Caso concreto 2026 — El formulario de contacto de gofoodup.com (marca “FoodUp”) recopila 6 campos de datos personales (nombre, apellido, correo electrónico, teléfono, nombre del restaurante, mensaje libre) sin ninguna política de privacidad visible, ni encima del formulario, ni en pie de página, ni en ninguna parte del sitio. Es una violación flagrante del art. 13 RGPD sancionable por la CNIL. Ver el estudio de caso factual completo →
Cuando un sitio web recopila la mínima cantidad de datos personales — tu nombre, tu apellido, tu correo electrónico, tu teléfono — debe, en el momento mismo de la recopilación, proporcionar información completa según el RGPD. No un enlace diminuto en la parte inferior de la página. No un “al enviar este formulario aceptas nuestras condiciones” sin nada detrás. Una información clara, completa y fácilmente accesible sobre lo que se hará con tus datos.
En 2026, en el mercado de proveedores “gestión de entregas” para restaurantes, esta obligación todavía se respeta de manera muy desigual. Aquí hay cómo verificarlo y cómo interpretarlo.
Lo que exige la ley (artículo 13 RGPD)
El artículo 13 del Reglamento General de Protección de Datos enumera 11 información que un responsable del tratamiento (quien recopila los datos) debe comunicar a la persona afectada en el momento de la recopilación:
- Identidad y datos de contacto del responsable del tratamiento
- Datos del DPO (Delegado de Protección de Datos) si designado
- Finalidades del tratamiento (para qué servirán los datos)
- Base legal del tratamiento (consentimiento, contrato, interés legítimo…)
- Destinatarios de los datos (subcontratistas, servidor, CRM, etc.)
- Transferencia fuera de la UE en caso de que sea así, con las garantías previstas
- Duración de la conservación de los datos
- Derechos de la persona (acceso, rectificación, borrado, oposición, portabilidad)
- Derecho a retirar su consentimiento en cualquier momento
- Derecho a presentar una reclamación ante la CNIL
- Consecuencias si la persona se niega a proporcionar los datos
En concreto: un enlace “Política de privacidad” debe estar presente directamente encima del botón de envío del formulario, o integrado en el formulario mismo con una casilla de verificación (para el consentimiento) si es pertinente.
Las sanciones
El artículo 83 del RGPD prevé hasta 20 millones de euros o 4 % del volumen de negocio anual mundial (el más alto de los dos) por falta de información a la persona afectada.
En Francia, la CNIL aplica estas sanciones de manera gradual pero real. Para las PYMES, las multas más frecuentes oscilan entre 3.000 € y 20.000 € con obligaciones de cumplimiento bajo sanción (por ejemplo: 500 € por día de retraso).
Sobre todo, el simple notificación a la CNIL es gratuita, rápida y desencadena un procedimiento de investigación formal. Todo restaurante que haya constatado una recopilación abusiva puede hacerlo en 5 minutos en cnil.fr/fr/plaintes por todo internauta, sin tener que ser víctima — solo es necesario haber constatado la violación.
Cómo verificar en un sitio de proveedor
- Encuentra el formulario de contacto (solicitud de demostración, auditoría gratuita, contacto directo…).
- Enumera los campos solicitados : nombre, apellido, correo electrónico, teléfono, nombre del restaurante, dirección, mensaje… Cada uno es un dato personal.
- Mira justo encima del botón de envío : ¿hay un enlace “Política de privacidad” o similar? ¿Hay una casilla de verificación para el consentimiento?
- Si no hay nada : es una infracción. El restaurante que envía este formulario transmite sus datos personales a un responsable del tratamiento que no respeta su obligación de información.
Verificación complementaria: busca un enlace “Política de privacidad” en el pie de página o en el menú. Si no existe en ningún lugar del sitio, es un incumplimiento caracterizado.
Caso observado en 2026: gofoodup.com (marca “FoodUp”)
Durante nuestra auditoría del ecosistema “boost de entrega” en mayo de 2026, el formulario de contacto de gofoodup.com es emblemático de una violación del RGPD caracterizada (análisis completo en el estudio de caso dedicado). Concretamente, el formulario:
- Recopila 6 campos de datos personales : nombre, apellido, dirección de correo electrónico, teléfono, nombre del restaurante, mensaje libre
- No muestra ninguna política de privacidad (ni encima del formulario, ni en el pie de página, ni en ninguna parte del sitio — las URLs
/privacy,/politique-confidentialitedevuelven HTTP 404) - No identifica ningún responsable del tratamiento (sin SIRET, sin razón social, sin dirección — por lo tanto, la persona cuyos datos se recopilan ni siquiera sabe QUÉ trata sus datos)
- No muestra ninguna información sobre los destinatarios de los datos recopilados
- No muestra ninguna información sobre la duración de la conservación
- No menciona ningún derecho de las personas (acceso, rectificación, borrado, oposición, portabilidad)
- No identifica ningún DPO (aunque el volumen de recopilación y la sensibilidad (teléfono profesional + nombre comercial del restaurante = re-identificación inmediata) pueden hacer que la designación sea pertinente según el artículo 37 RGPD)
Esto se llama una violación flagrante del RGPD según el artículo 13. El número de campos (6) y la sensibilidad (teléfono profesional + nombre comercial del restaurante = re-identificación inmediata) no dejan lugar a dudas. La CNIL puede ser citada en 5 minutos desde cnil.fr/fr/plaintes por cualquier internauta, sin tener que ser víctima — solo es necesario haber constatado la violación.
Por qué tú, restaurante, estás personalmente afectado
Si transmites a un proveedor tus datos + los de tu establecimiento (y más tarde los datos de clientes de tu perfil Uber Eats), asumes dos riesgos acumulados :
- Riesgo directo : tus datos están en manos de un actor que no respeta sus obligaciones RGPD. Sin duración de conservación = potencialmente guardados indefinidamente. Sin destinatarios listados = potencialmente revendidos a terceros (data brokers, otros proveedores). Sin DPO = persona a la que contactar en caso de incidente.
- Riesgo indirecto (el más grave) : en el momento en que confías a un proveedor los datos de tus clientes (pedidos, direcciones, teléfonos de entrega), tú eres el responsable del tratamiento para estos datos. El proveedor es tu subcontratista según el artículo 28 del RGPD. Esto implica un contrato formal obligatorio (DPA) que debe enumerar 10 obligaciones específicas del subcontratista. Sin política de privacidad pública, es poco probable que este proveedor te proporcione un DPA conforme. En caso de control CNIL en tu negocio, tú serás sancionado (responsable del tratamiento) por haber confiado tus datos de clientes a un subcontratista no conforme.
Por lo tanto, tu interés directo, legalmente, financieramente y operativamente, es no firmar con un proveedor que no cumple la conformidad RGPD básica.
Qué hacer si identificas un caso
- No envíes el formulario. Si quieres contactarlos, hazlo a través de un canal alternativo (mensaje directo en LinkedIn al fundador si lo encuentras, por ejemplo), evitando así transmitirles datos personales hasta que exista una política de privacidad en línea.
- Documenta : captura de pantalla datada del formulario y del pie de página del sitio, archivo en archive.org/web que horodate y conserva la prueba gratuitamente.
- Denuncia a la CNIL : cnil.fr/fr/plaintes, procedimiento en línea, gratuito. No necesitas ser víctima — cualquier internauta puede denunciar una violación observada.
- Elige un proveedor conforme : Fooderise muestra su política de privacidad desde el pie de página de cada página, proporciona un DPA estándar con sus clientes, y identifica su DPO. Es lo mínimo que debes exigir para confiar los datos de tus clientes en entrega.
En resumen
Un formulario de contacto que recopila 6 campos personales sin política de privacidad no es un “detalle técnico” — es una violación flagrante del RGPD, que expone al proveedor a sanciones CNIL, y que a ti te expone en el momento en que le confíes posteriormente los datos de clientes.
Rejoignez la communauté Fooderise
Recevez plus de conseils comme celui-ci directement sur WhatsApp. Gratuit, sans spam.
Rejoindre la chaîneUne correction ou une suggestion ?
Vous êtes éditeur, restaurateur ou expert du secteur et vous repérez une information à corriger ou à compléter ? Aidez-nous à tenir cet article à jour.
Proposer une amélioration