Primeras sanciones tras la aplicación de GDPR

Quizá te interese... Resolviendo los retos de IoT Cómo elegir la mejor solución de gestión empresarial Estrategias para una experiencia de cliente satisfactoria  Seguridad y Cloud, ¿qué nos queda por aprender? 5 retos de la innovación en cloud

Dos meses después de la entrada en vigor de GDPR, el cumplimiento de la normativa sigue causando verdaderos quebraderos de cabeza en muchas empresas, tanto dentro como fuera de Europa. No sólo hemos visto casos de robos intencionados de datos, sino también casos de pérdidas de datos debido a descuidos internos de la ciberseguridad, y las primeras consecuencias en forma de sanciones no se han hecho esperar.

En concreto, Panda Security destaca uno de los casos de abuso de datos personales que más interés ha generado en los últimos meses, el de Facebook y Cambridge Analytica, que afectó a más de 87 millones de usuarios, cuya información personal fue recabada por la consultora sin consentimiento expreso de los mismos, y posteriormente vendida a terceros, Ahora, la Oficina del Comisionado de Información (ICO) de Reino Unido ha impuesto una multa de 500.000 libras a Facebook en relación con el escándalo, la máxima cantidad estipulada por las leyes de protección de datos del país. La ICO ha sentenciado que Facebook no salvaguardó los datos de sus usuarios, y que no fue transparente con el uso que hizo de estos, además de los intereses detrás de este abuso. También presentará cargos criminales contra SCL Elections, la empresa matriz de Cambridge Analytica.

La red social deberá pagar pues la sanción impuesta, aunque es una multa mínima en proporción con la magnitud del escándalo. GDPR cuenta con multas de hasta el 4% de los ingresos anuales de una empresa, lo cual significa que, de haber sido una sentencia en el marco de la Unión Europea, Facebook podría haberse enfrentado a una sanción de más de 1.500 millones de euros.

Mientras Facebook acapara titulares, hay muchos otros casos de abusos de datos que han salido a la luz en los últimos meses. Uno de los más importantes en términos de volumen de datos afectados ha sido el de Exactis, una compañía estadounidense de marketing, sobre la que a finales de junio se descubrió que una base de datos de 340 millones de archivos que contenían datos personales estaba expuesta en Internet, de manera que cualquier persona podría tener acceso a ella y su contenido.

Otra brecha significativa ha sido la de Timehop, que expuso los datos de 21 millones de usuarios el día 4 de julio. El hacker que robó los datos pudo acceder a ellos gracias a una cuenta de almacenamiento nube que no contaba con autenticación multi-factor. La empresa afirma que contactó con los oficiales de protección de datos poco después del descubrimiento de la brecha.

Posiblemente, las sanciones económicas de GDPR a ambas empresas no se harán esperar.