Si en las semanas previas al cumplimiento del plazo de adaptación al GDPR se acumulaban las quejas en varias de las principales entidades Data Protection de Europa por el incumplimiento del nuevo reglamento; las reacciones y, por su efecto las sanciones, no se han hecho esperar. Facebook, en el disparadero desde hace meses, ha recibido la primera gran sanción por no seguir los estándares de tratamiento de datos personales recogidos en la normativa.
Y es que dos meses después de la obligatoriedad del GDPR, la protección de estos activos sigue causando verdaderos quebraderos de cabeza en muchas empresas, tanto dentro como fuera de Europa. No sólo hemos visto casos de robos intencionados de datos, sino también casos de pérdidas de datos debido a descuidos internos de la ciberseguridad.
Hoy conocemos las consecuencias de uno de los casos de abuso de datos personales que más interés ha generado en los últimos meses, el de Facebook y Cambridge Analytica. Una polémica que afectó a más de 87 millones de usuarios cuya información personal fue recabada por la consultora sin consentimiento expreso de los mismos, y posteriormente vendida a terceros para su supuesto uso en beneficio de la campaña electoral de Donald Trump.
Ahora, la Oficina del Comisionado de Información (ICO) de Reino Unido ha impuesto una multa a Facebook, la primera que recibe la red social en relación con el escándalo. La multa es de 500.000£ (564.951,15 euros), la máxima cantidad estipulada por las leyes de protección de datos del país. Una cuantía que puede resultar insignificante para Facebook, con capacidad de generar ese monto en beneficios cada 5 minutos y medio.
La IOC ha sentenciado que Facebook no salvaguardó los datos de sus usuarios, y que no fue transparente con el uso que hizo de estos, además de los intereses detrás de este abuso. De la misma manera, la ICO también presentará cargos criminales contra SCL Elections, la empresa matriz de Cambridge Analytica.
¿Y cuál ha sido el desenlace? Pues a la red social le toca pagar la sanción impuesta, aunque probablemente es una multa mínima en proporción con la magnitud del escándalo. Hay que recordar que el GDPR cuenta con multas de hasta el 4% de los ingresos anuales de una empresa, lo cual significa que, de haber sido una sentencia en el marco de la Unión Europea, Facebook podría haberse enfrentado a una sanción de 1.581.863.215€, una cantidad mucho más elevada que la multa que ha recibido en Reino Unido.
No es un caso asilado
Mientras la polémica de Facebook acapara titulares, hay muchos otros casos de abusos de datos que han salido a la luz en los últimos meses.
En septiembre del 2017, Equifax se vio implicado en una de las brechas de seguridad más grandes de la historia, cuando los datos personales de más de 142 millones de personas fueron exfiltrados. Si suponemos que a la empresa se le hubiese impuesto la multa más alto posible, Equifax tendría que haber afrontado la estratosférica cifra de 124 millones de dólares de sanción.
Un caso incluso todavía más grande en términos de la cantidad de datos afectados ha sido el de Exactis, una compañía estadounidense de marketing. A finales de junio, se descubrió que una base de datos de la empresa con 340 millones de archivos que contenían datos personales estaba expuesta en Internet, sin ningún tipo de cifrado. Esto significa que cualquier persona podría tener acceso a ella y su contenido.
Otra brecha significativa ha sido la de Timehop, que expuso los datos de 21 millones de usuarios el día 4 de julio. El hacker que robó los datos pudo accederles gracias a una cuenta de almacenamiento nube que no contaba con autenticación multi-factor. La empresa afirma que contactó con los oficiales de protección de datos poco después del descubrimiento de la brecha.
Queda claro que las sanciones económicas del GDPR son un asunto mayor, y que, a pesar del elevado interés en el tema de la protección de datos, no van a desaparecer los problemas relacionados con el manejo de la información personal (PII). Pero…
¿Cómo evitar llevarte un susto por el incumplimiento del GDPR?
Si te preocupa la seguridad informática de tu compañía, te interesa conocer Panda Adaptive Defense, la suite de ciberseguridad avanzada que integra soluciones Endpoint Protection (EPP) y Endpoint Detection and Response (EDR), con los servicios de 100% Atestación y Threat Hunting and Investigation. La combinación de estas soluciones y servicios proporciona una visibilidad detallada de toda la actividad en todos los endpoints, un control absoluto de todos los procesos en ejecución, y la reducción de la superficie de ataque.
Panda Adaptive Defense cuenta con módulos creados específicamente para evitar el acceso, modificación o exfiltración de información tanto externa como interna. Y es que Panda Data Control es capaz de descubrir, auditar y monitorizar todos los datos de carácter personal desestructurados en los endpoints, desde el dato en reposo, hasta las operaciones sobre ellos y su tránsito.
Evita los accesos incontrolados a los datos sensibles de tu empresa y te ayuda a cumplir con el reglamento de protección de datos GDPR.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
