En las últimas semanas, dos multinacionales han sentido el poder del Reglamento General de Protección de Datos (RGPD), a medida que los reguladores de toda Europa demuestran que van en serio cuando se trata de imponer grandes multas y adoptar duras medidas coercitivas.

British Airways ha recibido la mayor multa impuesta hasta la fecha en virtud del GDPR, que entró en vigor en mayo de 2018. La Oficina del Comisario de Información ha impuesto una multa de 183 millones de libras, el equivalente al 1,5% de la facturación de la aerolínea en 2017. La aerolínea ha admitido que el pasado agosto unos piratas informáticos robaron datos de su sitio web y su aplicación móvil. Apenas un día después, la cadena hotelera estadounidense Marriott fue multada con 99,2 millones de libras porque los piratas informáticos habían robado los registros de 339 millones de clientes. Esto se debió a que no se llevó a cabo la diligencia debida en la base de datos de la cadena hotelera Starwood, que compró en 2016. Tanto British Airways como Marriott han dicho que recurrirán, pero no cabe duda de que se produjeron infracciones, y parece poco probable que el regulador dé marcha atrás. El GDPR también ha provocado un aumento de las notificaciones, con muchas empresas claramente preocupadas por las sanciones a las que podrían enfrentarse por no hacerlo. Esto parece ser un problema particular en el Reino Unido y, según un estudio del bufete de abogados Pinsent Masons, la OIC ha recibido una media de 1.276 notificaciones al mes, mientras que las cifras de Francia, Italia y España fueron de 307, 170 y 94 respectivamente.

Un aumento significativo

La normativa establece que las empresas deben notificar las violaciones de datos personales a más tardar 72 horas después de tener conocimiento de ellas y, cuando exista un alto riesgo de daños, se debe informar directamente a los afectados. Mientras tanto, un informe separado de la ICO mostraba que había recibido unas 14.000 notificaciones de violaciones de datos en el año transcurrido desde la aplicación del GDPR (del 25 de mayo de 2018 al 1 de mayo de 2019), mientras que en el año anterior, hasta el 31 de marzo de 2018, sólo se hicieron 3.300 informes: la normativa ha provocado un aumento de casi cinco veces. El RGPD está cambiando la actitud ante las violaciones de datos, lo que debería traducirse en mayores niveles de seguridad. Anecdóticamente, se dice que quienes ofrecen software de encriptación están experimentando un auge del negocio a medida que más empresas tratan de reforzar su seguridad. Sin embargo, debe tenerse en cuenta que muchas de las notificaciones son por infracciones menores; de hecho, la ICO dijo que más del 82% de las notificaciones desde que entró en vigor el GDPR no requerían ninguna acción. El GDPR no sólo está teniendo repercusiones en el Reino Unido, aunque la ICO sea especialmente destacada: en los primeros nueve meses de vigencia del reglamento, los reguladores de la protección de datos de 11 países han impuesto multas por un total de 56 millones de euros, aunque esto se debió principalmente a los 50 millones de euros impuestos a Google en enero por la agencia francesa de protección de datos CNIL. Europa actúa
Otras multas han sido la de 220.000 euros impuesta a una empresa de marketing digital, Bisnode, por la Oficina Polaca de Protección de Datos Personales. Se dijo que no se informó a los interesados de sus derechos de privacidad -aunque había una declaración en el sitio web de la empresa-, por lo que no pudieron oponerse al tratamiento posterior de sus datos ni pedir que se modificaran o suprimieran. Mientras tanto, una pequeña multa de sólo 2.000 euros impuesta por la Autoridad Belga de Protección de Datos demuestra que incluso los particulares deben ser conscientes de sus responsabilidades si utilizan información. En este caso, un alcalde recopiló direcciones de correo electrónico
para enviar material de campaña electoral, pero no cumplió la normativa. Aunque se argumenta que el RGPD es una fuerza negativa y está ahogando la innovación, sus defensores sostienen que el reglamento no sólo es necesario, sino que también impulsará las normas a nivel mundial. De hecho, hay informes de que países como Emiratos Árabes Unidos, Kenia y, quizá sorprendentemente, China, están planeando aprobar nuevas leyes de protección de datos. A medida que más empresas de alto perfil se vean sometidas al GDPR, aumentará la concienciación sobre las responsabilidades. Aunque la tecnología eficaz tiene un papel importante que desempeñar, también hay cuestiones culturales cuando se trata de manejar bien los datos: para algunos puede ser una curva de aprendizaje empinada, pero también podemos esperar ver un mayor cumplimiento y una mejor seguridad en todos los ámbitos.