Con la entrada en vigor del nuevo Reglamento General de Protección de Datos el 25 de mayo de 2018, es crucial que las organizaciones se den cuenta del efecto que tendrá en su negocio. Las organizaciones deben poner en marcha una campaña sobre el RGPD para planificar la implantación de nuevos procedimientos que permitan alcanzar la plena conformidad.
El Consejo de Normas de Seguridad del Sector de las Tarjetas de Pago (PCI SSC) ha advertido a las empresas británicas de que podrían enfrentarse a sanciones de hasta 122.000 millones de libras esterlinas por violación de datos cuando entre en vigor la nueva legislación de la UE.
Según una encuesta sobre violaciones de la seguridad de la información de 2015, el 90 % de las grandes organizaciones y el 74 % de las pymes del Reino Unido informaron de una violación de la seguridad, lo que pone de relieve la importancia de iniciar una campaña de preparación para el GDPR con bastante antelación a la fecha de aplicación de 2018.
El RGPD introducirá multas por incumplimiento de hasta 20 millones de euros o el 4% de la facturación anual mundial, lo que sea mayor. Estas cifras superarán con creces la actual multa máxima de 500.000 libras esterlinas impuesta por la OIC. Sin embargo, las sanciones del RGPD son solo una faceta de la reacción que recibirán las empresas si no protegen los datos de sus clientes de forma eficaz. El daño a la reputación, la interrupción del negocio y las pérdidas financieras también tienen un impacto significativo en las empresas que sufren una violación de datos.
A continuación hemos recopilado algunas de las principales violaciones de datos que han saltado a los titulares en los últimos años y el efecto que tendría el GDPR en una violación de escala similar en mayo de 2018.
1. Habla, habla
En octubre de 2016, la Oficina del Comisionado de Información (ICO) sancionó a Talk Talk con una multa de 400.000 libras por el ciberataque de 2015 que expuso los datos personales de más de 150.000 clientes. Teniendo en cuenta que la empresa habría sido multada con más de 71 millones de libras en virtud de la nueva legislación del GDPR, TalkTalk se libró de la multa.
400.000 libras frente a 71 millones de libras
2. Yahoo
En 2014, Yahoo sufrió una de las mayores violaciones de datos de todos los tiempos que afectó a 500 millones de usuarios. También reveló una filtración a gran escala de 2013 que comprometió 1.200 millones de cuentas de usuarios. Para ponerlo en perspectiva, ¡eso es una de cada siete u ocho personas en la Tierra! Las filtraciones llegaron a los titulares a finales de 2016, lo que otorgó a Yahoo la corona del mayor ciberataque de la historia relacionado con una filtración de datos personales.
Teniendo en cuenta que las cifras de ingresos de Yahoo han alcanzado la marca de 4.500 millones de dólares en los últimos años, se ha predicho que Yahoo tendría que pagar 90 millones de dólares o más a la UE en virtud del GDPR, considerando que procesa datos de ciudadanos de la UE. Si unimos esto al hecho de que Verizon (que compró Yahoo poco después de la filtración) pagó 350 millones de dólares menos de lo que estaba dispuesto a pagar en un principio, Yahoo sufrió enormemente a causa de este ataque.
3. Sony
En abril de 2011, PlayStation Network fue blanco de piratas informáticos cuya identidad aún se desconoce. Sony dijo en un principio que la información personal de 78 millones de usuarios de PlayStation Network había sido expuesta. Sin embargo, el número de cuentas vulneradas aumentó posteriormente en 24,6 millones cuando los investigadores revelaron que los atacantes también se habían infiltrado en Sony Online Entertainment y Qriocity. También se robaron los datos de las tarjetas de crédito de 23.400 usuarios de SOE en Europa. En 2013, Sony recibió una multa de 250.000 libras de la Oficina del Comisionado de Información (ICO). Sin embargo, Sony podría haber sido multada con algo más de 2.500 millones de dólares si el GDPR hubiera estado en vigor.
250.000 libras frente a 2.500 millones de dólares
4. Tres móviles
A finales de 2016, uno de los mayores proveedores de red del Reino Unido, Three Mobile, confirmó que se había accedido a los datos de 133.827 de sus nueve millones de cuentas de clientes. Esto ocurrió después de que un hacker utilizara credenciales de empleados para entrar en la base de datos de Three. La información robada incluía nombres, direcciones, números de teléfono y direcciones de correo electrónico, entre otros datos. De acuerdo con el GDPR, Three podría haberse librado de una multa estimada en 84 millones de libras, lo que pone de manifiesto una vez más la importancia del cumplimiento del GDPR
5. Tesco
En 2016, el sector bancario del gigante de los supermercados sufrió un ataque que provocó el robo de 2,5 millones de libras de las cuentas de 9.000 clientes. Se estima que si el GDPR hubiera estado en vigor en ese momento, Tesco habría tenido que pagar una multa de 1.900 millones de libras.
El actual y creciente nivel de amenazas en el ámbito de la ciberseguridad, por no hablar de las cuantiosas multas, junto con la pérdida de confianza de los clientes, sólo puede significar una cosa: es imperativo que las organizaciones mejoren en todos los aspectos del cumplimiento y la concienciación en materia de ciberseguridad para prevenir, detectar y responder a los ciberataques que pueden dar lugar a violaciones de los datos personales.
En MetaCompliance nos dedicamos a servir a las organizaciones de todas las plataformas para lograr el cumplimiento y crear una mejor conciencia de los problemas de seguridad cruciales entre la defensa más importante que tiene una empresa: su cortafuegos humano - sus empleados. Póngase en contacto con nosotros hoy mismo para saber cómo podemos ayudarle a poner en marcha su campaña sobre el GDPR o únase al seminario web de la IAPP en el que el director general de MetaCompliance, Robert O'Brien, hablará sobre la implementación del proyecto GDPR. También puede descargar un documento gratuito sobre la política del GDPR y una guía de implementación de las mejores prácticas aquí.