El pasado 25 de mayo fue el día D, la fecha desde la que el GDPR, el nuevo Reglamento General de Protección de Datos, es obligatorio en toda la Unión Europea. Con ello llegaba una normativa que, pese a gozar de dos años de adaptación, al final, en la mayoría de casos, se acabó implementando en el último minuto.
El nerviosismo y la preocupación por parte de muchas empresas era evidente, sobre todo si tenemos en cuenta que las consecuencias de incumplir el GDPR eran severas, con multas de 10 millones de euros o el 2% de los ingresos anuales (Nivel 1) o de 20 millones o el 4% de los ingresos anuales (Nivel 2).
Pero pasado este tiempo, ¿qué balance podemos hacer? ¿Se han adecuado las empresas a la nueva normativa? ¿Han resuelto sus dudas? ¿Se ha normalizado la ciberseguridad empresarial en el territorio europeo? ¿Se acabaron los emails de actualización de las políticas de privacidad? ¿Ha terminado al fin este proceso? Lo cierto es que aún quedan cosas por hacer y, si analizamos las consecuencias del GDPR, podemos decir que grosso modo ha habido hasta tres situaciones distintas.
Aumentan las quejas en varios países
En las semanas previas al cumplimiento del plazo de adaptación al nuevo reglamento de protección de datos, las grandes y pequeñas empresas recurrieron a expertos de todo tipo para adecuarse a la normativa. Sin embargo, no todas han conseguido hacerlo de la forma adecuada, o al menos eso piensan muchos consumidores.
Y es que, según cuenta The Guardian, las entidades de Data Protection de muchos países han reportado un claro aumento de las quejas por aparente incumplimiento del GDPR: la Information Commissioner’s Office de Reino Unido o el CNIL francés aseguran que en sus países han aumentado de manera considerable las denuncias de este tipo. En Francia, por ejemplo al incremento en el número de quejas ha sido del 50%.
Google y Facebook, en el disparadero
Ante la llegada del GDPR, muchas de las empresas más preocupadas por este asunto eran las pequeñas y medianas, aquellas que aunque manejan menos datos también tienen menos presupuesto y, por tanto, cuentan con menos recursos para adaptarse a la normativa. Sin embargo, las reacciones tras dos meses de aplicación han ido en una dirección muy distinta.
De hecho, la mayoría de denuncias han ido destinadas a gigantes tecnológicos como Google, Facebook o Twitter, según el organismo sin ánimo de lucro NOYB (None of Your Business).. ¿El motivo? Estas grandes compañías, ante la resistencia a cambiar totalmente sus políticas de tratamiento de datos y adaptarlas por completo a la legislación europea, apostaron por lanzar a sus usuarios un mensaje medianamente estándar instándoles a aceptar sus nuevas políticas de privacidad y ciberseguridad; de lo contrario, sus cuentas serían canceladas.
La otra cara: los que se pasaron de frenada
Sin embargo, también hay un tercer caso que podría dar mucho de lo que hablar: nos referimos a las grandes compañías que, pese a que ya cumplían la nueva normativa, decidieron mandar un email a sus usuarios para que diesen su permiso para recibir notificaciones.
En caso de que el usuario no aceptase estas nuevas políticas o simplemente no pinchase en el link que contenía el email, la empresa se vería obligada a retirar de su base de datos a una serie de usuarios… a los que en realidad no necesitaba pedirles permiso.
Así lo cree el abogado Samuel Parra: “Hay empresas que, tras ser mal asesoradas, mandaron dicho email pidiendo de nuevo el consentimiento a sus usuarios, cuando en realidad los datos de esos usuarios ya habían sido obtenidos de manera legítima, así que no necesitaban un nuevo consentimiento”. Así pues, “ahora tienen un problema: se han encontrado con que el 70% o el 80% de los usuarios no han pinchado en el link del email, así que tienen que borrarlos de su base de datos”, una circunstancia que se traduce en que “varias empresas han podido perder muchos ingresos a futuro, y todo por un mal asesoramiento”.
Sea cual sea el caso, lo cierto es que todas las empresas que ejerzan el tratamiento de datos de usuarios de la Unión Europea no solo deben tener el consentimiento de sus usuarios, sino también establecer ciertas medidas de ciberseguridad empresarial, como proteger sus comunicaciones (el email es la gran puerta de entrada de los intrusos) o implantar un protocolo de actuación e información ante un posible ciberataque.
Si te preocupa la seguridad informática de tu compañía te interesa conocer Panda Adaptive Defense, la suite de ciberseguridad avanzada de Panda que no solo actúa de manera automática ante las intrusiones más frecuentes, sino que también dispone de un equipo humano de analistas que son capaces de prevenir, detectar y responder ante los ciberataques. Además, hemos integrado el módulo Panda Data Control para simplificar el cumplimiento del GDPR, ayudándote a tener una mayor visibilidad y control de todos los datos personales, incluso los desestructurados, y a fortalecer su seguridad.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
