Han sido unas semanas llenas de acontecimientos. Al pasar el primer aniversario de la aplicación del RGPD, parecía que muchas organizaciones habían permanecido relativamente indemnes a la amenaza de sanciones económicas por el incumplimiento del nuevo reglamento.
Según el Consejo Europeo de Protección de Datos, los organismos reguladores de 11 países impusieron multas por un total de 55,96 millones de euros por violaciones del RGPD. Sin embargo, la mayor parte de esta cifra se refiere a la multa de 50 millones de euros impuesta a Google por la Comisión Nacional de Protección de Datos de Francia (CNIL). La empresa había sido condenada por procesar datos personales con fines publicitarios sin obtener el permiso requerido por el RGPD.
Las organizaciones respiraron con alivio al ver que las multas no eran tan amplias como se preveía inicialmente, pero en el transcurso de dos días, la Oficina del Comisario de Información (ICO ) desató su poderío.
British Airways fue multada con 183 millones de libras esterlinas por un fallo de seguridad que expuso los datos personales de más de 565.000 clientes. Y sólo un día después, el grupo hotelero internacional Marriott fue multado con 99,2 millones de libras por una enorme violación de datos que expuso los datos personales de 339 millones de clientes en todo el mundo. La ICO confirmó que unos 30 millones de los registros pirateados correspondían a residentes de 31 países del Espacio Económico Europeo.
Cabe destacar que en ambos casos, la OIC no impuso la multa máxima del 4% del volumen de negocios anual global. Las multas dependen de la gravedad de la infracción y del nivel de cooperación. British Airways cooperó plenamente con la OIC y, a su vez, fue multada con el 1,5% de su facturación anual global. Si la ICO hubiera solicitado el máximo del 4% de los ingresos totales de la compañía, la multa podría haber ascendido a la asombrosa cifra de 489 millones de libras.
Está claro que ambas multas suponen un cambio de juego para el RGPD y han allanado el camino para la imposición de multas aún mayores en el futuro. La OIC ha demostrado la seriedad con la que pretende tomarse las infracciones del reglamento y las organizaciones han tomado conciencia de las consecuencias del incumplimiento.
El GDPR en 2019 - ¿Qué nos han enseñado los últimos 12 meses?
Los últimos 12 meses han sido una empinada curva de aprendizaje para muchas organizaciones. El cumplimiento del RGPD nunca iba a ser un proceso fácil, pero para algunas organizaciones, especialmente las grandes empresas multinacionales, ha resultado ser una tarea ardua. Las enormes cantidades de datos repartidos en una amplia variedad de plataformas, los interminables puntos de acceso y el aumento de las solicitudes de datos han hecho que el cumplimiento sea más difícil de lo que muchos podrían haber imaginado.
No cabe duda de que el GDPR ha dejado su huella en el mundo y en el transcurso de un año ha provocado lo siguiente:
Aumento de los informes
El GDPR parece estar fomentando los informes de violaciones de datos, con casi 60.000 informes presentados desde que la ley de privacidad entró en vigor el 25 de mayo de 2018. Las violaciones de datos variaron en gravedad, desde violaciones menores hasta grandes ciberataques que afectaron a millones de personas.
Los consumidores también son más conscientes de sus derechos de privacidad. Tras la entrada en vigor del RGPD, la OIC informó de un aumento del 160 % de las reclamaciones, y la Comisión de Protección de Datos de Irlanda registró 6 000 reclamaciones en el mismo periodo.
Necesidad de asegurar la cadena de suministro
Los ataques a British Airways y a Marriott ponen de manifiesto una vez más las dificultades a las que se enfrenta la seguridad de la cadena de suministro de una empresa. El ataque a British Airways tiene todas las características de un ataque Magecart. El grupo de amenazas es conocido por inyectar scripts de robo de tarjetas en dominios de comercio electrónico vulnerables. Para acceder a los valiosos datos de los clientes de BA, se cree que el grupo ha explotado una vulnerabilidad en una versión antigua de la plataforma de comercio electrónico Magento, que utiliza la empresa.
En el caso de Marriott, la brecha se originó en la base de datos de reservas de huéspedes de Starwood, antes de que la empresa se fusionara con Marriott. Los ciberdelincuentes parecen haber cambiado sus estrategias y, en lugar de dirigirse directamente a una empresa, intentan infligir daños aprovechando las vulnerabilidades de su red de cadena de suministro.
Para evitar incurrir en la legislación, las organizaciones tendrán que realizar evaluaciones de riesgo detalladas de los proveedores y supervisar su cumplimiento del RGPD.
Necesidad de formación del personal
El RGPD establece que los empleados deben recibir una formación periódica de concienciación sobre la seguridad de la información. La formación es fundamental para garantizar que el personal conozca las políticas de la empresa, la normativa y los requisitos legales que se aplican a su función diaria.
De hecho, la ICO pregunta específicamente en su formulario de notificación de violación de datos personales si el personal implicado en la violación ha recibido formación sobre protección de datos en los últimos dos años. Si las organizaciones no pueden demostrarlo, se harán más averiguaciones.
Las organizaciones deben demostrar que el personal ha leído y comprendido las políticas del RGPD. Poder demostrar esto pone a las organizaciones en una posición fuerte para demostrar que la "privacidad" se ha convertido en una parte integral de su negocio diario.
Importancia de los responsables de la protección de datos (DPO)
Según la IAPP, se estima que más de 500.000 organizaciones han registrado a los RPD desde la entrada en vigor del RGPD. Los responsables de la protección de datos desempeñan un papel importante en la protección de la privacidad y son fundamentales para la rendición de cuentas efectiva. Para las organizaciones que realizan determinados tipos de actividades de tratamiento, es obligatorio nombrar un RPD.
Debe nombrarse un RPD si:
- Usted es una autoridad pública
- sus actividades principales requieren un seguimiento a gran escala, regular y sistemático de las personas
- sus actividades principales consisten en el tratamiento a gran escala de categorías especiales de datos o de datos relativos a condenas e infracciones penales
El RPD debe ser un experto en el RGPD y en las prácticas de privacidad, ya que es responsable de la supervisión y la presentación de informes sobre el cumplimiento del RGPD. Se espera que los RPD ayuden a orientar a los responsables del tratamiento de datos y a los encargados del tratamiento auditando el cumplimiento interno y sugiriendo recomendaciones correctivas adecuadas cuando sea necesario.
Entonces, ¿qué es lo siguiente para el GDPR?
En el espacio de un año, el RGPD ha configurado de forma masiva el panorama mundial de la privacidad. El reglamento ha llevado a muchos otros países de todo el mundo a revisar sus propias leyes de seguridad y privacidad.
Argentina y Japón ya han comenzado a alinear su legislación nacional de protección de datos con el GDPR, y Brasil ha implementado una legislación similar llamada Ley General de Protección de Datos que entrará en vigor el 15 de agosto de 2020.
En Estados Unidos, los estados de California, Nueva York y Colorado han aprobado leyes locales de privacidad de datos y el Congreso está estudiando una ley federal de privacidad de datos a medida que aumenta la presión para una protección de datos más estricta en todo el país.
No hay duda de que el RGPD ha sido una fuerza para el bien y ha impulsado a las organizaciones a tomarse más en serio la protección de la privacidad. Si se cumple correctamente, el RGPD permite a las organizaciones ser más ciberseguras, eficientes y competitivas en el mercado.
Al demostrar el cumplimiento del RGPD, es probable que las empresas se beneficien de la reducción del riesgo organizativo y creen mayores niveles de confianza con sus clientes. Esta transparencia, a su vez, mejorará la reputación de la marca y conducirá al desarrollo de relaciones más significativas.
Sin embargo, a medida que la ciberdelincuencia evoluciona y los delincuentes se vuelven más engañosos en sus métodos de ataque, las organizaciones tendrán que abordar continuamente los riesgos de privacidad y seguridad para garantizar que son responsables de los datos personales que poseen y que cumplen con la legislación.
MetaPrivacy ha sido diseñado para proporcionar el enfoque de mejores prácticas para el cumplimiento de la privacidad de los datos. Póngase en contacto con nosotros para obtener más información sobre cómo podemos ayudar a su organización a mejorar su estructura de cumplimiento.
DESCARGO DE RESPONSABILIDAD: El contenido y las opiniones de este blog tienen únicamente fines informativos. No pretenden constituir un asesoramiento legal o profesional de otro tipo y no deben ser invocados o tratados como un sustituto del asesoramiento específico correspondiente a las circunstancias particulares, la Ley de Protección de Datos, o cualquier otra legislación actual o futura. MetaCompliance no se responsabiliza de los errores, omisiones o declaraciones engañosas, ni de las pérdidas que puedan derivarse de la confianza en los materiales contenidos en este blog.
