Cada vez más organizaciones implementan procesos de autenticación y verificación de usuarios en sus páginas web, apps y entornos digitales. Estas pueden ser sancionadas por la Agencia Española de Protección de Datos (AEPD) si realizan una mala gestión del tratamiento de datos personales en los procesos de autenticación o verificación de usuarios en sus páginas web o aplicaciones móviles.
Estas sanciones se basan tanto en el Reglamento General de Protección de Datos (RGPD) como en la Ley Orgánica 3/2018 (LOPDGDD).
Fundamentos jurídicos de las sanciones: ¿Qué exige el RGPD en procesos de verificación?
Las posibles infracciones que pueden derivar en sanción incluyen, entre otras:
Falta de base jurídica para el tratamiento
RGPD, art. 6 → Todo tratamiento (incluido el login o verificación) debe basarse en una de las bases legales establecidas: consentimiento, interés legítimo, obligación legal, etc.
Recogida excesiva de datos personales
RGPD, art. 5.1.c → Principio de minimización de datos: no se pueden solicitar más datos de los estrictamente necesarios para la autenticación.
Ausencia o deficiencia en la información al usuario
RGPD, art. 13 y 14 → Obliga a informar al usuario sobre el tratamiento de datos en el momento de su recogida. Formularios de registro o login deben ir acompañados de una política de privacidad clara y accesible.
Medidas de seguridad inadecuadas
RGPD, art. 32 → El tratamiento debe ir acompañado de medidas técnicas y organizativas apropiadas, especialmente en procesos críticos como el login, que pueden implicar contraseñas, doble factor, etc.
Vulneración de derechos del interesado (ARCO-POL)
Si el sistema de autenticación impide, por ejemplo, el ejercicio del derecho de supresión o portabilidad, es sancionable.
Ejemplos de malas prácticas sancionadas
| Práctica | Comentario | Posible infracción |
| Solicitar el DNI completo sin justificación en un formulario de registro | Excesivo | Art. 5.1.c RGPD |
| Almacenar contraseñas en texto plano | Riesgo grave | Art. 32 RGPD |
| No informar sobre el uso de reCAPTCHA (Google) para autenticar | Falta de transparencia | Art. 13 RGPD |
| Impedir acceso a la cuenta si el usuario no acepta cookies | Violación de consentimiento libre | Considerando 42 RGPD |
Casos reales sancionados por la AEPD
La AEPD ha impuesto multas de hasta cientos de miles de euros por errores en el diseño o la gestión de procesos de autenticación. Entre las situaciones más frecuentes sancionadas encontramos:
- Contraseñas sin cifrado o mal almacenadas.
- Implementación incorrecta de la doble autenticación.
- Verificación por correo electrónico sin seguridad suficiente.
- Accesos no autorizados por parte de terceros.
- Falta de información clara sobre el tratamiento de datos durante el proceso de login.
Recomendaciones clave para evitar sanciones
- Aplica el principio de “Privacy by Design and by Default” (art. 25 RGPD).
- Usa protocolos seguros (HTTPS, cifrado, doble factor).
- Minimiza la recogida de datos personales en el proceso de login.
- Informa claramente sobre el tratamiento de datos en los procesos de verificación.
- Realiza evaluaciones de impacto (EIPD) si se tratan categorías especiales o si hay riesgos elevados.
Como respuesta final. Sí, las empresas pueden ser sancionadas por la AEPD por irregularidades en la autenticación de usuarios si incumplen con el RGPD y la LOPDGDD. Es fundamental que cualquier proceso de login/verificación esté diseñado con garantías de privacidad, proporcionalidad y seguridad.