56 millones de multas en euros: resultados del año con GDPR

Datos publicados sobre el monto total de multas por violación de las regulaciones.

/ foto Bankenverband PD

Quién publicó el informe de multas

La regulación general de protección de datos se ejecutará un año solo en mayo; sin embargo, los reguladores europeos ya han resumido los resultados provisionales. En febrero de 2019, el Consejo Europeo de Protección de Datos (EDPB), el organismo que supervisa el cumplimiento de la regulación, emitió un informe sobre los resultados del GDPR.

Las primeras multas de GDPR fueron bajas debido a que las compañías no estaban listas para que la regulación entrara en vigencia. Básicamente, los infractores de las regulaciones pagaron no más de varios cientos de miles de euros. Sin embargo, el monto total de las sanciones resultó bastante impresionante: casi € 56 millones. En el informe de EDPB, también proporcionó otra información sobre la "relación" de las empresas de TI y sus clientes.

Lo que dice el documento y quién ya ha pagado la multa

Durante la regulación, las autoridades reguladoras europeas abrieron alrededor de 206 mil casos de violación de la seguridad de los datos personales. Casi la mitad de ellos (94,622) - sobre quejas de particulares. Los ciudadanos de la UE pueden escribir una declaración sobre violaciones en el procesamiento y almacenamiento de sus datos personales y contactar a las autoridades reguladoras nacionales, después de lo cual el caso será investigado en la jurisdicción de un país en particular.

Los principales temas con los que se relacionaron las quejas de los europeos son la violación de los derechos del sujeto PD y los derechos de los consumidores, así como la filtración de datos personales.

Se abrieron otros 64.864 casos tras la notificación de una fuga de datos por parte de las empresas responsables del incidente. No se sabe exactamente cuántos de los casos terminaron en multas, pero en total los infractores pagaron 56 millones de euros. Según los expertos en seguridad de la información, Google deberá pagar la mayor parte de esta cantidad. En enero de 2019, la autoridad reguladora francesa CNIL multó al gigante de TI con una multa de 50 millones de euros.

El juicio en este caso duró desde el primer día del RGPD: el luchador austríaco de protección de datos Max Schrems (Max Schrems) presentó una queja contra la corporación. La insatisfacción del activista fue causada por una redacción insuficientemente precisa en el consentimiento para el procesamiento de datos personales que los usuarios aceptan al crear una cuenta desde dispositivos Android.

Antes del gigante de TI, las multas por incumplimiento de GDPR fueron significativamente menores. En septiembre de 2018, un hospital portugués pagó 400 mil euros por vulnerabilidad en el sistema de almacenamiento de miel. registros y € 20 mil: una aplicación de chat alemana (los inicios de sesión y las contraseñas de los clientes se almacenaron sin cifrar).

Lo que dicen los expertos sobre regulaciones

Los reguladores creen que GDPR ha demostrado ser efectivo en nueve meses. Según ellos, la regulación ayudó a llamar la atención de los usuarios sobre el tema de la seguridad de sus propios datos.

Los expertos también destacan algunas de las deficiencias que se hicieron notables en el primer año de la regulación. El más importante de ellos es la falta de un sistema unificado para determinar el tamaño de las multas. Según los abogados, la falta de reglas generalmente aceptadas lleva a una gran cantidad de apelaciones. Las quejas tienen que ser tratadas por comisiones de protección de datos, razón por la cual las autoridades se ven obligadas a dedicar menos tiempo a apelar a los ciudadanos de la UE.

Para resolver este problema, los reguladores del Reino Unido, Noruega y los Países Bajos ya están desarrollando reglas para determinar el tamaño de la sanción. El documento recopilará factores que afectan el monto de la multa: la duración del incidente, la velocidad de respuesta de la compañía, el número de víctimas de la fuga.


/ foto Bankenverband CC BY-ND

Que sigue

Los expertos creen que es demasiado pronto para que las compañías de TI se relajen. Lo más probable es que, en el futuro, aumenten las multas por incumplimiento de GDPR.

La primera razón es la pérdida frecuente de datos. Según las estadísticas de los Países Bajos, donde se informaron violaciones del almacenamiento de PD antes del GDPR, en 2018 el número de notificaciones de fugas se duplicó. Según el experto en protección de datos Guy Bunker, las nuevas violaciones de GDPR se conocen casi a diario y, por lo tanto, en un futuro cercano, los reguladores se volverán más duros con las empresas infractoras.

La segunda razón es el final del enfoque "suave". En 2018, las multas fueron una medida extrema, principalmente los reguladores buscaron ayudar a las empresas a proteger los datos de los clientes. Sin embargo, varios casos ya están pendientes en Europa, lo que podría conducir a grandes multas para GDPR.

En septiembre de 2018, se produjo una fuga masiva de datos en British Airways. Debido a las vulnerabilidades en el sistema de pago de la aerolínea, los piratas informáticos obtuvieron acceso a la información de la tarjeta de crédito de los clientes durante quince días. Según las estimaciones, 400 mil particulares sufrieron piratería. Los expertos en seguridad de la información esperan que la aerolínea pague la primera multa máxima en el Reino Unido: será de 20 millones de euros o el 4% de la facturación anual de la corporación (la que sea mayor).

Otro candidato para un castigo financiero importante es Facebook. La Comisión de Protección de Datos de Irlanda ha abierto diez casos contra el gigante de TI debido a varias violaciones del GDPR. La mayor de ellas ocurrió en septiembre pasado: una vulnerabilidad en la infraestructura de la red social permitió a los piratas informáticos obtener tokens para iniciar sesión automáticamente en el sistema. El pirateo informático afectó a 50 millones de usuarios de Facebook, de los cuales 5 millones eran residentes de la UE. Según ZDNet, esta fuga de datos por sí sola podría costar a una empresa miles de millones de dólares.

Como resultado, vale la pena estar preparado para el hecho de que en 2019 el GDPR mostrará su fuerza, y las autoridades reguladoras dejarán de "hacer la vista gorda" ante las violaciones. Lo más probable es que solo haya más casos de alto perfil de violaciones de las reglas en el futuro.

---

Publicaciones del primer blog corporativo de IaaS:

• Lo que necesita saber sobre PCI DSS: una descripción general del estándar
• Efecto GDPR: cómo la nueva regulación ha afectado el ecosistema de TI
• Regulación del trabajo con datos personales en Rusia y Europa

Sobre qué estamos escribiendo en nuestro canal de Telegram :

• Quién apoya proyectos en la nube: hable sobre cuatro fondos de código abierto
• Cómo administrar el hardware en un centro de datos: dos nuevas tecnologías
• ¿Por qué es menos probable que los discos duros se rompan?