Declaraciones recientes sugieren que aún queda trabajo por hacer cuando se trata de integrar el RGPD en los procesos de una organización. Se presupone que todas las empresas deben hacer un uso responsable de los datos y la información que recopilan. En los servicios financieros en particular, los datos se consideran un activo fundamental. Si se produce una infracción, pueden producirse grandes multas y publicidad negativa. Además, la confianza de los consumidores, tan importante, puede desaparecer rápidamente, lo que puede ser aún más perjudicial a largo plazo.
Muchas personas son ahora muy conscientes de que sus datos deben conservarse de forma segura, y la Comisaria de Información, Elizabeth Denham, publicó en un blog reciente que:
«Una de las tendencias definitorias de la era digital ha sido la creciente concienciación sobre los derechos de protección de datos. Cada vez más personas son conscientes de los datos personales que constituyen el núcleo de muchos de los servicios en línea a los que accedemos, y se dan cuenta de sus propios derechos con respecto a esos datos
«.
En su encuesta anual de seguimiento, la ICO ha analizado qué aspectos de la protección de datos causan más preocupación, y la ciberseguridad ocupa el primer lugar, seguida de la privacidad de los niños y el intercambio de datos. La Sra. Denham subrayó que, en general, aún queda trabajo por hacer, ya que muchas empresas todavía no se han comprometido plenamente con los «aspectos de responsabilidad» del Reglamento General de Protección de Datos. Anteriormente, en abril, dijo que estos aspectos debían convertirse en «parte de la cultura y el tejido de una organización», y que los profesionales de los datos necesitaban un amplio conjunto de habilidades tanto para educar como para inspirar a sus colegas, incluida la capacidad en:
- Analistas tanto jurídicos como empresariales, capaces de comprender cómo encaja la protección de datos con la visión de una organización y dónde puede ser imprescindible, positiva y transformadora.
- Coaching: trabajar para crear una red de embajadores dentro de la empresa que comprendan lo que hay que hacer.
- Marketing: encontrar formas creativas de hacer que la gente levante la vista de su trabajo diario y se dé cuenta de que todos tienen que participar.
El mensaje es que las empresas contraten a los mejores profesionales y respalden su experiencia con sistemas y procesos sólidos. Podría decirse que muchas empresas de servicios financieros han integrado bien el RGPD en sus procesos, pero un fallo podría resultar devastador. Como explica la Sra. Denham:
«Nuestro trabajo de aplicación, imponiendo multas o descorriendo la cortina del tratamiento oculto, a menudo puede disminuir la confianza a corto plazo, ya que la gente se entera de las malas prácticas de datos que desconocía». Esta teoría se ve corroborada por la encuesta que muestra la disminución de la confianza junto con un aumento del conocimiento de los ciudadanos sobre sus derechos en materia de protección de datos.
»
Afortunadamente para las empresas de servicios financieros -pero no para las empresas en cuestión-, otras están actualmente en la lista negra de la ICO.
En julio, British Airways fue multada con 183,39 millones de libras en virtud del GDPR por una violación de datos personales que se produjo en agosto de 2018. Unos 500.000 clientes de BA se vieron comprometidos durante la violación, que supuso el desvío del tráfico de usuarios de BA a un sitio web falso. Los datos comprometidos incluían nombres, direcciones de correo electrónico y datos de tarjetas de pago utilizadas durante el proceso de reserva. La sanción ascendió a aproximadamente el 1,5% de la facturación anual global de BA en 2017, la mayor multa por GDPR impuesta hasta ahora por una empresa europea.
Regulador de protección de datos de la Unión. De nuevo, en julio, el grupo hotelero Marriott fue multado con 99,2 millones de libras por una infracción relacionada con su sistema de base de datos de reservas Starwood -cadena que había adquirido-, que afectó a unos siete millones de registros relacionados con personas del Reino Unido. La ICO subrayó que en ambos casos las multas estaban por debajo de los umbrales del GDPR del 4% de la facturación anual o 20 millones de euros, porque las empresas habían cooperado y actuado para mejorar la seguridad. Pero la ICO también está mostrando sus colores como regulador que está preparado y listo para tomar medidas coercitivas. Una organización gigante que será muy consciente de ello es Facebook, que se está preparando para lanzar su nueva criptomoneda, Libra. La ICO ha manifestado su preocupación por las prácticas de intercambio de datos, dados los problemas anteriores de Facebook, y ha pedido detalles sobre cómo se mantendrá segura la información financiera. Ya sean grandes o pequeñas, todas las organizaciones deben cumplir sus obligaciones en materia de seguridad de los datos, y dado el historial reciente de la OIC, no hay mejor momento que el presente para garantizar que esto tenga la máxima prioridad.