El 2018 fue un año controvertido para Facebook. Desde que se reveló el escándalo de Cambridge Analytica en marzo, el año fue un no parar de problemas, brechas de datos e incluso acusaciones de haber facilitado el genocidio. Y los problemas se trasladarían también a sus finanzas : el valor de sus acciones cayó un 20% en tan solo dos horas en julio, causando una pérdida de 120 mil millones de dólares de su capitalización bursátil.
Las multas empiezan a llegar
A principios de julio de este año, las autoridades alemanas multaron a Facebook con 2 millones de euros por una falta de transparencia acerca de las quejas por incitación al odio.
En julio de 2018, Facebook recibió su primera multa en relación con el escándalo de Cambridge Analytica, cuando la Oficina del Comisionado de Información (ICO) de Reino Unido le impuso una sanción económica de 500.000£, la máxima cantidad bajo las normas anteriores al GDPR. También recibió dos multas por un total de 10 millones de euros de las autoridades italianas el pasado diciembre por engañar a sus usuarios acerca de sus políticas de datos.
Ahora, ha llegado otra multa europea a la red social: la Autorità Garante Privacy, la organización italiana de protección de datos, ha impuesto 1 millón de euros de multa a Facebook por su papel en el escándalo de Cambridge Analytica.
En un comunicado de prensa, la organización explica que 57 italianos descargaron la aplicación llamada “This is your life”, que adquirió los datos de sus contactos en Facebook sin su conocimiento. A partir de aquí, se estima que unos 214.077 usuarios italianos fueron afectados. La multa tiene en cuenta el tamaño de la base de datos afectada, las condiciones económicas de la red y también el número de usuarios italianos e internacionales.
La multa sigue la normativa italiana vigente antes de la llegada del GDPR, con lo cual la suma no es tan elevada como podría ser dentro del nuevo marco regulatorio. Sin embargo, explica Antonello Soro, de la Autorità Garante Privacy que llegarán “nuevas y más cuantiosas sanciones, a la luz de la normativa GDPR.”
Facebook y el GDPR
El GDPR está en vigor desde mayo de 2018, y solo incidentes ocurridos después de esa fecha pueden ser sancionados dentro del marco de esta normativa. No obstante, Facebook se ha visto implicado en varios incidentes desde la implementación del reglamento, y por lo tanto podría empezar a notar sus efectos dentro de poco.
El más reciente de estos incidentes ocurrió en abril de este año. Investigadores de seguridad descubrieron más de 540 millones de archivos que contenían información sobre usuarios de Facebook en un servidor sin contraseña. Esta información incluía comentarios, nombres de usuario y, dada la falta de medidas de seguridad, fue accesible para cualquier persona.
Antes de esto, en septiembre de 2018, una vulnerabilidad expuso las cuentas de unos 50 millones de usuarios de la red social.
“Esto es un asunto de alto riesgo que puede convertirse en el punto álgido del GDPR,” dice Toni Vitale, responsable de derecho de regulaciones, datos e información en el bufete Winckworth Sherwood. “Dada la alta cantidad de ciudadanos europeos implicado en esto, y el alto número de brechas previas, es probable la multa que llegue sea muy dolorosa.”
En 2018, Facebook obtuvo unos beneficios de 55 mil millones de dólares. Ya que la máxima multa dentro del GDPR es el 4% la facturación global de una empresa, en teoría, la red social podría tener que enfrentarse a una multa de 2,2 mil millones de dólares (1,95 mil millones de euros).
Cumplir con el GDPR en tu empresa
En el primer año de funcionamiento de esta normativa, hubo 200.000 investigaciones y 56 millones de euros en multas. Y es muy probable que estas cifras aumenten este año, sobre todo si tenemos en cuenta que solo el 29% de las empresas europeas cumplen con la normativa al 100%.
Tu empresa probablemente no maneja tantos datos personales como Facebook. No obstante, el GDPR es obligatorio para cualquier empresa – independientemente de su tamaño – que maneje datos personales de ciudadanos europeos. Por lo tanto es imprescindible asegurarte de que los datos personales que almacenas están bien protegidos.
Para agilizar el cumplimento con el GDPR, Panda Security tiene una solución: Panda Data Control, un módulo de Panda Adaptive Defense. Data Control te permite descubrir, auditar y monitorizar los datos de carácter personal y sensible desestructurados en los endpoints de tu empresa; desde datos en reposo, hasta las operaciones sobre ellos y su tránsito.
Identifica los ficheros con datos de carácter personal (PII) y registra cualquier tipo de acceso a ellos, siendo alertado en tiempo real sobre fuga, uso o tráfico sospechoso o no autorizado.
La única manera de evitar las sanciones económicas del GDPR y los consiguientes daños reputacionales es proteger adecuadamente los datos personales almacenados en tu empresa. Con Panda Data Control, esta tarea es mucho más fácil.