A casi dos años de que comenzara a aplicarse, la GDPR parece estar “en llamas”. Así la presenta Enza Iannopollo, analista senior en el blog de Forrester.
Esa metafórica expresión toma lugar gracias al explosivo crecimiento que han tenido algunos indicadores en torno a la aplicación de esta regulación. Aunque las multas no siempre son particularmente altas, el análisis presentado por Iannopollo muestra que, en términos de volumen, las autoridades de protección de datos (DPA) están aumentando rápidamente su actividad en torno a la aplicación de la GDPR. Bajo este contexto, se destacan las siguientes tendencias:
Las DPA han impuesto 190 multas y sanciones hasta la fecha
Con 43 decisiones de cumplimiento tomadas hasta el momento, España lidera la tendencia como el regulador más activo de Europa, seguido por Rumania (21) y Alemania (18). El Reino Unido ha impuesto la mayor cantidad total de multas, avaluadas en más de € 315 millones, siempre cuando las multas de British Airways y Marriott se mantengan tras la apelación. Los siguientes son la Comisión Nacional de Información y Libertades de Francia, con un poco más de 51 millones de euros en multas, y la DPA de Alemania, con casi 25 millones de euros.
Fuente: enforcementtracker.com
El mayor problema es en torno al gobierno de datos
Contra lo que se podría imaginar antes de conocer las cifras, las fallas de seguridad no son las que provocan la mayoría de las multas y sanciones.
Las DPAs han actuado principalmente contra infracciones sobre el artículo 5 (principios del procesamiento de datos personales) y el artículo 6 (legalidad del procesamiento). Estas reglas contienen principios clave de gobernanza de datos, tales como la precisión y calidad de los datos y la imparcialidad del procesamiento. Actualmente, las empresas por lo general han tenido que asumir muchos esfuerzos para cumplir con los requisitos de consentimiento y otras bases legales disponibles.
Las infracciones ponen en marcha el cumplimiento de la regulación, pero son solo un punto de partida
Muchos profesionales de seguridad y riesgo (S&R) y del área de la privacidad esperaban que las infracciones de seguridad y las notificaciones de incumplimiento omitidas fueran los principales desencadenantes de la aplicación de la GDPR. Las DPA han emprendido cerca de 50 acciones por infracción del artículo 32 (requisitos de seguridad) y algunas más relacionadas con la falta de notificación de infracciones. Estos casos muestran que ante un incidente de seguridad real, esto solo es el punto de partida para determinar las multas. Investigaciones posteriores a algunas de las mayores infracciones de la era posterior a la GDPR se centraron no únicamente en las condiciones específicas de la infracción, sino que también destacaron los «acuerdos de seguridad deficientes». Los procedimientos de autenticación adecuados, o la falta de ellos, han sido el foco de las DPA desde la primera acción de aplicación en 2018.
Fuente: enforcementtracker.com
Los datos comprometidos de un solo cliente pueden ser costosos
Las DPA evalúan el impacto de una violación, no solo su volumen. Por ejemplo, el regulador de protección de datos de España multó a dos proveedores de telecomunicaciones, cada uno de los cuales tenía un problema con un solo cliente. Una empresa de telecomunicaciones reveló erróneamente las credenciales de un tercero a un cliente, lo que le permite al cliente obtener acceso a datos confidenciales de terceros. Este evento único le costó al proveedor € 60,000. La DPA multó a otro proveedor de telecomunicaciones por casi € 40,000 por procesar los datos de un solo cliente sin su consentimiento. Un hospital en Alemania también fue multado con € 105,000 por violaciones de GDPR asociadas con el mal uso de datos de un solo paciente.
El incumplimiento de los derechos de las personas dará lugar a la próxima ola de multas y sanciones
Forrester, la consultora que publicó este análisis, señala mediante este artículo que espera que la próxima ola de procedimientos judiciales asociados a la GDPR provenga de no abordar los derechos de privacidad de las personas. La mayoría de las acciones de cumplimiento legal actuales se refieren a solicitudes de acceso a datos y eliminación de datos. Por ejemplo, una empresa inmobiliaria alemana que, entre otros problemas, archivó datos de clientes de una manera que no permitía la eliminación de datos, recibió una multa de € 14,5 millones. La aplicación hasta la fecha proviene principalmente de las solicitudes de los clientes, pero las acciones de aplicación de las solicitudes de los empleados también están aumentando. La Comisión de Protección de Datos Personales de Bulgaria multó a un empleador por una respuesta tardía e incompleta a la solicitud de acceso de un empleado.
Fuente: enforcementtracker.com
La gestión de riesgos de terceros es la próxima gran novedad en el ámbito de la privacidad
La gestión de riesgos de terceros no es nada nuevo para quienes cumplen funciones de S&R y para los profesionales de la privacidad. No obstante, recién ahora comienzan a ver cómo los terceros afectan su programa de privacidad. Los terceros que no siguen las mismas políticas de privacidad que usted pueden destruir no solo su programa de privacidad sino también su marca, la confianza de sus clientes y su ecosistema de socios. Desde proveedores hasta subcontratistas, desde proveedores de datos hasta los socios con los que comparte datos, es evidente que el riesgo de terceros tiene implicaciones de gran alcance para la privacidad. Las prácticas actuales de diligencia debida no van a reducirlo. No te dejes sorprender. En su lugar, busque formas de combinar tecnología, conocimiento y datos multifuncionales, y conocimientos externos con sus colegas de S&R para automatizar la gestión de terceros para la privacidad.
La presente es una adaptación del artículo “Guess What? GDPR Enforcement Is On Fire!”, publicado por Enza Iannopollo en el blog de Forrester. Puedes revisar la publicación original (en inglés) aquí.