Este 2018 ha sido el año por excelencia de la protección de datos, cuando los casos de fugas, exfiltración y abuso de datos personales han acaparado titulares por todo el mundo. Y en este contexto de concienciación sobre los problemas que pueden acarrear la desprotección de la información sensible, un reglamento se alza como referente: el GDPR (Reglamento General De Protección De Datos), de obligado cumplimiento desde el 25 de mayo de este año.
El incumplimiento de este reglamento puede acarrear multas de hasta 4% de los ingresos anuales de una empresa, o de hasta 20 millones de euros. No es de sorprender, por lo tanto, que las empresas examinen con lupa el manejo de estos datos con el fin de no violar esta normativa. Sin embargo, a pesar de esta exigencia, hasta la fecha solo el 29% de las organizaciones han implementado todas las medidas necesarias para cumplir con el GDPR.
Las primeras reclamaciones por incumplimiento llegaron el mismo 25 de mayo, cuando la organización sin ánimo de lucro noyb.eu presentó cuatro quejas contra Facebook, Instagram, WhatsApp y Android. Noyb argumentó que estas empresas obligaron a sus usuarios a aceptar los nuevos términos de servicio, algo que viola el requerimiento del GDPR de otorgar el consentimiento libremente. No obstante el caso se sigue analizando, por lo que seguimos a la espera de conocer las consecuencias.
En octubre, Giovanni Buttarelli, Supervisor Europeo de Protección de Datos, dijo que esperaba ver las primeras sanciones antes del final del año y efectivamente, no tuvo que esperar mucho tiempo.
Las sanciones empiezan a llegar
La primera multa cayó en Austria a principios del mes de octubre, y aunque no está estrictamente relacionada con el tratamiento de datos personales, ilustra muy bien el alcance del reglamento. Una casa de apuestas recibió una multa de 4.800€ por una cámara de seguridad de grababa parte de la acera, ya que la vigilancia a gran escala de espacios públicos está prohibido bajo el GDPR.
A finales del mismo mes ya pudimos ver la primera multa relacionada directamente con el tratamiento y almacenamiento de datos personales. La Comissão Nacional de Protecção de Dados de Portugal impuso tres multas al Hospital do Barreiro: se trata de dos sanciones de 150.000 euros y otra de 100.000 euros; por tanto, esta primera multa ha supuesto para el hospital el monto de 400.000 euros a pagar. Las primeras dos multas de 150 mil euros fueron por violación del principio de confidencialidad, y la violación del principio de la minimización de los datos, que en teoría previene su acceso indiscriminado. Eran 985 los médicos del hospital que tenían cuentas activas en el sistema que les daba acceso a expedientes clínicos, mientras el hospital tenía solo 296 médicos activos en la fecha de la inspección.
La multa fue relacionada con la incapacidad del hospital, como controlador de datos, de asegurar la confidencialidad y la integridad de los datos personales de los clientes.
La última multa que se ha visto llegó a mediados de noviembre en Alemania. Una red social alemana, Knuddels.de, recibió una multa de 20.000€ tras un hackeo que causó la filtración de unas 808.000 direcciones de correo y más de 1,8 millones de usuarios y contraseñas. Posteriormente, esta información fue publicada online en formato no cifrado.
La red social reaccionó diciendo que una vez que fue descubierta la filtración, mejoró inmediatamente sus medidas de seguridad. Se descubrió después del incidente que la web no aplicaba ningún tipo de protección a la información sensible.
Según LfDI Baden-Württemberg, una agencia de protección de datos alemana, una de las razones por la que el sitio web recibió una multa “relativamente baja” era que actuó con transparencia, e implementó rápidamente mejoras de seguridad.
2019 traerá nuevas cifras
Está claro que las sanciones económicas que hemos visto hasta el momento son relativamente moderadas en comparación con las máximas, pero con la reciente serie de filtraciones de datos destacadas – Marriott, British Airways, Quora – no tardarán en llegar.
¿Qué puedes hacer para evitar una multa – ya sea millonaria o más pequeña? Lo más importante es tener en cuenta que prevenir es mejor que curar, y solo contando con la protección adecuada sobre los datos personales que maneja tu empresa puedes evitar las sanciones. Empieza por saber exactamente dónde están estos datos y quién tiene acceso a ellos. Para hacer esto, es necesario tener soluciones de ciberseguridad avanzadas.
Panda Data Control es el módulo de Panda Adaptive Defense diseñado específicamente para ayudar con el cumplimiento del reglamento de protección de datos. Descubre, audita y monitoriza todos los datos personales desestructurados en la red corporativa de tu empresa. Solo de esta manera sabrás dónde están almancenados los datos de tu empresa, quién los maneja y qué acciones se toman sobre ellos.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
