar la IA, sino cómo hacerlo. Y aquí es donde la cosa se complica:
¿Puedo introducir datos de clientes en ChatGPT? Respuesta corta: no. Respuesta larga: no, a menos que tengáis la versión Enterprise con procesamiento de pedidos.
¿Qué pasa con los textos generados por IA en mi sitio web? No hay ningún problema con el RGPD, siempre y cuando no haya datos personales en el mensaje.
La próxima ola: Ley de Servicios Digitales (DSA)
Mientras todos se fijan en el RGPD, desde febrero de 2024 está en vigor la DSA. Afecta sobre todo a plataformas y mercados, pero también a:
- Grandes tiendas online (a partir de 45 millones de usuarios en la UE)
- Páginas de redes sociales
- Foros y comunidades
Las buenas noticias: Para los sitios web normales no cambia nada.
La lista de 5 puntos para evaluar la realidad de tu sitio web
Basta ya de teoría. Esto es lo que REALMENTE tenéis que saber:
- ¿Certificado SSL activo? → Si no es así, cámbielo INMEDIATAMENTE.
- ¿Existe una declaración de protección de datos? → Utilizar el generador, listo.
- ¿Se puede acceder al aviso legal? → 2 clics como máximo
- ¿Boletín informativo con doble confirmación? → Si no es así, cambiar.
- ¿Google Fonts localmente? → Si no es así, instale el complemento.
¿Todo listo? Enhorabuena, ahora sois más seguros que el 90% de todos los sitios web alemanes.
La conclusión que debería tranquilizaros
Después de siete años de RGPD, sabemos que el mundo no se ha acabado. No se han producido las temidas oleadas de advertencias. Las multas millonarias solo han afectado a los grandes (te miramos a ti, Meta).
Lo que realmente importa:
- Haz bien lo básico (SSL, política de privacidad, aviso legal).
- Evita los tres riesgos reales (fuentes, análisis, SSL)
- No os dejéis intimidar por cada nuevo „experto en RGPD“.
Y la próxima vez que leáis un artículo que profetice el fin del mundo, recordad: en 2018 también íbamos a desaparecer todos. No ha sido así.
En la próxima parte de la serie: Por qué los banners de cookies son el invento más estúpido desde el bloqueador de ventanas emergentes, y cómo deshacerse de ellos de forma legal. Spoiler: tiene que ver con el rastreo sin cookies, y sí, realmente funciona.
