Entre las brechas de datos masivas sucedidas en empresas sobradamente reconocidas y los repetidos escándalos protagonizados por Facebook, el 2018 fue el año en que la protección de datos personales empezó a generar titulares – y preocupación- en todo el mundo. Y como punto de inflexión entre todos estos casos está el GDPR, el nuevo Reglamento General de Protección de Datos europeo de obligado cumplimiento desde el 25 de mayo del año pasado.
Además de daños reputacionales, el GDPR conlleva importantes multas por incumplimiento, pudiendo alcanzar los 20 millones de euros o el 4% de los ingresos anuales de una empresa. El nuevo imperativo de ciberseguridad corporativa pasa de la remediación a la prevención y protección de los datos personales almacenados. Ya no vale con reaccionar una vez sufrida la exfiltración de datos, sino que para eludir el GDPR la única manera es su cumplimiento, anticipándonos a los incidentes sobre los datos de carácter personal (PII).
Ya a finales de 2018 empezaron a llegar las primeras sanciones. La más alta fue una multa de 400.000€ a un hospital portugués. Y esta semana, el 21 de enero de 2019, hemos sido testigos de la primera multa millonaria a una de las empresas de mayor facturación mundial: Google.
Google y el problema del consentimiento forzado
El CNIL (Comisión Nacional de Informática y Libertades), la agencia de protección de datos francesa, ha multado a Google LLC 50 millones de euros por incumplimiento de las reglas del GDPR acerca de la transparencia y de la ausencia de una base legal válida de procesamiento de los datos personales destinados a fines publicitarios.
Está claro que el importe de la multa es mayúsculo. Sin embargo, está lejos de lo que podría haber supuesto para las arcas de Google ya que Alphabet, la empresa matriz, tenía ingresos de más de 97,5 mil millones de euros en 2017; por lo que la multa podría haber ascendido a 3,9 mil millones de euros.
Otro punto álgido en el caso es debido a que el GDPR establece que la investigación de un caso se tiene que llevar a cabo en el país donde la empresa investigada tenga su centro de acciones. Aunque la sede europea de Google está en Irlanda, la CNIL considera que esta sede no toma decisiones acerca del procesamiento de datos personales y que, por lo tanto, la queja es contra Google LLC en EE.UU.
Echando la vista atrás, vemos que el origen de las primeras quejas acerca de Google se remontan al mismo día 25 de mayo, minutos después de la entrada en vigor del reglamento, cuando la organización sin ánimo de lucro noyb.eu interpuso las primeras reclamaciones contra varias empresas, incluido Google. El grupo de derechos digitales francés la Quadrature du Net también registró una queja acerca de Google pocos días después.
Ambos reclamos están relacionadas con el consentimiento forzado; alegan que la empresa carece de una base legal sólida para procesar los datos personales de sus usuarios, ya que les obligó a consentir a un tratamiento de datos que éstos no entendían.
Según la CNIL, cuando un usuario crea una cuenta de Google en un móvil Android, reciben mucha de la información que requiere el GDPR – categorías de datos personales, los propósitos del procesamiento de datos, etc. – pero afirman que la información está “excesivamente diseminada entre varios documentos, con botones y enlaces que hay que seguir para tener acceso a la información.”
“Solo se puede acceder a la información relevante tras varios pasos, que a veces implica hasta 5 o 6 acciones,” dice la CNIL. También alega que la información ofrecida por Google es muy vaga y genérica a la hora de explicar a sus usuarios sobre cómo se usarán sus datos, y que hay una falta de información acerca de cuánto tiempo permanecerán almacenados.
Otro problema era la casilla de “estoy de acuerdo con los términos del servicio de Google”, en vez de casillas con opciones más detalladas.
La conclusión de la CNIL es que Google no tiene el permiso válido de sus usuarios, ya que el consentimiento no era ni “especifico” ni “inequívoco” como requiere el GDPR.
Cómo evitar las multas millonarias
Uno de los primeros pasos para cumplir con el GDPR al pie de la letra es proporcionar una protección adecuada para los datos personales que almacena y procesa tu empresa. Un buen comienzo es saber exactamente dónde están los datos personales y quién tiene acceso a ellos.
Esto es exactamente lo que hace Panda Data Control, el módulo de protección de datos de Panda Adaptive Defense. Panda Data Control identifica todos los archivos que contienen datos de carácter personal (PII) y registra cualquier tipo de acceso a ellos, proporcionando alertas en tiempo real sobre fugas, uso, o tráfico sospechosos o no autorizados.
Panda Data Control ayuda con el cumplimento de varios artículos específicos del GDPR, entre los cuales el derecho de supresión, la notificación de una violación de seguridad a la autoridad de control, y la evaluación del impacto relativo a la protección de datos.
Esta multa a Google es la primera millonaria dentro del marco del GDPR, pero no será la última: estamos a la espera de los resultados de los casos de British Airways, de Marriott, y los múltiples problemas de Facebook.
Si no sabes cómo proteger los datos de carácter personal almacenados en tu red corporativa y quieres evitarle a tu empresa problemas de imagen y sanciones millonarias, no pierdas la oportunidad de conocer las ventajas de Panda Data Control.