El pasado 25 de mayo, la Comisión Europea celebró el primer aniversario de la implementación del Reglamento General de Protección de Datos de la UE (GDPR en inglés). La comisión destaca que el GDPR ha servido en estos 12 meses para “empoderar y dar más control a las personas sobre sus datos personales”. También añade que las compañías se benefician de estas normas al poner en orden sus datos y que eso ha mejorado su ciberseguridad y ha aumentado la confianza que los clientes tienen hacia ellas.
Además, la Comisión también ha querido subrayar el conocimiento de la normativa entre los ciudadanos: según los datos aportados por el Eurobarómetro, un 67% de los europeos ha oído hablar del GDPR y un 57% sabe que existe una autoridad pública en su país responsable de ello. Es una cifra que supone un aumento del 20% en la notoriedad con respecto al 2015.
Los ciudadanos responden
Pero más allá del conocimiento de las normas, cabe preguntarse si los ciudadanos han ejercido sus derechos a través de ellas. En este sentido, el Comité Europeo de Protección de Datos (EDPB) ha recogido que las autoridades de los países miembros han atendido un total de 144.376 preguntas y quejas relativas al reglamento y han notificado un total de 89.271 brechas de datos. Entre las quejas más destacadas se encuentran las del uso ilegítimo de los datos de los ciudadanos para hacer acciones de telemarketing, las grabaciones a través de cámaras de circuito cerrado sin su correspondiente notificación y, por supuesto, el uso de los datos para campañas de email y spam. Pero, ¿y desde el lado de las empresas?
La ley actúa
Pese a las cifras anteriores, se han producido incumplimientos muy destacados por parte de algunas grandes organizaciones que, como consecuencia, han recibido cuantiosas multas por parte de las autoridades nacionales. Unas multas que pueden suponer hasta 20 millones de euros o un 4% de la facturación anual de la compañía. En este sentido, la cuantía total de todas las sanciones impuestas hasta ahora asciende a 56 millones de euros. Entre las sancionadas, hay empresas tan relevantes como Google: el regulador francés multó al gigante tecnológico por no aportar en su publicidad la opción de consentimiento para el tratamiento de los datos personales de los usuarios.
Pero las compañías de menor tamaño tampoco están exentas: una compañía polaca fue multada con 220.000 euros por recoger datos de empresas y particulares sin el consentimiento expreso de éstos. Además, en noviembre de 2018 las autoridades del estado alemán de Baden-Wurtemberg impusieron una sanción de 20.000 euros a un proveedor de redes sociales cuyo nombre no desvelaron públicamente. Aunque la prensa alemana apuntó a Knuddels, un servicio de chat online que sufrió un ciberataque en el que quedaron expuestos 808.000 direcciones de email y 1.872.000 nombres de usuario y contraseñas.
¿Cómo proteger los datos personales?
Como hemos visto durante su primer año de vida, el incumplimiento del GDPR puede acarrear consecuencias muy graves para las organizaciones, ya no sólo desde el punto de vista económico sino también desde el reputacional, al generar una profunda desconfianza de los clientes hacia la compañía.
Por ello, para ayudar a las organizaciones en el cumplimiento del GDPR, es recomendable que se sirvan de soluciones tecnológicas avanzadas, como el módulo Panda Data Control, integrado en la plataforma de Panda Adaptive Defense.
Esta solución aporta seguridad, visibilidad y control de los datos personales de los usuarios en tiempo real. Entre sus características más destacadas, dispone de un potente motor de búsquedas personalizadas, que es capaz de localizar ficheros con datos de un usuario en particular bajo cualquier parámetro de búsqueda y también permite descubrir, auditar y monitorizar los datos desestructurados de carácter personal (aquellos datos que no están recogidos en una base o están contenidos en algún otro tipo de estructura).
Además, simplifica enormemente la gestión, ya que al ser nativo en Panda Adaptive Defense, no requiere ningún despliegue adicional ni configuraciones complejas.
Por último, permite a los responsables de la organización, al DPO y al resto de empleados demostrar que la empresa mantiene un control exhaustivo de los datos de carácter personal ubicados en sus equipos, cómo operan y qué transito tienen entre ellos. Por tanto, Panda Data Control es una solución que ayuda a las empresas evitar las graves consecuencias derivadas de incumplir el GDPR, facilitando la labor de los responsables de proteger los datos de carácter personal en posesión de la organización.