GDPR: ¿Están las empresas en la brecha?

El 25 de mayo de 2018 se cumplía el plazo para el obligado uso del Reglamento Europeo General de Protección de datos (cuyas siglas inglesas se han apoderado de su uso común: GDPR). Hagamos un balance de estos meses.

Publicado el 17 Feb 2019

91252_50

Ríos de tinta, artículos, informes, encuestas y publicidad corporativa inundaron los medios de comunicación advirtiendo de que no era un asunto baladí, sino que se había convertido en un imperativo que atañe a cualquier organización, independientemente de su tamaño, y que convierte los datos personales en un bien muy preciado al que cuidar y gestionar con total transparencia.

Se evocó en el sector tecnológico la fábula de Pedro y el Lobo, pues las estadísticas a tres meses de la fecha fatídica arrojaban un desinterés o desconocimiento ante el GDPR por un gran número de empresas españolas. El Lobo se materializaba en unas multas de 20 millones de euros o el 4% de la cifra de negocio anual. Un estudio de IDC publicado en la víspera del plazo final aseguraba que solo el 35% cumplía o mostraba su compromiso fuerte con la normativa. “El 45% de las empresas restantes deberían de estar en principio en el proceso de cumplimiento, y por ello les recomendamos que empiecen por tener definido ese plan y documentados los pasos que van ejecutando día a día”, alertaba Emilio Castellote, analista senior de la firma analista.

IDC ha calculado que la inversión en España para cumplir con GDPR ha alcanzado los 146.700 millones de euros en 2018

IDC ha calculado que la inversión en España para cumplir con GDPR ha alcanzado los 146.700 millones de euros en 2018. Además, la principal recomendación de la consultora tecnológica es la necesidad de las empresas de diseñar un plan de complimiento continuo, proactivo y que involucre a todas las personas de la organización.

La consultora recuerda que GDPR es un reto reputacional y una oportunidad para mejorar el gobierno del dato dentro de las organizaciones, ya que el 80% de las personas que puedan ver vulnerada su información personal no volverán a confiar nunca en esa empresa.

Sin embargo, las compañías nacionales no han aprovechado en su mayoría el tiempo para ponerse al día, e incluso no han cumplido en altas proporciones la tarea de elegir un Delegado de Protección de Datos; unos deberes que solo han completado las grandes organizaciones de nuestro país.

Cuatro meses después

El eco de las voces del GDPR se fue apagando paulatinamente después de mayo, tras un frenesí de correos electrónicos, cookies, mensajes online contextuales… solicitando nuestro consentimiento de los datos personales que aburrió a propios y extraños. Cuatro meses después desde su entrada en vigor, los datos recabados por Isaca arrojaban las siguientes resoluciones dictaminadas por la Agencia Española de Protección de Datos (AEPD): las relativas al incumplimiento del derecho de rectificación y cancelación (259), las relativas a la falta de consentimiento inequívoco (161), y empataban los incumplimientos a la hora de utilizar datos para finalidades no compatibles con aquellas por las que se recogieron y con el derecho de acceso a los datos recogidos (94 resoluciones). De aplicación directa del GDPR tan solo se produjeron tres resoluciones; una relacionada con la licitud del tratamiento de datos, y dos relacionadas con la violación de la seguridad de los datos personales.

Desde el punto de vista de la actividad empresarial, comercial o social de las empresas o colectivos objetos de resolución, las cifras indican que los más incumplidores fueron los servicios de Internet (145), los ficheros de morosidad (122), las actividades de videovigilancia (117), 65 resoluciones por contratación fraudulenta y 60 incumplimientos procedentes de la administración pública. Al lado contrario de la tabla se encontraban los profesionales en general, la seguridad privada, o los colegios profesionales, con una única resolución cada uno. Los sindicatos tuvieron solo tres al igual que las referidas a la pérdida de datos en papel, es decir, datos aparecidos en la basura.

Primera multa de GDPR a una empresa europea

Aunque todavía no hablamos de una cifra desorbitada, a principios de diciembre de 2018 se daba a conocer la primera gran multa impuesta a una compañía europea por filtrar datos de contacto de usuarios de Internet.

Knuddels, una empresa alemana de mensajería, fue sancionada con el pago de 20.000 euros por filtrar más de 808.000 direcciones de correo electrónico y más de 1,8 millones de nombres de usuario y contraseñas.

En julio de 2018, la plataforma de chat de Knuddels sufrió una violación de datos y la información robada de sus servidores se publicó en línea de forma transparente. En julio también se desvelaron detalles acerca de la filtración de datos de más de 87 millones de usuarios por parte de Facebook y Cambrigde Analítica (el gran suceso del año). La información personal de estos usuarios fue recabada por la consultora sin consentimiento expreso de los mismos, y posteriormente vendida a terceros para su supuesto uso en beneficio de la campaña electoral del presidente de EEUU, Donald Trump. En ese momento, la Oficina del Comisionado de Información (ICO) de Reino Unido impuso una multa a Facebook, la primera que recibe la red social en relación con el escándalo. La multa fue de 500.000 libras (564.951 euros), la máxima cantidad estipulada por las leyes de protección de datos de Gran Bretaña.

Pero la cosa no quedó ahí. En octubre, la firma de Mark Zuckerberg reconocía una masiva brecha de seguridad que afectaba a 50 millones de usuarios y que podía extenderse a 40 millones potenciales, con la correspondiente demanda colectiva de los afectados. La espada de Damocles pende sobre la red social pues el organismo regulador europeo tiene en su mano dejar caer la cuchilla y aplicar una sanción que alcanzaría los 1.400 millones (el 4% del negocio gigantesco de Facebook), algo que sentaría un precedente inusitado. Pero Facebook no ha sido la única compañía americana puesta en el disparadero.

Por las mismas fechas, Google anunciaba el cierre de su plataforma social Google+, su versión de consumo. El cierre estuvo motivado por una brecha de seguridad que puso en riesgo los datos de medio millón de usuarios, como confirmaron medios estadounidenses. Los datos estuvieron expuestos entre 2015 y marzo de 2018 cuando Google se percató del problema y lo solventó merced a su proyecto interno Strobe, que le permitió descubrir el error de una API llamada ‘People’.

La cosa no deja de preocupar, en tanto que los casos menudean, como el sonado de Marriot acaecido en noviembre. El grupo hotelero Marriott admitía que la base de datos de reservas de sus huéspedes, encuadrada en su división Starwood, fue comprometida por un ataque anónimo. El caso es que el primer acceso no autorizado se produjo en 2014, aunque desde entonces se ha mantenido el acceso a la base de datos, algo que finalmente se detectó en septiembre de 2018. Entre los hoteles afectados se encuentran W Hotels, Sheraton, Le Méridien y Four Points by Sheraton. “Durante la investigación que se realizó, Marriott descubrió que se había accedido de forma no autorizada a la red de Starwood desde cuatro años atrás; que se había copiado y cifrado la información; en noviembre ya Marriott pudo descifrar la información y dictaminó que correspondía a la base de datos de las reservas de Starwood”, según comunicó la cadena hotelera en su web. 500 millones de usuarios que hicieron una reserva en Starwood también se vieron afectados, con detalles de pagos incluidos en los datos sustraídos.

Dicha información incluía una combinación de nombre, dirección postal, número de teléfono, mail, número de pasaporte, sexo, fecha de nacimiento e información de la cuenta de Starwood Preferred Guest. Quedó por confirmar si también afectaba a los números de las tarjetas de pago y fechas de vencimiento de dichas tarjetas. “Marriot lamenta profundamente el incidente”, lamentaba la compañía, “pero nos hemos movido rápidamente desde el principio para pararlo y realizar una investigación exhaustiva de la mano de expertos en seguridad; vamos a acelerar las mejoras de seguridad en nuestra red”. Una disculpa que no le librará de las consecuencias legales y reputacionales. Pero también las tecnológicas son carne de cañón. El 9 de noviembre, Dell comunicaba un intento de robo de información relacionada con los nombres, dirección de correo electrónico y contraseñas de sus clientes protegidas mediante el algoritmo hash. Nada más ser detectado, el ataque fue frenado y la empresa afirmó “no haber encontrado evidencias de que ningún dato haya sido extraído”.

No obstante, Dell instó a sus clientes a cambiar las contraseñas para entrar en su sesión de la página web de la empresa; y se comprometió a hacer “todo lo que esté en su mano para proteger la información de los clientes”.

Adiós al modelo basado en la cultura disfuncional de datos

“2019 será un año que marque un antes y un después en la forma en que las empresas protegen y gestionan sus datos”. Esta es la conclusión de Vincenzo Costantino, director técnico de Commvault para el Sur de EMEA. En los últimos años, se ha convertido en un hábito para las organizaciones recopilar y retener la mayor cantidad de datos posible. La idea es simple: cuantos más datos se tengan, más valor se podrá obtener de ellos de cara al futuro. “Sin embargo, este año las organizaciones se han dado cuenta de que esto no es así. De hecho, la normativa está obligando a lo contrario”, argumenta Constantino.

En 2019 las empresas invertirán cada vez más en pasar de la actual cultura de datos disfuncional a un modelo en el que la gestión de los datos esté más automatizada y dirigida a los procesos. Esto incluirá tecnologías que pueden ayudar a descubrir, perfilar, mapear y saber qué datos se mantienen, independientemente de dónde se almacenen: en las instalaciones del cliente, en la nube/SaaS o en dispositivos de usuario. Con este conocimiento, las organizaciones pasarán de tener datos aislados e irrelevantes que aumentan artificialmente, a tenerlos en un lugar donde la calidad de los datos es lo más importante. Este enfoque llevará a reducir costes, disminuir el perfil de riesgo con respecto al cumplimiento de GDPR, y a obtener un mejor posicionamiento para lograr sus objetivos comerciales.

¿Qué te ha parecido este artículo?

La tua opinione è importante per noi!

Rufino Contreras
Rufino Contreras

Artículos relacionados

Artículo 1 de 4