Hace más que un año que el GDPR, el Reglamento General de Protección de Datos Personales, es de cumplimiento obligatorio. El reglamento fue diseñado para estandarizar las normativas en todos los países de la Unión Europea, y para proporcionar a los usuarios mayor control sobre sus datos personales.
En el primer año de vigencia del GDPR, las agencias competentes en el tratamiento de datos de los países miembros han atendido un total de 144.376 preguntas y quejas relativas al reglamento y han notificado un total de 89.271 brechas de datos. En total, las multas repartidas ascienden a 56 millones de euros. Sin embargo, cabe destacar que de esa cantidad, 50 millones de euros corresponden a la multa que las autoridades francesas impusieron a Google en enero, que era la multa más alta hasta hoy.
La brecha de datos de British Airways
En septiembre del año pasado, British Airways anunció que había sido víctima de una brecha de datos. Los atacantes consiguieron robar los de unos 500.000 clientes de la aerolínea, incluidos sus nombres, números de tarjetas de crédito y sus códigos CVV y direcciones correo electrónico. Los atacantes consiguieron sustraer esta información modificando el script de la web de BA, en un ataque de cadena de suministro.
Ahora, la Oficina del Comisionado de Información (ICO) de Reino Unido ha multado a la aerolínea 183 millones de libras (204.110.000€) en relación con esta brecha. Según la ICO, es la multa más grande que jamás han impuesto, y es la multa más elevada con el GDPR ya en vigor hasta la fecha. Equivale al 1,5% de la facturación global de British Airways en 2017, lo cual corresponde al Nivel 1 de la normativa. Aunque la multa es muy elevada, el GDPR permite multas de hasta el 4% de la facturación global de una empresa, que, en el caso de BA, sería 488 millones de libras (544 millones de euros).
La aerolínea reacciona
La empresa tiene 28 días para recurrir el fallo. Willie Walsh, el CEO de IAG, la empresa matriz de BA, ha anunciado que British Airways efectuará las alegaciones pertinentes ante el ICO en relación a la sanción propuesta.
“Tenemos la intención de adoptar todas las medidas necesarias para defender vigorosamente la posición de la aerolínea, incluyendo cualquier apelación que considere necesaria”, ha añadido Walsh.
El presidente de BA, Álex Cruz, ha dicho que está “sorprendido y decepcionado” con la sanción de la ICO. Dice que “British Airways respondió a la actividad criminal de manera rápida. No hemos encontrado ninguna prueba de fraude ni actividad fraudulenta en las cuentas relacionadas con la sustracción.”, sostiene Cruz,
Evita las multas en tu empresa
Las multas bajo el GDPR son muy elevadas – hasta 20 millones de euros o el 4% de la facturación global de una empresa – pero los daños reputacionales son también un factor muy importante a tener en cuenta. Ninguna empresa quiere llegar a ser famosa por recibir una multa record por no proteger sus datos personales.
Para evitar las consecuencias negativas del GDPR, es imprescindible proteger de manera adecuada los datos personales que almacena tu empresa. Panda Security te puede ayudar: Panda Data Control es el módulo de Panda Adaptive Defense específicamente diseñado para ayudar con el cumplimento del GDPR.
Panda Data Control descubre, audita y monitoriza todos los datos personales desestructurados en la red corporativa de tu empresa. De esta manera sabrás dónde están almacenados los datos de tu empresa, quién los maneja y qué acciones se toman sobre ellos.
Visibilidad total sobre los archivos, sobre los usuarios y sobre los equipos y servidores que acceden a esa información, para supervisar cualquier acción sobre la información personal que almacenas.
Es más, este módulo te ayuda a cumplir con varios artículos del GDPR, incluidos el derecho de supresión, la evaluación de impacto relativa a la protección de datos, la seguridad de tratamiento y la notificación de una violación de la seguridad de los datos personales a la autoridad de control.
Porque hoy en día, las grandes empresas manejan una cantidad ingente de datos personales. Y la única manera de protegerlos es saber dónde están en todo momento y saber quién tiene acceso a ellos.