Ha pasado un año desde que la Unión Europea (UE) hizo cumplir el Reglamento General de Protección de Datos (GDPR), una legislación diseñada para proteger los datos personales de los ciudadanos de esta región, que establece normas y directrices específicas sobre cómo se recopilan, almacenan, procesan y procesan sus datos.
GDPR requiere que las organizaciones revelen a las Agencias nacionales de Protección de Datos (DPA) cualquier violación de la seguridad que conduzca a “la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado de datos personales transmitidos, almacenados o procesados a datos locales. Autoridades de protección a más tardar 72 horas después de haber tenido conocimiento de ello “.
Las sanciones para las organizaciones que no cumplan con los nuevos requisitos de notificación del reglamento incluyen multas de hasta € 10 millones, o hasta el 2% de la facturación anual mundial total del año fiscal anterior, lo que sea mayor.
Muchos estudios en ese momento demostraron que las empresas no estarían listas para el 25 de mayo de 2018, lo que llevó a muchos profesionales de la privacidad a asumir lo peor cuando trataron de formular hipótesis sobre lo que podría suceder cuando entrara en vigor la nueva legislación europea.
Aumento en el número de violaciones de datos
El Consejo Europeo de Protección de Datos (EDPB) ², el organismo de la UE a cargo de la aplicación de GDPR, aún no ha desarrollado ninguna norma oficial para aclarar cómo las APD independientes de la UE informarán públicamente estadísticas / números específicos sobre GDPR, y esto hace que la recopilación y Analizar datos sobre el cumplimiento de GDPR algo desafiante. Una serie de APD europeas confirmaron voluntariamente en los últimos meses que el nuevo reglamento ha dado lugar a un aumento significativo de las violaciones de datos informadas, lo que demuestra claramente el impacto que ha tenido el GDPR en la sensibilización del público en general y de las organizaciones con respecto a sus derechos y obligaciones en virtud de Ley de protección de datos de la UE.
Hasta ahora, los datos más confiables con respecto a la cantidad de brechas de datos actualmente disponibles parecen provenir de algunos de los DPA, así como de los informes generales publicados por la Comisión de la UE sobre la implementación del GDPR. De los datos, podemos deducir que las APD de la UE recibieron más de 95,000 quejas de ciudadanos de la UE desde mayo de 2018 y de estas quejas casi 65,000 fueron notificaciones de violación de datos.
El bufete de abogados DLA Piper analizó los informes de violación de datos que han sido presentados por 23 de los 28 estados miembros de la UE desde que GDPR entró en vigencia y, a fines de enero de 2019, también la Comisión Europea informó que los reguladores de protección de datos de la UE habían recibido en forma colectiva 41,502 violaciones de datos. notificaciones⁵.
“Los Países Bajos, Alemania y el Reino Unido fueron los primeros en la tabla con la mayor cantidad de violaciones de datos notificadas a las autoridades de supervisión, con aproximadamente 15,400, 12,600 y 10,600 violaciones notificadas respectivamente”. DLA Piper dice en su informe y que Holanda registró la mayor cantidad Informes de violación de datos per cápita, seguidos de Irlanda y Dinamarca. “El Reino Unido, Alemania y Francia se ubican en el décimo, undécimo y vigésimo primero respectivamente, mientras que Grecia, Italia y Rumanía han reportado el menor número de infracciones per cápita”, dice el informe.
Bajo GDPR, las organizaciones no comunitarias que tienen su sede central establecida en Europa pueden aprovechar el mecanismo de “ventanilla única” y con numerosos líderes de tecnología de alto perfil de EE. UU. Como Facebook, Microsoft, Twitter y Google que eligen tener su sede europea en Irlanda. , será muy interesante estudiar el informe anual de violaciones de datos de la DPA de Irlanda cuando se publique.
Al acercarse las elecciones de la UE en unas pocas semanas, será muy estimulante analizar cómo las garantías impuestas por las APD de la UE y el GDPR sobre el uso de datos políticos durante las elecciones afectarán a los partidos políticos y cómo esto influirá en la recopilación de datos personales relacionados con Opiniones políticas y opiniones políticas de comunicación a audiencias objetivo durante el período electoral.
De todos modos, debemos ser prudentes con los datos actuales porque todavía estamos en un año de transición y la mayoría de las APD de la UE tienen un tiempo promedio para investigar una violación de datos de 12 a 15 meses (o incluso más), muchos casos que actualmente están bajo investigación Son incidentes que ocurrieron bajo leyes de protección de datos más antiguas.
Sanciones GDPR
Alemania es el país líder actualmente en el número de multas con organizaciones alemanas que reciben 64 de las multas GDPR que se han impuesto hasta el momento. Esto incluye las dos multas más grandes hasta la fecha, una organización que publicó datos de salud en Internet (€ 80,000) y la segunda, una plataforma de chat (€ 20,000 por no hacer hash de las contraseñas almacenadas). “Hasta ahora, 91 multas reportadas han sido impuestas bajo el nuevo régimen de GDPR”, informa DLA Piper, “Pero, no todas las multas impuestas se relacionan con violaciones de datos personales”.
La multa más grande hasta la fecha es de 50 millones de euros contra Google por parte de la Autoridad de Protección de Datos de Francia, pero la multa no se relacionó con una violación de datos, sino con el procesamiento de datos personales de Google sin la autorización de sus usuarios. Las multas restantes de países como Austria y Chipre tenían un valor comparativamente bajo.
Mirando hacia el futuro
El objetivo de GDPR era uniformar las leyes de protección de datos en los estados miembros de la UE y controlar cómo las organizaciones deben almacenar datos personales y cómo deben responder en caso de una violación de datos, enfatizando la importancia de crear confianza que permita que la economía digital crezca. Dentro de la comunidad europea.
A medida que GDPR cumple su primer cumpleaños en pocos días, está claro que la regulación aún es joven y que tanto los reguladores como las empresas aún están descubriendo su impacto e importancia. Las autoridades de protección de datos en toda la UE pronto publicarán informes anuales, que nos darán una imagen más amplia y mejor del nivel de cumplimiento.
La transparencia es una necesidad que ayudará a que la UE aumente la conciencia sobre el GDPR y no olvidemos que el resto del mundo, especialmente los países que son socios muy cercanos con la UE como los Estados Unidos, están observando de cerca para comprender mejor los efectos. y las fortalezas y debilidades de la regulación.
Referencias:
- Reglamento General de Protección de Datos (GDPR)
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en - Consejo Europeo de Protección de Datos (EDPB)
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions/enforcement/what-european-data-protection-board- edpb_en - Primer resumen sobre la implementación del GDPR y los roles y medios de las autoridades nacionales de supervisión.
http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf - DLA Piper GDPR encuesta de violación de datos
https://www.dlapiper.com/~/media/files/insights/publications/2019/02/dla-piper-gdpr-data-breach-survey-february-2019.pdf - GDPR en números infográficos.
https://ec.europa.eu/commission/sites/beta-political/files/190125_gdpr_infographics_v4.pdf
Por Jason Hart, es Director de Tecnología para las soluciones de protección de datos de Gemalto.