Multas de GDPR emitidas hasta ahora: Conclusiones clave

El GDPR de un vistazo

Ha pasado un año desde que el General Data Protection Regulation (GDPR) entró en vigor, tras años de discusión sobre la data security adecuada para la era digital. Uno de los reglamentos más estrictos hasta la fecha, el GDPR se aplica a toda empresa u organismo público que recolecta, procesa o almacena datos personales de residentes de la UE. Esto incluye no solo a todos los empleadores en la UE sino también a cualquier organización en cualquier parte del mundo que ofrezca productos y servicios a residentes de la UE, así como a las empresas que procesan sus datos personales en nombre de otras organizaciones. Debido a su alcance global, el GDPR ha llevado a un cambio masivo en la protección de datos personales, tanto dentro de la UE como en el resto del mundo.

El European Data Protection Board (EDPB) informa que durante el primer año desde que el GDRP entró en vigor, se registraron más de 89.000 violaciones de datos y se investigaron 446 casos transfronterizos por las autoridades de protección de datos. Además, la Comisión Europea señala que el número de consultas y quejas de individuos sobre la seguridad de sus datos está aumentando, lo que sugiere una mayor conciencia pública sobre los derechos de protección de datos que ofrece el GDPR.

Otro impacto significativo del GDPR es que ayuda a revelar cómo se procesan los datos por parte de gigantes de internet, plataformas de redes sociales y empresas de otras industrias, un tema que preocupa mucho a la gente en todas partes. Por ejemplo, en su informe anual de 2018, la Comisión de Protección de Datos de Irlanda (DPC) declaró que ha iniciado investigaciones sobre las actividades de procesamiento de datos de varias empresas multinacionales de internet y tecnología con sede en Irlanda, incluyendo Facebook, Apple, Twitter, LinkedIn, WhatsApp e Instagram.

GDPR non-compliance cases: What we’ve learned

Un informe de EDBP que cubre los primeros nueve meses después de que el GDPR entrara en vigor revela que los reguladores de 11 países europeos impusieron más de 56 millones de euros en multas. La mayor parte de esta cantidad proviene de una sola sanción: la multa masiva de 50 millones de euros impuesta a Google por la autoridad francesa de protección de datos.

Esa es la multa más grande por GDPR hasta ahora, pero es difícil decir cuánto tiempo Google mantendrá esa dudosa distinción. Hay investigaciones en curso sobre varias violaciones graves de la privacidad de datos, y las multas aún están por anunciarse. Una de ellas es una violación de datos en British Airways, investigada por la oficina del comisionado de información del Reino Unido (ICO). Bajo el GDPR, la compañía podría ser multada hasta con el 4% de su facturación global anual, lo que sería una multa de 560 millones de euros, un orden de magnitud mayor que la sanción de Google.

También ha habido numerosas aplicaciones de la ley que involucran a organizaciones más pequeñas con multas mucho menores. Eso sugiere que las autoridades consideraron en gran medida el primer año como un período de transición para alertar a las empresas y apoyarlas en su camino hacia la GDPR compliance, en lugar de perseguir cada infracción e imponer las máximas sanciones.

Sin embargo, ya se ha sancionado a varias organizaciones con multas significativas de GDPR. Aquí algunas de sus historias:

Fallo al implementar controles técnicos y organizativos apropiados

Quién: Centro Hospitalar Barreiro Montijo (un hospital portugués)

Cuándo: julio de 2018

¿Cuánto: €400.000

Infracción: El hospital tenía 689 usuarios asociados con perfiles de “doctor” que otorgaban derechos de acceso excesivos, a pesar de que solo había 296 doctores en el hospital. Además, todos los doctores tenían acceso ilimitado a todos los archivos de pacientes, independientemente de la especialidad del doctor. La última vez que el hospital desactivó una cuenta de usuario fue en noviembre de 2016. El hospital tampoco tenía documentación que explicara los derechos de acceso de los usuarios, ni documentos que definieran las reglas para la creación de usuarios de su sistema de información.

Puntos clave: El Artículo 25 del GDPR exige a las organizaciones implementar medidas técnicas y organizativas adecuadas para garantizar que los datos sensibles se procesen correctamente y solo sean accesibles para las personas adecuadas. Estos son los pasos más importantes a seguir:

• Determine qué datos sensibles posee y quién tiene acceso a ellos. Utilizar una solución de data classification le ayudará a separar los activos más críticos de los datos menos sensibles.
• Encuentre datos regulados por el GDPR que estén demasiado expuestos. Minimice los privilegios de las cuentas basándose en los requisitos de las tareas o el trabajo. Realice revisiones periódicas de acceso para asegurarse de que se cumple con el principle of least privilege.
• Asegúrese de que todos los datos regulados se almacenen en una ubicación segura de acuerdo con su valor y sensibilidad.
• Mantenga actualizados sus controles de seguridad y esté preparado para proporcionar evidencia de que su empresa está procesando datos personales de manera segura.

Falta de notificación de una violación de datos

Quién: UAB MisterTango (proveedor de servicios de pago lituano)

Cuándo: mayo de 2019

¿Cuánto es: €61.500

Infracción: Una de las historias más recientes trata sobre una empresa que no reportó una violación de datos personales que ocurrió entre el 9 y 10 de julio de 2018. Durante ese período de 2 días, los datos de pago estuvieron públicamente disponibles en internet debido a medidas técnicas y organizativas inadecuadas. Los datos involucraron a 12 bancos de diferentes países y 9,000 transacciones de pago. La empresa también violó el GDPR cuando accedió y recopiló más datos personales de los necesarios para la ejecución de pagos. Además, la empresa almacenó datos regulados por el GDPR mucho más tiempo del necesario — 216 días en lugar de 10 minutos.

Puntos clave: La sanción en este caso demuestra que los reguladores del GDPR toman muy en serio el fallo de notificarles sobre una violación de datos, especialmente cuando la violación involucra información financiera. Las organizaciones necesitan tener todos los controles necesarios en su lugar para detectar, informar e investigar las violaciones de datos personales. Consulte con su asesor legal sobre los Artículos 33 y 34 si no está seguro sobre los pasos para la notificación correcta de violación de datos y cuándo aplican.

Para asegurarse de recopilar y retener solo la información mínima necesaria para sus procesos empresariales, debe desarrollar una política de retención que indique claramente cuánto tiempo mantener cada tipo de datos y qué hacer con ellos (como eliminarlos o archivarlos) una vez que ya no los necesite o no pueda conservarlos legalmente.

Fallo al informar a los individuos que sus datos serían procesados

Quién: Controlador de datos anónimo en Polonia

Cuándo: marzo de 2019

¿Cuánto: €200.000

Infracción: Bajo el GDPR, las personas tienen derecho a ser informadas sobre la recolección y uso de sus datos personales. La organización en este caso informó adecuadamente a las 90,000 personas de su base de clientes cuyas direcciones de correo electrónico tenía — pero no contactó directamente a las otras 6 millones de personas para las que no tenía direcciones de correo electrónico, citando altos costos operativos. En su lugar, la organización optó por presentar la información sobre la recolección y uso de datos en su sitio web.

Puntos clave: Los reguladores encontraron este enfoque insuficiente, señalando que la empresa tenía otros datos de contacto, como números de teléfono y direcciones físicas, que podría haber utilizado para contactar directamente a los clientes. Los reguladores también consideraron la infracción intencional porque la empresa era consciente de la obligación de informar directamente a las personas y no hubo intento ni siquiera una intención declarada de poner fin a la infracción.

Esta reciente decisión sugiere que la indulgencia en la aplicación del GDPR ha terminado. La empresa violó requisitos clave de la ley en cuanto al manejo adecuado de datos personales y fue sancionada con una multa elevada.

La influencia del GDPR en los sistemas regulatorios fuera de la UE

Desde que el GDPR entró en vigor, hemos visto leyes similares promulgadas en todo el mundo. Según la United Nations Conference on Trade and Development (UNCTAD), más de 100 países ya cuentan con leyes de protección de datos. La nueva regulación de Brasil incluso tiene un nombre similar: Ley General de Protección de Datos (LGPD). En los próximos años, esperamos ver más cumplimiento en cuanto a los intercambios internacionales de datos.

La UE está trabajando para introducir el Reglamento ePrivacy, que reemplazará la Directiva ePrivacy 2002/58/EC (la “Ley de Cookies”) y complementará el GDPR al regular la privacidad con respecto a los servicios de comunicación electrónica, incluyendo el uso de metadatos y cookies.

La privacidad de los datos también se está abordando en EE. UU. Por ejemplo, la California Consumer Privacy Act (CCPA), que tiene mucho en común con el GDPR, entra en vigor el 1 de enero de 2020. Massachusetts está actualizando su ley de violación de datos para incluir nuevos requisitos para las empresas que recopilan datos personales de los residentes del estado, y Oregón está trabajando en enmiendas para fortalecer las leyes de ciberseguridad para las organizaciones que sufren una violación de datos.

Qué dicen los expertos sobre el impacto del GDPR

Preguntamos a varios expertos cómo el GDPR ha impactado en los negocios, y esto es lo que dijeron:

Douglas Crawford, experto en privacidad digital, ProPrivacy.com

Probablemente la mayor ventaja es que el GDPR ha obligado a las empresas a pensar detenidamente sobre el consentimiento del usuario y el derecho a la privacidad de los usuarios. En realidad, tomará algunos años para que los beneficios completos a los consumidores se hagan evidentes, pero el resultado final debería beneficiar a los usuarios de internet en todas partes. Debido a que adoptar un enfoque de varios niveles para la privacidad del usuario es extremadamente impráctico, las empresas se han visto obligadas a extender los beneficios de privacidad del GDPR a todos sus clientes, independientemente de si viven o no en la UE.

Aunque el primer año ha sido denominado un “año de transición”, el GDPR hasta ahora ha logrado un notable éxito en lo que respecta a la notificación de violaciones de datos. Dentro de la UE, tales informes casi se duplicaron en los primeros ocho meses desde que se introdujo el GDPR. Esto probablemente ejercerá presión sobre el gobierno de EE. UU. para instituir leyes similares a nivel federal, en lugar de depender de un enredo ineficiente de legislación a nivel estatal que resulta en bajos niveles de violaciones de datos autoinformadas.

Es probable que los reguladores europeos adopten un enfoque más enérgico en la aplicación del GDPR en los próximos años. Tiene sentido comenzar limpiando su propio terreno, pero una vez hecho esto, es casi seguro que los reguladores dirigirán su atención de manera más completa hacia las empresas internacionales que hacen negocios en Europa.

Monica Eaton-Cardone, cofundadora y directora de operaciones, Chargebacks911

Como emprendedor global, he notado que muchas empresas han contratado abogados para ayudar con sus datos. Cuando el GDPR entró en vigor, la gente se volvió más consciente de la importancia de proteger sus datos.

Aunque el GDPR ayudó a algunas empresas a crecer, hubo miles de quejas con respecto a la falta de transparencia adecuada, lo cual no fue una sorpresa. Después de todo, en el momento en que el GDPR entró en vigor, pocos comerciantes tenían la infraestructura necesaria para analizar los datos con tanto detalle como lo exige el GDPR, y pocos lo hacen incluso ahora.

La comunicación entre los sujetos de datos podría cambiar con el tiempo para ayudar a asegurar nuestra privacidad en los años venideros. Sin embargo, aún está por verse cómo eso afectará al fraude a largo plazo, ya que podríamos tener un acceso cada vez más limitado a los datos de los consumidores.

Simon Fogg, experto en privacidad de datos y analista legal, Termly.io

Las empresas estadounidenses ahora son considerablemente más cautelosas al dirigirse a clientes en la UE. Aunque el GDPR entró en vigor hace más de un año, más de 1,000 importantes publicaciones estadounidenses siguen sin estar disponibles para los usuarios de la UE — ya sea porque esas publicaciones nunca finalizaron sus esfuerzos de cumplimiento o porque consideraron que su base de clientes europeos no era lo suficientemente grande como para justificar los cambios necesarios (y costosos). Las empresas de EE. UU. solían recopilar datos de manera extensiva, pero el GDPR ha obligado a muchos a navegar los límites de datos con mayor vigilancia.

Deberíamos esperar que el número de multas impuestas por incumplimiento del GDPR se dispare. Aunque hasta ahora se han emitido pocas sanciones notables, los reguladores todavía están lidiando con una gran acumulación de violaciones de datos. Una vez que se pongan al día, comenzarán a ejercer su autoridad con mayor fuerza, y es probable que las empresas en EE. UU. estén entre las afectadas.

Sweeney Williams, vicepresidente de seguridad, privacidad y cumplimiento, Vision Critical

Antes del GDPR, las empresas estadounidenses sin presencia física en Europa podían operar con poco o ningún respeto a los requisitos de privacidad de la UE, ya que el alcance de la aplicación era limitado y las multas potenciales eran bajas. El GDPR ha obligado a las empresas estadounidenses no solo a prestar atención a los requisitos de la UE, sino a promulgar y hacer cumplir activamente esos requisitos en sus propias operaciones, a menudo con grandes gastos. Miles de empresas han contratado a oficiales de protección de datos, creado mapas de flujo de datos complejos, implementado procesos de acceso de sujetos de datos a través de docenas de aplicaciones desconectadas y realizado mejoras significativas en sus operaciones de seguridad y privacidad de datos. Por otro lado, varias empresas con sede en EE. UU. han optado por cerrar operaciones que estaban ubicadas en la UE o que proporcionaban productos y servicios a la UE, creyendo que el costo de la pérdida de ingresos sería menor que el costo del cumplimiento y las multas potenciales. Algunas incluso han llegado al extremo de bloquear las IPs europeas para que no se conecten a sus sitios web.

El impacto más significativo y beneficioso del GDPR, tanto dentro como fuera de los EE. UU., ha sido su influencia en el público, debido a los fuertes derechos de acceso y transparencia del sujeto de datos que presenta. Aunque los conceptos subyacentes contenidos en el GDPR no son nuevos, la conciencia sobre los derechos de privacidad de datos ha aumentado vertiginosamente como resultado de la cantidad sin precedentes de prensa que la regulación ha generado desde su introducción. Las personas ahora esperan recibir el mismo nivel de transparencia, acceso a datos y derechos de control que los contenidos en el GDPR, y los reguladores de todo el mundo enfrentan una presión significativa de sus constituyentes para promulgar legislaciones de privacidad de datos similares al GDPR en sus propios países. Específicamente en los EE. UU., la tasa de nuevas propuestas de regulaciones de privacidad de datos está en su punto más alto y probablemente culminará en la creación de la primera ley federal de privacidad de los EE. UU., lo que algunos consideraban imposible hace solo unos pocos años.

Aki Estrella, asesor de privacidad, Stellae Legal and Risk Advisors

En su mayoría, el GDPR ha cambiado la forma en que las empresas manejan la información y la manera en que planean su uso. Segregar la información, enviar notificaciones y capacitar a empleados/departamentos para responder a solicitudes de ciudadanos de la UE han sido los impactos más comunes; sin embargo, como hemos visto, algunas empresas aún no han entendido del todo y están lidiando con las enormes multas asociadas con el GDPR. No veo ninguna reducción en la escala de empresas que usan datos o venden a la UE (o al Reino Unido, que aprobó su propia regulación de datos que es casi idéntica).

FAQ

¿Qué es el GDPR en la ciberseguridad?

El GDPR (Reglamento General de Protección de Datos) en ciberseguridad representa un marco integral que exige medidas técnicas y organizativas específicas para proteger los datos personales de amenazas cibernéticas y accesos no autorizados. Desde una perspectiva de ciberseguridad, el GDPR requiere que las organizaciones implementen la protección de datos por diseño y por defecto, lo que significa que los controles de seguridad deben estar integrados en los sistemas desde su concepción en lugar de añadirse como un pensamiento posterior. Los requisitos clave de ciberseguridad incluyen la encriptación de datos personales en tránsito y en reposo, controles de acceso robustos que limitan el acceso a los datos solo al personal autorizado, evaluaciones de seguridad regulares y pruebas de penetración, y procedimientos de respuesta ante incidentes que permiten la notificación de brechas en un plazo de 72 horas. El GDPR también exige técnicas de seudonimización, procedimientos seguros de respaldo y recuperación de datos, y registros de auditoría completos que rastrean quién accedió a qué datos y cuándo. Para la gestión de identidad y acceso, el GDPR requiere que las organizaciones implementen mecanismos de autenticación fuertes, revisiones de acceso regulares y provisionamiento y desaprovisionamiento automatizados para prevenir el acceso no autorizado a los datos. El principio de 'privacidad por diseño' de la regulación significa que la ciberseguridad no se trata solo de cumplimiento, sino de construir sistemas resilientes que protejan los datos personales como un requisito fundamental de diseño.

¿A quién se aplica el GDPR?

El GDPR se aplica a cualquier organización que procese datos personales de residentes de la UE, independientemente de dónde esté físicamente ubicada la organización – esto significa que compañías estadounidenses, negocios asiáticos y organizaciones de todo el mundo pueden estar bajo la jurisdicción del GDPR. La regulación cubre dos tipos de entidades: controladores de datos (quienes determinan los propósitos y medios del procesamiento de datos personales) y procesadores de datos (quienes procesan datos en nombre de los controladores). Su organización está sujeta al GDPR si ofrece bienes o servicios a residentes de la UE, monitorea el comportamiento de residentes de la UE en línea, o maneja datos de empleados de la UE en compañías multinacionales. Incluso si su negocio no tiene presencia física en la UE, actividades como dirigir publicidad específica a usuarios de la UE, procesar pedidos de clientes de la UE, o rastrear visitantes de sitios web de la UE a través de cookies pueden desencadenar obligaciones del GDPR. El factor clave es el procesamiento de datos personales – cualquier información que pueda identificar a un residente de la UE, incluyendo nombres, direcciones de correo electrónico, direcciones IP, datos de ubicación o identificadores en línea. Las pequeñas empresas no están exentas si cumplen con estos criterios, aunque algunas actividades de procesamiento pueden calificar para exenciones. Para los profesionales de Identity Management, esto significa que cualquier sistema que almacene datos personales de la UE requiere controles de acceso conformes con el GDPR, registros de auditoría y capacidades de derechos del sujeto de datos independientemente de la ubicación geográfica de su organización.

¿Qué es el cumplimiento del GDPR?

El cumplimiento del GDPR significa implementar medidas de protección de datos exhaustivas que cumplan con todos los requisitos del Reglamento General de Protección de Datos, yendo mucho más allá de simples políticas de privacidad para abarcar salvaguardias técnicas, procedimientos organizativos y protección de los derechos individuales. El verdadero cumplimiento requiere un enfoque multinivel que incluye la determinación de la base legal para todas las actividades de procesamiento de datos, evaluaciones de impacto de protección de datos para procesamientos de alto riesgo, nombramiento de Oficiales de Protección de Datos donde sea necesario, e implementación de los derechos del sujeto de datos incluyendo acceso, rectificación, borrado y portabilidad. Las medidas de cumplimiento técnico incluyen cifrado, seudonimización, controles de acceso, registro de auditoría y prácticas de minimización de datos que aseguran que solo se recolecte y retenga los datos personales necesarios para fines especificados. El cumplimiento organizativo implica capacitación del personal, desarrollo de políticas, gestión de proveedores y procedimientos de respuesta ante brechas que puedan cumplir con el requisito de notificación de 72 horas. Desde una perspectiva de Identity Management, el cumplimiento del GDPR significa implementar controles de acceso basados en roles, revisiones de acceso regulares, gestión automatizada del ciclo de vida del usuario y registros de auditoría exhaustivos que puedan demostrar el cumplimiento durante investigaciones regulatorias. El cumplimiento no es un logro único, sino un proceso continuo que requiere evaluaciones regulares, actualizaciones de políticas y monitoreo continuo para mantener los estándares de protección a medida que su negocio y el panorama regulatorio evolucionan.

Cómo realizar una auditoría de cumplimiento del GDPR?

Una auditoría de cumplimiento del GDPR requiere una evaluación sistemática de sus actividades de procesamiento de datos, salvaguardias técnicas y procedimientos organizativos para identificar brechas y asegurar la alineación regulatoria. Comience con la cartografía de datos para crear un inventario completo de los datos personales que su organización recopila, procesa, almacena y comparte. Esto incluye identificar las fuentes de datos, los propósitos del procesamiento, las bases legales, los períodos de retención y los acuerdos de compartición con terceros. Evalúe los controles técnicos incluyendo sistemas de gestión de acceso, implementaciones de cifrado, procedimientos de respaldo y capacidades de monitoreo de seguridad para asegurar que cumplen con el requisito de “medidas técnicas apropiadas” del GDPR. Revise las medidas organizativas incluyendo programas de capacitación del personal, políticas de protección de datos, acuerdos con proveedores y procedimientos de respuesta ante incidentes para verificar que apoyan las obligaciones del GDPR. Evalúe la implementación de los derechos de los sujetos de datos probando su capacidad de responder a solicitudes de acceso, demandas de rectificación y requisitos de borrado dentro de los plazos obligatorios. Examine las prácticas de documentación para asegurar que puede demostrar el cumplimiento a través de registros de actividades de procesamiento, evaluaciones de impacto de protección de datos y registros de incidentes de brechas. Para los sistemas de Identity Management, audite los controles de acceso de usuarios, Privileged Access Management, procesos de revisión de acceso y la integridad del registro de auditoría para asegurar que puede rastrear quién accedió a qué datos personales y cuándo. Documente todos los hallazgos con claras prioridades de remediación, cronogramas de implementación y asignaciones de responsabilidad. Las auditorías regulares deben ocurrir al menos anualmente o después de cambios significativos en el sistema, con monitoreo continuo para actividades de procesamiento de datos de alto riesgo.

Lista de verificación de implementación de GDPR para Identity Management?

La implementación del GDPR para Identity Management requiere un despliegue sistemático de controles de acceso, capacidades de auditoría y soporte de los derechos de los sujetos de datos que protegen los datos personales a lo largo de su ciclo de vida. Comience con la implementación del marco de control de acceso: establezca controles de acceso basados en roles que hagan cumplir los principios de privilegio mínimo, implemente mecanismos de autenticación fuertes que incluyan autenticación multifactor para el acceso a datos sensibles y despliegue provisionamiento y desaprovisionamiento automatizados para asegurar cambios de acceso oportunos cuando los empleados se unen, se mueven o se van. Implemente un registro de auditoría integral que capture quién accedió a qué datos personales y cuándo, con almacenamiento de registros a prueba de manipulaciones y análisis regular de registros para detectar intentos de acceso no autorizados. Despliegue herramientas de descubrimiento y clasificación de datos para identificar dónde residen los datos personales en su entorno, luego implemente controles de acceso que restrinjan el acceso a datos personales solo a roles autorizados. Establezca capacidades de cumplimiento de los derechos de los sujetos de datos que incluyan búsqueda y recuperación automatizadas para solicitudes de acceso, procedimientos seguros de modificación de datos para solicitudes de rectificación y procesos confiables de eliminación de datos para solicitudes de borrado. Configure políticas de retención de datos que eliminen automáticamente los datos personales cuando expiren los períodos legales de retención, con manejo de excepciones para requisitos de retención legal. Implemente técnicas de preservación de la privacidad que incluyan la seudonimización para entornos de desarrollo y pruebas, cifrado para datos personales en reposo y en tránsito, y controles de minimización de datos que prevengan la recolección excesiva de datos personales. Cree procedimientos de respuesta a incidentes específicamente para violaciones de datos relacionadas con la identidad, incluyendo contención rápida, evaluación de impacto y capacidades de notificación regulatoria. Documente todos los procedimientos de Identity Management, realice revisiones de acceso regulares y establezca monitoreo continuo para asegurar el cumplimiento sostenido del GDPR a medida que su infraestructura de identidad evoluciona.