La empresa Crema Games, conocida por desarrollar el videojuego Temtem, ha recibido una sanción de 5.000 euros por parte de la Agencia Española de Protección de Datos (AEPD). ¿El motivo? No haber gestionado bien una solicitud de acceso a los datos personales de un usuario.
En este artículo te explicamos de forma fácil, qué ha pasado exactamente, qué errores cometió la empresa y cómo podrías evitarlos en tu propio negocio si también tienes una web o trabajas en una empresa digital.
Puedes leer la resolución completa aquí
Todo empezó cuando un usuario pidió ejercer su derecho de acceso (previsto en el artículo 15 del RGPD). Quería saber si Crema Games estaba tratando datos personales sobre él, y en ese caso, obtener una copia de esos datos, saber con qué fines se usaban y si habían sido compartidos.
La solicitud se hizo por correo electrónico. El usuario incluyó identificadores relacionados con su cuenta y más tarde envió una versión censurada de su documento de identidad, ocultando datos sensibles como la foto o el número del documento.
Sin embargo, Crema Games le dijo que esa identificación no era válida y que necesitaban una copia completa de su documento de identidad. Y aquí empieza el primer problema, ya que la AEPD consideró esta exigencia como algo excesiva y que no respetaba el principio de minimización de datos.
La AEPD considera que no es necesario pedir una copia completa del DNI si ya hay formas para poder identificar de forma razonable a la persona. De hecho, la ley dice que solo se deben pedir los datos estrictamente necesarios, ni más ni menos, a esto se le llama el principio de minimización.
Este principio dice que solo se deben recoger y tratar los datos imprescindibles para la finalidad que se persigue. Pedir un documento completo, incluyendo datos que no son necesarios para verificar la identidad, por tanto no es proporcional.
En este caso, el usuario ya había facilitado sus identificadores y escrito desde un correo que permitía relacionarlo razonablemente con su cuenta. Por tanto, la empresa debería haber aceptado esa forma de identificación.
Este es un error muy común en muchas empresas: pensar que es más seguro pedir más datos, cuando en realidad eso puede ser ilegal si no hay una razón de peso.
En Lawwwing, ayudamos a las empresas a gestionar este tipo de solicitudes sin pedir más datos de la cuenta, y de forma totalmente segura. Así se evitan errores como este y posibles sanciones.
Otro error que hizo Crema Games fue no responder en plazo a la AEPD cuando les pidió información. Si recibes una solicitud oficial de la AEPD, tienes que responder dentro del plazo establecido, sí o sí.
Para las empresas, esto debe ser una llamada de atención: los plazos importan. No responder a la AEPD dentro del tiempo establecido puede tener consecuencias que pueden acabar en sanciones económicas adicionales.
Con la herramienta de Lawwwing, estos plazos no se te pasan. Nuestra plataforma te avisa de todo y te ayuda a cumplir los plazos para evitar sanciones.
Después de analizar los hechos, la AEPD llegó a la conclusión de que se había producido una infracción del artículo 15 del RGPD por no facilitar correctamente el acceso a los datos solicitados. Además de la desproporción en la verificación de identidad del usuario y la falta de respuesta en plazo.
La multa que deberá pagar Crema Games es de 5.000 euros, que deja una lección clara: si tienes una empresa, una web o recoges datos personales de usuarios, debes cumplir con ciertas normas, hay que respetar los derechos de los usuarios.
Lo que pueden aprender las empresas digitales
Este caso deja tres grandes lecciones para cualquier empresa que tenga una web, app o recoja datos personales:
No respetar estos puntos puede suponer una sanción económica.
¿Y cómo evitar que te pase lo mismo?
Aquí van unos consejos fáciles:
Si no sabes cómo implementar todo esto o prefieres hacerlo con garantías, en Lawwwing te lo ponemos fácil. Nuestra plataforma está diseñada para ayudarte a cumplir con la normativa sin complicaciones.
La sanción a Crema Games demuestra que la protección de datos no es solo un tema legal: es parte fundamental de la confianza digital. Cumplir con el RGPD no tiene por qué ser difícil si se aplican los principios adecuados y se cuenta con herramientas que automatizan el cumplimiento.
En un entorno digital donde la información personal es cada vez más valiosa, ser una empresa responsable en el tratamiento de datos no es opcional, es una ventaja competitiva.
