Blog

10 fallos comunes de cumplimiento GDPR en sitios web (y cómo prevenirlos)

Fallos comunes de cumplimiento GDPR en sitios web, por qué tu equipo no los detecta y cómo prevenir la recopilación ilícita de datos.

Dec 30, 2025 • 14 min read

Juan Combariza Growth Marketer

Common-gdpr-failures-and-how-to-prevent-them

Las cuatro principales razones de los fallos GDPR, con los vacíos de cumplimiento más comunes que conducen a problemas regulatorios — Infografía: Las cuatro principales razones de los fallos GDPR, basadas en una base de datos de multas registradas.

El Reglamento General de Protección de Datos (GDPR) es una ley europea de privacidad. En vigor desde 2018, regula cómo recopilas, almacenas y utilizas los datos personales en tu sitio web.

Si estudias las multas GDPR más comunes que los reguladores imponen cada mes, notarás que la mayoría tienen su origen en errores básicos. Flujos de consentimiento deficientes, divulgaciones ocultas y rastreadores que se cargan demasiado pronto son un patrón recurrente.

En este artículo desglosaremos estos fallos habituales en el cumplimiento GDPR para sitios web y cómo puedes resolverlos.

Resumen

El GDPR se aplica a tu sitio web si te diriges a residentes de la UE o los monitoreas, aunque tu empresa no esté establecida en la UE.
La mayoría de las multas citan uno de estos fallos: tratamiento ilícito de datos, transparencia insuficiente, recopilación excesiva de datos y medidas de seguridad inadecuadas.
Si infringes el GDPR, puedes enfrentarte a multas de hasta 20 millones de euros o el 4 % de tus ingresos globales.
Muchas infracciones comienzan de forma silenciosa en el lado del cliente, donde scripts y rastreadores de terceros recopilan datos sin que nadie en tu equipo lo detecte.
Los reguladores esperan evidencias: registros de actividad, prueba de que las medidas de seguridad están implementadas y un intento claro de incorporar la privacidad en tu arquitectura.
cside Privacy Watch ayuda a los equipos a detectar riesgos de privacidad en el lado del cliente y a controlar la recopilación de datos del sitio web antes de que se convierta en un problema regulatorio.

Tabla: Distribución de multas GDPR por tipo de infracción (basada en 2.817 multas totales)

Categoría de infracción	Número de multas	Porcentaje del total de multas
Base jurídica insuficiente para el tratamiento de datos	797	28,29 %
Incumplimiento de los principios generales de tratamiento de datos	737	26,16 %
Medidas técnicas y organizativas insuficientes para garantizar la seguridad de la información	523	18,57 %
Cumplimiento insuficiente de los derechos de los interesados	284	10,08 %
Cumplimiento insuficiente de las obligaciones de información	202	7,17 %
Cooperación insuficiente con la autoridad supervisora	157	5,57 %
Cumplimiento insuficiente de las obligaciones de notificación de brechas de datos	51	1,81 %
Participación insuficiente del delegado de protección de datos	25	0,89 %
Desconocido	19	0,67 %
Acuerdo de tratamiento de datos insuficiente	15	0,53 %
Falta de nombramiento del delegado de protección de datos	7	0,25 %

Los requisitos de cumplimiento del GDPR se aplican a tu sitio web en los siguientes casos:

Si ofreces bienes o servicios a personas en la UE o el Reino Unido, aunque esos servicios sean gratuitos.
Si monitoreas el comportamiento de usuarios de la UE en tu sitio. Eso incluye cookies, analítica, mapas de calor, anuncios o perfilado de usuarios.

No necesitas tener una oficina o un equipo en la UE para que se aplique. Si tu sitio se dirige a usuarios de la UE mediante el idioma, los precios, las opciones de envío o las herramientas de seguimiento, el GDPR es aplicable.

Las sanciones GDPR pueden alcanzar los 20 millones de euros, o el 4 % de los ingresos globales totales de tu empresa del ejercicio fiscal anterior, la cantidad que sea mayor.

Es mucho dinero, y tu reputación también estará en juego.

Para evitarlo, aquí tienes 10 fallos comunes de cumplimiento GDPR en sitios web que deberías corregir antes de que se conviertan en costosas demandas.

1. Recopilación ilícita de datos antes del consentimiento

Si utilizas herramientas de terceros en tu sitio web, pueden contener scripts maliciosos que extraen datos sin tocar tu backend. Incluso en el caso de scripts no maliciosos, los proveedores externos pueden modificar el código o ampliar los scripts para recopilar datos sin tu conocimiento.

Los scripts mal configurados agravan el problema. Pueden ejecutarse antes del consentimiento y funcionar en todas las páginas. Cuando eso ocurre, tu sitio recopila datos personales sin autorización, y tú sigues siendo responsable de ese flujo de datos, no el proveedor.

Para solucionar este problema:

Utiliza un software de cumplimiento GDPR para auditar cada script de terceros
Documenta qué datos recopila
Limita dónde pueden ejecutarse los scripts y elimina las herramientas que ya no necesites
Revisa periódicamente las actualizaciones y cambios de los proveedores

2. Scripts y rastreadores de terceros sin supervisión

A medida que tu sitio web crece, también lo hace tu lista de scripts.

Las herramientas antiguas permanecen activas mucho después de que dejes de usarlas. Se añaden nuevos rastreadores para pruebas, campañas y plugins. Nadie comprueba qué recopilan ni adónde van los datos. Los datos salen de tu sitio sin ninguna revisión, lo que pone en riesgo la privacidad de los usuarios y dificulta enormemente la certificación de cumplimiento GDPR.

La solución es:

Asignar responsabilidad sobre las herramientas de terceros y los flujos de datos
Establecer reglas de aprobación antes de que cualquier nuevo script entre en producción
Revisar la recopilación de datos tras cambios en el sitio o lanzamientos de nuevas funcionalidades
Monitorear el comportamiento de los scripts en tiempo real en lugar de hacerlo manualmente

3. Divulgaciones de privacidad inexactas y desactualizadas

Tu política de privacidad suele parecer correcta a primera vista. El problema se esconde en los detalles.

Con cada actualización, los flujos de datos cambian: se activan nuevos formularios, píxeles e integraciones. En la práctica, los equipos suelen lanzar funcionalidades sin señalar los cambios en los datos. Y cuando las divulgaciones ya no coinciden con lo que tu sitio realmente hace, estás engañando a los usuarios.

Los reguladores del GDPR consideran eso una infracción real. Las buenas intenciones no sirven de nada si la información es incorrecta.

Para que tu sitio web cumpla con el GDPR, debes:

Actualizar las divulgaciones cuando cambie la recopilación de datos
Alinear el lenguaje de la política con el comportamiento real del sitio
Redactar en un lenguaje claro que cualquier persona pueda entender de un vistazo
Colocar las divulgaciones cerca de los formularios y los puntos de consentimiento

4. Recopilación excesiva de datos a nivel de script

Muchos sitios web recopilan más datos de los que necesitan. Los scripts capturan direcciones IP completas, datos detallados del dispositivo y registros de eventos extensos para casos de uso básicos. Nadie cuestiona los valores predeterminados. Esto va en contra del cumplimiento del GDPR.

La ley exige que recopiles únicamente lo que responde a una finalidad clara. Los datos adicionales aumentan el riesgo y la exposición sin ningún beneficio real.

Para corregirlo:

Desactiva los campos de datos opcionales en las herramientas de seguimiento
Anonimiza o enmascara los datos personales siempre que sea posible
Limita los eventos a los que respaldan decisiones reales
Revisa la configuración de los scripts tras las actualizaciones

5. Incapacidad para detectar cambios o inyecciones en scripts

Los scripts de tu sitio web no son estáticos. Los proveedores publican actualizaciones. Los plugins cambian de comportamiento. Puede aparecer código nuevo sin ningún ticket ni nota de versión. Es fácil pasar por alto estos cambios, lo que genera riesgos ocultos.

Tu sitio web puede empezar a recopilar y compartir datos personales que nunca aprobaste. Demostrar el cumplimiento ante cualquier informe de infracción del GDPR se vuelve entonces muy complicado.

Sigue estos consejos para evitar estos problemas:

Monitorea los scripts del sitio web en busca de cambios inesperados
Configura alertas para código nuevo o modificado que afecte al tratamiento de datos
Rastrea el comportamiento de los scripts, no solo los nombres de dominio
Revisa los cambios como parte de las comprobaciones periódicas del sitio

6. Mecanismos de consentimiento inválidos o no conformes

Muchos banners de consentimiento parecen correctos pero fallan en la práctica. Ocultan las opciones de rechazo e inducen a los usuarios a aceptar. Algunos cargan el seguimiento incluso después de que el usuario rechace las cookies. Otros agrupan el consentimiento en un lenguaje vago. Esto infringe las normas del GDPR.

El usuario debe dar su consentimiento después de entender cómo y por qué recopilas sus datos. Si se siente presionado y confundido, el consentimiento no es válido.

Para corregirlo:

Coloca los botones de aceptar y rechazar uno al lado del otro
Permite que los usuarios elijan el consentimiento por finalidad
Respeta las elecciones en todas las páginas y sesiones
No realices seguimiento cuando se deniegue el consentimiento

7. Escasa rendición de cuentas de los proveedores externos

Tus proveedores recopilan datos en tu nombre, y muchos equipos confían en ellos sin cuestionarlo. Cuando los proveedores gestionan mal los datos, los reguladores siguen considerándote responsable. Esta brecha suele pasar desapercibida hasta que aparece una reclamación o una auditoría.

La solución es ser cuidadoso al elegir e implementar herramientas de terceros para tu sitio web.

Establece DPAs (Acuerdos de Tratamiento de Datos) con todos los terceros. Pueden adoptar la forma de un DPA estandarizado o uno personalizado.
Pide pruebas, no solo un logotipo de cumplimiento GDPR
Establece límites y responsabilidades claras en materia de datos
Utiliza una herramienta para monitorear cómo se ejecuta el código del proveedor en tu sitio, asegurándote de que la recopilación de datos se ajusta al alcance de tu acuerdo

8. Falta de seguridad en los flujos de datos del lado del cliente

Los actores maliciosos tienen como objetivo tu sitio web porque suele ser la parte menos supervisada de la postura de seguridad. El skimming de datos en sitios web sigue aumentando según investigaciones del Insikt Group, y la débil seguridad del lado del cliente frente a esos ataques conduce a multas GDPR, como quedó demostrado con la multa de 20 millones de libras a British Airways. Bajo el Artículo 32 del GDPR, los reguladores esperan ver salvaguardas implementadas frente a las amenazas de exposición de datos.

Para las salvaguardas de seguridad del lado del cliente debes:

Monitorear el formjacking, las inyecciones de JavaScript malicioso y la manipulación del DOM
Revisar adónde se envían los datos del navegador. Si los datos se envían repentinamente a China o Rusia, es posible que estés sufriendo un ataque de exfiltración de datos.
Mostrar a los auditores pruebas de las medidas de seguridad implementadas, como la monitorización del lado del cliente.
Implementar una herramienta que mantenga un feed de amenazas en tiempo real para alertarte de brechas en la cadena de suministro de los scripts del sitio web presentes en tu sitio (chatbots, herramientas de analítica).

Ten cuidado con las soluciones que prometen seguridad en el lado del cliente mediante escáneres sin código. Estas herramientas son útiles para auditar la lista de scripts de tu sitio, pero dejan una puerta completamente abierta para que los ataques reales pasen desapercibidos.

9. Documentación insuficiente para auditorías e investigaciones

Cuando surge una auditoría o una reclamación, muchos equipos se quedan bloqueados. No pueden explicar claramente los flujos de datos. Los registros están incompletos o desactualizados. Los reguladores esperan respuestas claras y pruebas. Si no puedes explicar qué datos recopilas, adónde van y cuándo se dio el consentimiento, los problemas están garantizados. Por eso:

Mantén registros sencillos de los flujos de datos y sus finalidades
Registra las elecciones de consentimiento y sus actualizaciones
Rastrea los roles de los proveedores y el acceso a los datos
Actualiza los documentos tras cambios en el sitio o en las herramientas

10. Dependencia excesiva de comprobaciones de cumplimiento puntuales

Las empresas suelen tratar las revisiones del GDPR como una tarea puntual. Ejecutan un análisis, corrigen algunos problemas y siguen adelante. Pero tu sitio web sigue cambiando después de eso cada vez que añades una nueva herramienta o un proveedor actualiza la suya.

Debes revisar el cumplimiento del GDPR como parte del flujo de trabajo habitual:

Vuelve a comprobar el consentimiento y el seguimiento tras cada lanzamiento
Establece puntos de control claros para las revisiones de cumplimiento después de cambios en marketing, producto y funcionalidades
Utiliza monitorización automatizada para detectar nuevas recopilaciones de datos en el momento en que se producen, no semanas después

Retrasos en la atención de las DSARs

Cuando un consumidor presenta una Solicitud de Acceso del Interesado (DSAR), ¿estás preparado para mostrar exactamente cómo se tratan y conservan sus datos? Para la mayoría de las empresas es una decisión ética sencilla, pero carecen de los instrumentos técnicos para atender esta solicitud en el plazo establecido (normalmente 30 días).

Por eso es una práctica habitual utilizar una herramienta para DSARs:

Centraliza la recepción (formulario web + correo electrónico), la verificación de identidad y el seguimiento de solicitudes
Mantén un mapa de datos para poder localizar datos personales en todas las aplicaciones y proveedores
Genera un registro de auditoría para los reguladores sobre qué información devolviste y por qué retuviste algo

Errores de los empleados

Los fallos de cumplimiento del GDPR no siempre son intencionados. Pueden ser errores operativos. Un empleado exporta el informe equivocado, pega datos de clientes en el ticket incorrecto o configura mal un enlace compartido. Los organismos de cumplimiento del GDPR suelen reducir la multa cuando ven evidencia clara de que existían medidas de protección de la privacidad, pero que fueron vulneradas por un error honesto.

Asegúrate de que tu equipo recibe formación periódica sobre:

El manejo de datos sensibles (salud, biometría e identificadores financieros)
La gestión segura de exportaciones
Los controles de seguridad y acceso

El GDPR define dos niveles de multa según el tipo de infracción.

Las multas de nivel inferior se aplican a fallos de proceso. Incluyen un mantenimiento deficiente de registros, medidas de seguridad débiles o documentación incompleta. Pueden alcanzar hasta 10 millones de euros o el 2 % de tus ingresos anuales globales.

Las multas de nivel superior se aplican a infracciones graves de derechos. Incluyen la recopilación ilícita de datos, el consentimiento inválido y el uso indebido de datos personales. Pueden alcanzar hasta 20 millones de euros o el 4 % de los ingresos anuales globales.

Los reguladores también evalúan el alcance, la duración, la intención y el comportamiento reincidente. Por eso, las multas escalan en función del impacto, no solo del tamaño de tu empresa.

Con Privacy Watch obtienes visibilidad sobre el lado del cliente, donde los problemas de privacidad comienzan y pasan desapercibidos en silencio.

A diferencia de las auditorías periódicas o los escáneres estáticos, cside monitorea tu sitio web las 24 horas del día, los 7 días de la semana, y mantiene registros de auditoría claros que muestran cómo se comportan los scripts de terceros en tu sitio. Los informes automatizados están diseñados específicamente para los formatos requeridos por GDPR, CCPA e HIPAA.

cside:

Detecta posibles infracciones de privacidad en scripts de terceros y cuartos (subencargados del tratamiento).
Utiliza capas de seguridad configurables para proteger tu sitio web, con la cobertura más profunda del lado del cliente a través de Gatekeeper
Analiza el potencial de amenaza de los scripts de terceros en tu sitio web con puntuación de riesgo mejorada por IA
Acelera el trabajo de cumplimiento con documentación autogenerada por IA para múltiples marcos de privacidad
Envía alertas instantáneas cuando cambian los patrones de recopilación de datos
Bloquea las versiones aprobadas de los scripts para que puedas revertir a una versión segura
Monitorea a qué datos acceden los scripts y adónde se envían esos datos

Growth Marketer Juan Combariza

Researching & writing about client side security.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Prevenir las infracciones del GDPR requiere una postura de cumplimiento integral. Un punto de partida es recopilar la cantidad mínima de datos que necesitas en tu sitio web. El cumplimiento total exige satisfacer los requisitos del GDPR en cuanto a base jurídica para la recopilación, transparencia hacia los usuarios, seguridad de los datos y respeto de los derechos de privacidad.

Para gestionar una brecha de datos bajo el GDPR, debes identificar el incidente rápidamente, evaluar el impacto sobre los usuarios afectados y documentar todos los detalles. Las autoridades reguladoras deben ser notificadas en un plazo de 72 horas desde que tengas conocimiento de la brecha, y los usuarios afectados deben ser informados si existe un riesgo elevado, como la exposición de datos de pago o de identidad.

Las infracciones más comunes del GDPR se agrupan en cuatro categorías principales, que representan aproximadamente el 83 por ciento de las acciones de cumplimiento: base jurídica insuficiente para el tratamiento de datos, incumplimiento de los principios generales de tratamiento de datos como la falta de limitación de la finalidad, medidas de seguridad técnica insuficientes y falta de cumplimiento de los derechos de los interesados.

Un sitio web cumple con el GDPR cuando recopila únicamente los datos necesarios, obtiene el consentimiento válido cuando es requerido y explica claramente el tratamiento de datos a los usuarios. También debe proteger los datos personales frente a brechas, demostrar control sobre los encargados del tratamiento de terceros como los scripts, y respetar los derechos de los usuarios, incluidos el acceso, la supresión y la oposición.

Operar un sitio web no conforme expone tu negocio a multas, auditorías y avisos públicos de cumplimiento, además de dañar la confianza de los clientes. Las sanciones pueden ir desde multas administrativas menores hasta cientos de millones de dólares. Muchas organizaciones también exigen el cumplimiento del GDPR de forma contractual, por lo que la falta de cumplimiento puede traducirse en pérdida de oportunidades de negocio.

Un problema de cumplimiento GDPR se produce cuando las prácticas de recopilación de datos de tu sitio web, los mecanismos de consentimiento, los controles de seguridad o la documentación de cumplimiento no satisfacen los requisitos del GDPR.

Esta es una de las categorías de infracción del GDPR más frecuentes y suele referirse a vulneraciones del Artículo 5. Las autoridades reguladoras utilizan esta clasificación cuando las prácticas generales de gestión de datos de una empresa están fundamentalmente desalineadas con los principios del GDPR, aunque no se cite ningún fallo técnico concreto.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.

10 fallos comunes de cumplimiento GDPR en sitios web (y cómo prevenirlos)

Resumen

¿Se aplica el GDPR a tu sitio web?