Decimos a quién castigaron los reguladores, cómo y qué puede afectar.
/ foto Marco Verch CC BYEl RGPD entró en vigor hace más de un año. Durante este tiempo, la Comisión Europea
emitió casi un centenar de multas; el monto total superó las decenas de millones de euros. Hablamos de algunos de ellos la
última vez .
Hoy continuamos con el tema: estamos hablando de nuevas "cartas de felicidad", y estamos discutiendo el impacto que el Reglamento General de Protección de Datos tiene en la regulación en otros países.
Nuevas multas
Curiosamente, uno de los más recientes fue escrito por IDdesign, una empresa que vende muebles. La organización violó el requisito del
quinto artículo de GDPR . Dice que es posible almacenar los datos personales de los usuarios no más de lo que requieren los objetivos de procesamiento. IDdesign no eliminó 385 mil clientes de manera oportuna. Esta característica no se implementó en el nuevo sistema CRM de la compañía. Como resultado, la tienda de muebles
recibió la mayor multa que el regulador danés emitió desde la entrada en vigor del RGPD: 200 mil euros.
El servicio de pago de MisterTango fue castigado por una violación similar en Lituania. La empresa no eliminó los datos personales de los clientes cuando desapareció la necesidad de su procesamiento. Además, los empleados de la compañía no informaron al regulador sobre el incidente del año pasado, cuando la información sobre 9 mil transacciones de pago apareció accidentalmente en el dominio público. MisterTango
ordenó pagar 61 mil euros.
En Alemania, la empresa de transporte Kolibri Image recibió una multa. Se le
ordenó pagar 5 mil euros por una violación asociada con un error en la preparación de la documentación. Se
emitió otra multa de 2 mil euros a un particular. El usuario envió un correo electrónico a un gran número de destinatarios, configurando su tipo como CC (copia) y no BCC (copia oculta). Como resultado, otros destinatarios vieron la dirección de correo electrónico. Esta situación se consideró como una fuga de datos personales.
Por cierto, una violación similar se
registró en el Reino Unido unos años antes. Solo en este caso, la clínica recibió una multa (en la cantidad de 180 mil libras) para pacientes con VIH. Luego, la multa se emitió de conformidad con la Directiva de protección de datos, que fue reemplazada por el GDPR. Se
cree que con una organización GDPR tendría que escribir un cheque por una cantidad mucho mayor.
¿Es efectivo el RGPD?
Los representantes de la Comisión Europea creen que durante el año pasado, el RGPD ha demostrado su eficacia. Según ellos, las regulaciones ayudaron a llamar la atención de los usuarios sobre el problema de la seguridad de los datos. Por ejemplo, el número de solicitudes registradas por el regulador británico casi se
ha duplicado en el último año, de 21 mil a 41 mil.
Pero en la industria de TI, existe la opinión de que el GDPR acaba de crear otro mercado para firmas de abogados y consultores. Según Bjørn Stormorken, director financiero de la plataforma social sueca Idka AB, el objetivo principal que persiguen las empresas en el nuevo entorno no es la seguridad de los datos. Este es el deseo de cumplir con los requisitos del GDPR con un costo mínimo.
Algunos reguladores no tienen prisa por castigar a los infractores. Alrededor de diez países de la Unión Europea no emitieron una sola multa en GDPR. Entre ellos se encuentran: Bélgica, Croacia, República Checa, Finlandia, España, etc. Algunos de los estados se limitaron a sanciones relativamente pequeñas. En Letonia, la recuperación máxima hasta la fecha es de 2 mil euros, y en Bulgaria: 5 mil.
Aunque los expertos dicen que en el futuro podemos esperar un fuerte aumento en el número de multas y sus tamaños. Irlanda ya está estudiando los asuntos de varias grandes empresas estadounidenses de TI. Probablemente, se tomarán decisiones positivas sobre ellos.
Impacto de GDPR fuera de la UE
Muchos estados han seguido los pasos del GDPR, habiendo elaborado sus leyes de protección de datos. El año pasado, se presentó un proyecto de ley en India. Los autores dicen que el documento fue preparado teniendo en cuenta las peculiaridades de la regulación de TI en el país, pero también se introdujo la experiencia extranjera. Otro ejemplo es el CCPA, que fue aprobado en California. Hablamos sobre estos dos proyectos de ley en nuestro blog,
aquí y
aquí .
/ foto Alexander Gerst CC BY-SAUna ley similar al GDPR decidió introducir a China: su versión final se
presentó a principios de este año. Los propios autores de la ley
dicen que fue creada "basada en" el GDPR. Su objetivo es dar a la gente de China más control sobre sus datos personales.
Los reguladores chinos ya han comenzado a evaluar el "alcance del problema". Desde enero, han estado revisando las aplicaciones populares de teléfonos inteligentes y ver si recolectan información excesiva del usuario. Los controles se referían a servicios de entrega de alimentos, taxis y navegantes.
Algunos creen que la nueva ley
dará lugar a un denominador común de otras 200 regulaciones relacionadas con la ciberseguridad. Sin embargo, el profesor Qi Aimic de la Universidad de Chongqing
señaló que el nuevo proyecto de ley no debería copiar el GDPR, ya que China tiene más usuarios de Internet y una de las economías digitales más desarrolladas del mundo.
El tiempo dirá cómo se manifestará el proyecto de ley chino y qué impacto tendrá en la comunidad mundial. Una ley muy similar a la china ya se ha preparado en Vietnam. Y en Tanzania, trabajan en estrecha colaboración con los legisladores chinos a cargo del ciberespacio.
Sobre qué estamos escribiendo en nuestro canal de Telegram:
Otros materiales sobre regulación PD en nuestro blog: