UODO Polonia: Más multas RGPD que Francia
Actualizado para 2026
Polonia supera sus expectativas
La autoridad de protección de datos de Polonia es el Urząd Ochrony Danych Osobowych (UODO). Impuso 47 multas RGPD en 2023. Total: 2,8 millones de euros. Ese mismo año tramitó 8.234 reclamaciones. Por habitante, esa tasa de multas supera a Francia, Alemania y la mayoría de los países de Europa occidental.
Para las empresas en Polonia, esto es un riesgo real — no solo papeleo.
Por qué Polonia aplica más que Occidente
Cultura de reclamación. Polonia tiene 38 millones de personas con un fuerte conocimiento de los derechos digitales. Los grupos de privacidad presentan grandes volúmenes de reclamaciones. La autoridad gestiona miles de casos cada año.
Exposición del sector BPO. Polonia es uno de los mayores centros de externalización de la UE. Los centros de llamadas polacos procesan datos para clientes en Alemania, Francia, el Reino Unido y los Países Bajos. Cada flujo de datos crea dos riesgos: acción de la autoridad polaca y acción de la autoridad principal de los ciudadanos afectados.
Brechas de datos sanitarios. Las notificaciones de datos de salud aumentaron un 45 % en 2024. Los datos de salud son datos de categoría especial según el artículo 9 del RGPD. Eso implica mayor riesgo de multa para los procesadores de datos de salud.
Registros ausentes. El 34 % de las empresas polacas carecen de un Registro de Actividades de Tratamiento (RAT) documentado. Los auditores buscan esto primero. Un RAT ausente lleva a una revisión más profunda.
El problema PESEL
El PESEL es el número de identificación nacional polaco de 11 dígitos. Los dígitos 1 a 6 codifican la fecha de nacimiento. Los dígitos 7 a 10 son un número de secuencia. El último dígito es un dígito de control. Usa una fórmula ponderada del Ministerio polaco de Asuntos Digitales.
Las herramientas PII genéricas fallan con PESEL de dos formas.
Fallo de patrón. La mayoría de las herramientas reconocen formatos de identificación estadounidenses o británicos. Un número de seguro social americano tiene 9 dígitos. Un número NI británico es alfanumérico. El formato de 11 dígitos del PESEL no está en sus datos. Lo pasan por alto.
Fallo de validación. Incluso cuando una herramienta detecta 11 dígitos, no puede confirmar el dígito de control. Esto crea falsos positivos y falsos negativos. Los PESEL reales con dígitos transpuestos escapan al control.
El PESEL aparece en casi todos los documentos polacos: historiales médicos, expedientes laborales, formularios fiscales y pólizas de seguro. No detectarlo deja expuesto el identificador más importante.
El 89 % de las herramientas PII probadas con documentos polacos no detectan correctamente el PESEL.
Otros identificadores polacos que las herramientas omiten
NIP (Numer Identyfikacji Podatkowej). Identificador fiscal de 10 dígitos con suma de verificación ponderada. Presente en facturas, contratos y registros laborales.
REGON. Número empresarial de 9 o 14 dígitos para todas las empresas polacas. Aparece en documentos de proveedores y compradores.
Dowód osobisty. Documento de identidad polaco en formato XXX NNNNNN — tres letras, luego seis dígitos — con su propia regla de dígito de control. Necesario para trámites bancarios, sanitarios y gubernamentales.
Los tres presentan lagunas de detección similares al PESEL.
Prioridades de aplicación 2024–2025
Datos sanitarios. Los informes de brechas de proveedores de salud aumentaron un 45 % en 2024. Se están realizando auditorías proactivas. Hallazgos frecuentes: controles de acceso débiles, sin cifrado y evaluaciones de impacto (EIPD) ausentes.
Vigilancia de empleados. El trabajo remoto llevó a muchas empresas a añadir registros de teclas y capturas de pantalla. La mayoría infringen las reglas de limitación de finalidad del RGPD. Los casos de datos de empleados representan el 28 % de las acciones de control.
Cadenas de subencargados. El sector de externalización polaco usa redes de proveedores complejas. Las auditorías encuentran Acuerdos de Tratamiento de Datos (ATD) ausentes entre procesadores principales y subencargados. Las herramientas de los subencargados también deben cumplir con el artículo 32 del RGPD.
Medidas técnicas que superan la auditoría
Las decisiones de aplicación señalan tres controles obligatorios.
Cifrado. Todos los datos personales deben estar cifrados en reposo y en tránsito. Los controles de acceso solos no bastan. Empresas que solo usaban reglas de acceso han sido multadas.
Anonimización documentada. Las empresas que afirman que los datos son anónimos deben demostrarlo. La autoridad exige evidencia técnica de que la reidentificación no es factible.
Cobertura de detección PII. Las salvaguardas deben cubrir los identificadores polacos. PESEL con validación de suma de comprobación, NIP, REGON y dowód osobisty deben ser detectables. Las herramientas entrenadas en inglés no alcanzan este estándar.
El sector BPO polaco procesa 2,3 millones de registros de clientes europeos cada día. Las empresas sin detección PII específica para el polaco asumen un alto riesgo de multa — de la autoridad nacional y de las autoridades principales en la UE.
Nuestra guía de cumplimiento RGPD cubre las necesidades de documentación. Nuestro resumen de cumplimiento de seguridad explica los controles técnicos. Para la detección PII multilingüe, consulte nuestra guía de detección PII multilingüe.