El blog examina violaciones reales de la privacidad que exponen las deficiencias de los sistemas de consentimiento tradicionales. Argumenta que los modelos de consentimiento estáticos y universales pueden erosionar la confianza y los derechos de los usuarios, por lo que se requiere una gestión del consentimiento adaptativa: flexible, transparente y que responda a la evolución de las tecnologías, las regulaciones y las expectativas de los usuarios.
El consentimiento se ha convertido en la piedra angular de la confianza entre organizaciones e individuos. Cada vez que descargamos una aplicación, nos registramos en un servicio o incluso navegamos por internet, se nos pide permiso para que nuestros datos se recopilen, almacenen y, en ocasiones, compartan.
Pero con demasiada frecuencia, ese "consentimiento" queda oculto en la jerga legal, se manipula mediante patrones oscuros o se ignora por completo una vez otorgado. Recientes fallos de alto perfil sobre el RGPD y multas contra empresas como Spotify, Vodafone y Flightradar24 revelan cómo incluso marcas consolidadas siguen gestionando incorrectamente los datos de sus usuarios. A veces, esto ocurre por negligencia, a veces mediante sistemas obsoletos que no pueden seguir el ritmo de los desafíos modernos de privacidad.
Sin importar el motivo ni el modo, este tipo de casos subrayan la urgente necesidad de una gestión adaptativa del consentimiento: sistemas diseñados para evolucionar con las expectativas de los usuarios, los cambios regulatorios y las nuevas tecnologías como la IA.
En junio de 2025, la autoridad sueca de protección de datos (IMY) amonestó a Flightradar24 AB por infringir los artículos 12(2) y 12(6) del RGPD entre el 25 de mayo de 2018 y el 22 de junio de 2021. ¿El problema? El servicio de seguimiento de vuelos exigía sistemáticamente a los propietarios de aeronaves que presentaran certificados oficiales de matriculación, incluso cuando ya se habían presentado otras pruebas de identidad razonables. Esto retrasaba o impedía el borrado legítimo de sus datos. IMY determinó que esto violaba el derecho de los usuarios al borrado y a la transparencia. Si bien la agencia reconoció el interés legítimo en dicho seguimiento, ordenó a Flightradar24 que suspendiera este estricto requisito y agilizara los métodos de verificación en el plazo de un mes desde la fecha de firmeza de la decisión.
Este caso ilustra cómo incluso procedimientos predeterminados aparentemente inofensivos pueden convertirse en obstáculos para el ejercicio del derecho a la privacidad. Un sistema que asume que un método de verificación es el único aceptable puede frustrar solicitudes legítimas e inclinar la balanza hacia la conveniencia organizativa en detrimento de los derechos individuales.
También a mediados de 2025, el Tribunal de Apelación de Estocolmo confirmó una multa de 58 millones de coronas suecas (aprox. 5,2-5,4 millones de euros) contra Spotify AB. El tribunal confirmó las conclusiones de que las divulgaciones de privacidad de Spotify no eran lo suficientemente claras ni accesibles, y no informaban a los usuarios sobre cómo ejercer sus derechos conforme al RGPD. Además, Spotify omitió detalles cruciales sobre cuánto tiempo se almacenan los datos personales y qué garantías se aplican cuando se transfieren a terceros países u organizaciones internacionales.
Al no traducir las obligaciones legales en términos claros y fáciles de entender, y al ocultar información estructural clave, Spotify privó a los usuarios de un control significativo sobre sus datos. Esto refuerza el principio de que el consentimiento no se trata solo de marcar una casilla; requiere claridad y comprensión constantes.
En junio de 2025, los reguladores alemanes multaron a Vodafone GmbH con 45 millones de euros (unos 51 millones de dólares estadounidenses), repartidos en 15 millones por la deficiente supervisión de las agencias asociadas que engañaron a los clientes para que firmaran contratos ficticios, y 30 millones por vulnerabilidades de autenticación que expusieron los perfiles de eSIM a terceros no autorizados a través de su portal en línea y su línea directa.
Este caso pone de relieve que las infracciones del consentimiento no siempre se deben a acciones o negligencia del usuario, sino que pueden surgir de fallos estructurales: acuerdos de intercambio de datos poco claros, una supervisión inadecuada de terceros y canales de autenticación inseguros pueden permitir que los marcos de consentimiento se desmoronen, con daños tangibles.
En un ámbito más amplio, los defensores de la privacidad argumentan que muchas aplicaciones de citas no incorporan el consentimiento en su diseño, incluso al implementar funciones basadas en IA. Según la Electronic Frontier Foundation, aplicaciones como Grindr, Tinder, Bumble, Hinge y OK-Cupid están implementando herramientas de IA, desde chatbots hasta editores de perfiles, que a menudo utilizan "tu información más personal para entrenar sus herramientas de IA", tratando los datos profundamente personales como material para la innovación en lugar de requerir un consentimiento explícito y específico del contexto.
Esto pone de relieve la compleja dinámica del consentimiento en la IA: los usuarios pueden dar su consentimiento general al registrarse, pero no explícitamente a que sus datos se utilicen para entrenar la IA o manipular algoritmos con entradas extremadamente personales.
Otro caso destaca la comunicación lenta o incompleta de las acciones de borrado. Una autoridad húngara determinó que un responsable del tratamiento de datos eliminó la cuenta de un usuario en noviembre de 2018, pero no le informó hasta marzo de 2019, infringiendo el artículo 12(3) (comunicación oportuna de las medidas adoptadas) y los requisitos de transparencia del RGPD. La autoridad impuso una multa de aproximadamente 13.244 euros.
Incluso cuando finalmente se eliminan los datos, no notificar rápidamente a los usuarios puede socavar la confianza y crear confusión, negando efectivamente el valor del derecho de borrado.
Estas infracciones reales revelan que los modelos de consentimiento estáticos y universales ya no son adecuados. Es imperativo un cambio hacia una gestión adaptativa del consentimiento, dinámica por diseño. Esto es lo que la hace esencial:
Los procesos de verificación rígidos, como exigir un certificado específico, pueden bloquear solicitudes genuinas. Los sistemas de gestión del consentimiento deben incluir múltiples vías de verificación, elegidas dinámicamente según el contexto. Si un usuario ya ha proporcionado documentación fiable, el sistema debe adaptarse y aceptar pruebas alternativas. El caso de Flightradar24 ilustra a la perfección los riesgos de ignorar esta adaptabilidad.
La comprensión del usuario de lo que consiente debe evolucionar junto con los cambios del sistema. Los sistemas deben adoptar avisos por capas e interfaces adaptativas que muestren información relevante, como los periodos de retención de datos o las transferencias internacionales, en el momento del procesamiento o la solicitud de datos, no simplemente oculta en largos documentos legales. La sanción de Spotify es una llamada de atención en este sentido. Responsabilidad de terceros
Las organizaciones deben supervisar y auditar activamente a sus socios para garantizar que el consentimiento y la protección de la privacidad se preserven en todo el ecosistema. Las fallas de Vodafone Alemania resaltan la necesidad de una supervisión dinámica, que incluya paneles de control en tiempo real, auditorías automatizadas y una rápida escalada ante anomalías.
La IA y el aprendizaje automático introducen nuevos vectores de complejidad en el consentimiento. El uso de datos personales para el entrenamiento de la IA es un uso secundario que requiere un consentimiento explícito, específico, informado y revocable. Los marcos de consentimiento deben capturar y reflejar dinámicamente dichas decisiones. Si un usuario opta por no usar macros basadas en IA, el sistema debe aplicarlo y mostrar herramientas de IA con opciones de consentimiento granulares y sobre la marcha.
Se debe notificar a los usuarios con prontitud cuando los responsables del tratamiento toman (o rechazan) medidas relacionadas con sus solicitudes de datos. El caso húngaro muestra cómo la falta de notificación a los usuarios socava el control y los derechos individuales. Los sistemas adaptativos deben incluir mensajes de confirmación automatizados con próximos pasos o plazos claros.
Los ejemplos de Flightradar24, Spotify, Vodafone Alemania y otros demuestran que las violaciones de la privacidad y los fallos de consentimiento surgen no solo de intenciones maliciosas, sino también de sistemas estáticos que no están preparados para realidades cambiantes y con matices. Ya se trate de solicitudes de borrado, exigencias de transparencia, riesgos de terceros o usos derivados de la IA, el consentimiento debe ser fluido, contextual y receptivo.
Para salvaguardar los derechos fundamentales en el ecosistema digital actual, la gestión del consentimiento debe evolucionar para ser adaptativa, transparente, centrada en el usuario y resiliente. Solo así las personas podrán ejercer un verdadero control sobre su información personal en un mundo donde los datos son dinámicos y las expectativas, fluidas.
©2025 CookieHub ehf.
