Hace tiempo que la protección de datos de los usuarios se convirtió en una obligación para todas las empresas del mundo. No solo una obligación puramente moral, sino también legal, ya que las distintas normativas imponen todo tipo de multas a las que incumplen estos propósitos.
Eso sí, hay leyes más severas que otras. Como ejemplo podemos hablar de Facebook, cuya desconfianza saltó definitivamente a la palestra a raíz del caso Cambridge Analytica, una gravísima crisis que le ha costado una multa de 500.000 libras (unos 560.000 euros) en Reino Unido. Para la Oficina del Comisionado de Información (ICO) de Reino Unido, que ha investigado a cerca de 30 empresas en situación similar a la de Facebook, la red social fundada por Mark Zuckerberg no protegió los datos y la privacidad de sus usuarios con las diligencias y cuidados previos para tal efecto, tal y como aseguró en un informe.
Ahora bien, ¿hasta qué punto una multa de 500.000 libras puede hacer daño a Facebook? En realidad dicha cantidad económica no solo deja inmutable a la compañía a efectos financieros, sino que, de hecho, Facebook ha tenido la suerte de no ser castigado cuando el Reglamento General de Protección de Datos (GDPR) entró definitivamente en vigor de manera obligatoria , el 25 de mayo de este año.
¿Qué habría pasado con el GDPR?
Si las negligencias de Facebook se hubiesen producido con el GDPR ya aplicado, las consecuencias habrían sido muy distintas, ya que la compañía no solo se habría expuesto a un deterioro de su imagen, como ya ha pasado, sino que las sanciones económicas habrían sido mucho más cuantiosas.
En caso de incumplimiento del GDPR se establecen cuatro franjas de sanción: la advertencia, la amonestación, la suspensión del tratamiento de datos y la multa económica. En caso de multa económica, hay de dos niveles:
Nivel 1. Pago de 10 millones de euros o el 2% de los ingresos anuales (la cifra que sea más alta).
Nivel 2. Pago de 20 millones o el 4% de los ingresos anuales (la cifra que sea más alta).
En este caso, por tanto, Facebook, que facturó 32.750 millones de euros en 2017, habría podido asumir una multa de más de 1.300 millones de euros, una sanción que, aunque no haría temblar sus finanzas, sí supondría un perjuicio mucho mayor para la compañía.
Seis meses después del GDPR, muchas compañías siguen teniendo problemas, y algunas no van a tener tanta suerte como Facebook, ya que sus multas les llegarán con el GDPR ya en vigor. Será el caso de Exactis, que vio expuesta una base de datos de 340 millones de archivos, o el de Timehop, que ha expuesto los datos de 21 millones de usuarios.
Cómo cumplir con el GDPR
Para empresas como Facebook, conocer al dedillo la nueva legislación no supone ningún problema, ya que tiene equipo y recursos suficientes para hacerlo. Sin embargo, hay otras compañías que, ya sea por su tamaño o por el sector en el desempeñan su actividad, pueden tener más problemas a la hora de cumplir la nueva normativa.
Para que el GDPR no resulte un problema, hay varias recomendaciones que todo tipo de compañías pueden seguir:
1.- Proteger la ciberseguridad empresarial. La ciberseguridad de una compañía siempre ha sido esencial, pero ahora más que nunca. Las empresas no solo deben ser diligentes a la hora de proteger sus datos e información privada, sino que también deben diseñar protocolos de actuación para posibles alertas y ser ciber-resilientes, estando al tanto de las nuevas estrategias de ciberataques. En caso de sufrir una filtración o brecha de datos, la compañía deberá informar a las autoridades de control en un plazo máximo de 72 horas desde que haya sido consciente del mismo.
2.- Solución tecnológica. Ninguna compañía puede hacer todo este trabajo sola, sino que debe delegar sus servicios en una solución tecnológica externa. En este sentido, Panda Data Control, el módulo para la protección de datos de Panda Adaptive Defense, categoriza y correlaciona todos los datos obtenidos sobre ciberamenazas para llevar a cabo tareas de prevención, detección, respuesta y remediación combinadas con servicios de reducción. La solución monitoriza toda la actividad de la compañía, detecta las posibles situaciones de riesgo y simplifica la gestión de este tipo de tareas dentro de la compañía.
3.- Proteger a los usuarios. La ciberseguridad no solo consiste en conservar y proteger la información de la propia compañía, sino también la de sus empleados, clientes, proveedores, usuarios, etc. Las empresas no solo deben preservar la privacidad de todos sus agentes relacionados, sino que además deben ser transparentes con ellos para que en todo momento sepan el uso que se está haciendo de sus datos. En este sentido, además, las compañías deben contar con un delegado de protección de datos para vigilar y liderar este tipo de tareas.
Panda Security es una empresa especializada en la creación de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creación de software antivirus, la compañía ha ampliado sus objetivos expandiendo su línea de negocio hacia los servicios de ciberseguridad avanzada con tecnologías para la prevención del cibercrimen.
