La GDRP entró en vigencia hace más de seis meses, pero los reguladores comenzaron a escribir las primeras "cartas de felicidad" recientemente. El material trata sobre aquellas empresas que ya los han recibido.
/ foto Kiefer CC BY-SASoft Start GDPR
El GDPR
entró en vigencia el 25 de mayo de 2018 . En ese momento, todas las organizaciones que almacenan y procesan los datos personales de los residentes de la Unión Europea tenían que actualizar los acuerdos de usuario y llevar todos los procesos de trabajo de acuerdo con los requisitos de la regulación. Por incumplimiento de los requisitos, se impuso una multa de veinte millones de euros o el cuatro por ciento de los ingresos anuales de la empresa infractora.
Pero no todas las compañías trataron las regulaciones con la debida atención. Según un estudio realizado por analistas del Instituto Ponemon, más de la mitad de las organizaciones europeas y americanas
no cumplieron con todos los requisitos de la fecha límite de GDPR. Por lo tanto, muchas publicaciones grandes, incluida
The Verge , sugirieron que los reguladores europeos llevarán a cabo un "lanzamiento suave" de la nueva ley. Es decir, durante algún tiempo no multarán a los infractores, considerando las sanciones financieras como último recurso.
En general, esto sucedió; incluso las grandes empresas como Facebook y Google no fueron castigadas. Las quejas se presentaron el primer día de las reglas. Luego, la demanda
presentada por un abogado y luchador australiano para la protección de datos Max Schrems (Max Schrems). Shrems afirmó que las compañías están obligando a los usuarios a consentir el procesamiento de datos personales bajo la amenaza de restringir el acceso a los servicios. Y aunque el caso
aún se está considerando ,
existe la posibilidad de que al final se retiren los cargos.
Quien sin embargo recibió multas
Unos meses después de la entrada en vigor del GDPR, los reguladores europeos endurecieron su enfoque hacia las empresas. En noviembre, el regulador de la región alemana de Baden-Württemberg (LfDI) impuso una multa a la aplicación de chat por salir con Knuddels. Este caso fue el primer castigo para GDPR en Alemania.
En septiembre, el servicio descubrió una "brecha" a través de la cual los inicios de sesión y las contraseñas de 330 mil usuarios se
filtraron a la red . Resultó que todos los datos personales se almacenaron en forma de archivos de texto sin cifrar. El regulador alemán impuso una multa de 20 mil euros a la empresa. La cantidad
fue relativamente pequeña , porque Knuddles informó de inmediato la fuga y acordó introducir medidas de seguridad adicionales.
/ foto Catálogo de existencias CC BYLa Comisión Portuguesa de Protección de Datos (CNPD)
impuso otra sanción a GDPR, que se conoció en septiembre. Recibió uno de los hospitales en Portugal. Se descubrió una vulnerabilidad en su sistema de almacenamiento de registros médicos que le permitió acceder a los datos del paciente utilizando perfiles de empleados falsos. Se encontraron 985 cuentas registradas en el sistema, aunque solo 296 médicos trabajaban en el hospital. La institución médica tuvo que pagar 400 mil euros.
La primera multa máxima se impuso por violar los requisitos del GDPR. El regulador británico
ordenó a la empresa consultora canadiense AggregateIQ que pague veinte millones de euros por la recopilación y el procesamiento ilegal de datos de usuarios de redes sociales para realizar campañas específicas. Ahora AggregateIQ está tratando de desafiar la multa, pero probablemente la compañía aún tendrá que separarse de su dinero.
¿Quién más puede recibir una multa?
Hasta ahora, las multas impuestas por violar los requisitos de GDPR siguen siendo bastante pequeñas (con la excepción de la situación con AggregateIQ), en comparación con la pena máxima por incumplimiento de los requisitos de GDPR. Sin embargo, el experto en protección de datos y autor de libros sobre seguridad de la información, Guy Bunker, cree que la ley "aún mostrará sus dientes". Las filtraciones de datos ocurren casi a diario, por lo que Bunker
cree que las multas aumentarán significativamente en el futuro cercano.
Benjamin Ellis, un consultor de seguridad de la información, está de acuerdo con él. Según él, mientras que los reguladores estaban dispuestos a ayudar a las empresas a "arreglar las brechas" en seguridad y prácticamente no aplicaron sanciones. Pero Ellis cree que en 2019, los infractores de las reglas serán tratados con mayor severidad.
Una de las primeras "víctimas importantes de GDPR" del próximo año
puede ser Microsoft . El gigante de TI fue acusado de violar el almacenamiento de datos de usuarios (direcciones IP y encabezados de correos electrónicos reenviados), aplicaciones de Office. Al mismo tiempo, algunos de estos datos recayeron en servidores ubicados en los EE. UU. (Y no en Europa, como lo exige el GDPR), y no se advirtió a los usuarios sobre la recopilación de ninguna telemetría.
Otra gran multa en el futuro cercano
amenaza a Facebook. En septiembre, la red social fue pirateada: los atacantes robaron los datos personales de 50 millones de usuarios. Ahora los reguladores europeos están investigando y tratando de determinar si la negligencia de Facebook condujo a la fuga y cuánto los ciudadanos de la UE se vieron afectados por el robo de datos. Se le puede exigir a Facebook que pague hasta cuatro mil millones de dólares.
Se puede suponer que el próximo año habrá más y más multas por violaciones en el procesamiento de datos personales de los usuarios en Europa. “Oil in the fire” agregará el Reglamento de privacidad electrónica, que debería comenzar a funcionar en 2019.
Apretará aún más las reglas para trabajar con cookies y agregará un dolor de cabeza a las empresas de TI. Y las multas por incumplimiento de sus requisitos también son altas: del dos al cuatro por ciento de los ingresos anuales de la empresa culpable o diez millones de euros.
Contenido relacionado con PS del primer blog corporativo de IaaS:
PPS Nuestro canal de Telegram sobre tecnologías IaaS: