¿Las empresas siguen tomando en serio el RGPD?

Por Dan Raywood • 16 May 2023

Al cumplirse cinco años desde que entró en vigor el RGPD, ¿la falta de multas significativas ha provocado que algunos directores ejecutivos no lo tomen tan en serio? Dan Raywood analiza si el RGPD no estuvo a la altura de las expectativas.

En el período previo a mayo de 2018, la expectativa del RGPD era que supondría un cambio significativo en la aplicación del cumplimiento. Desde las primeras conversaciones sobre la reforma de la protección de datos, quedó claro que el nivel de aplicación iba a ser más significativo que la sanción monetaria máxima de £500,000 que la Oficina del Comisionado de Información (ICO) había comenzado a imponer en 2011.

De hecho, la GDPR determinó que para “infracciones especialmente graves, el marco de la multa puede ser de hasta 20 millones de euros, o en el caso de una empresa, hasta el cuatro por ciento de la facturación global total del ejercicio fiscal anterior, lo que sea mayor”. Incluso para infracciones menos graves, el artículo 83, apartado 4, establece multas de hasta 10 millones de euros o, en el caso de una empresa, hasta el dos por ciento de todo el volumen de negocios global del ejercicio fiscal anterior, lo que sea mayor.

Cosas bastante aterradoras, ¿eh? Esas cifras potenciales recibieron mucha publicidad en el período previo a mayo de 2018. encuesta de varonis de 2017 encontró que el 75% de 500 tomadores de decisiones encuestados estuvieron de acuerdo en que las multas impuestas podrían paralizar a algunas organizaciones, y el 44% creía que las empresas podrían aumentar los precios para protegerse contra las sanciones.

Multas conforme al RGPD: no son las esperadas

Sin embargo, a pesar de la mayores multas ICO muestran que las cifras de millones de libras solo se han superado unas pocas veces, con los £12.7 millones de libras para TikTok de abril de 2023 ahora entre las principales multas impuestas.

¿Nos hemos decepcionado si esperábamos Multas GDPR ¿Ser tan severo y las empresas temerles? Después de todo, la multa más grande fue impuesta a British Airways en 2019, con un total de EUR 183 millones determinó cuándo se robaron los datos personales de 500,000 clientes de su sitio web y aplicación móvil. Sin embargo, poco más de un año después y tras una apelación, esa cantidad fue reducido a £20 millones. No es una cantidad insignificante, pero sí que habría perjudicado el papel de la ICO como regulador.

¿Están las empresas tomando en serio el RGPD, considerando que las fuertes multas esperadas no se han materializado y se han reducido significativamente las multas? Jonathan Armstrong, socio de Cordery, cree que los directores ejecutivos no se toman en serio el RGPD por estos motivos. "Creo que el problema fue que el RGPD se promocionó en 2018 y muchos asesores no calificados dijeron a las organizaciones que se abrirían las compuertas y que estarían sujetas a multas enormes", dice.

“Cuando eso no sucedió en 2018, los líderes de muchas organizaciones se relajaron, pensaron que todo era exageración y dejaron de prestar atención a las cuestiones de protección de datos. Sé que, como resultado, algunas organizaciones retiraron fondos a proyectos de GDPR”.

Armstrong dice en la introducción del RGPD; Creía que era probable que no hubiera multas sustanciales al principio, “en parte porque algunas autoridades de protección de datos estaban dando más tiempo para que se estableciera la nueva ley, y en parte porque las grandes investigaciones tardan algún tiempo en llegar a su fin. llegar a una posición en la que la DPA pueda imponer una multa”.

¿Qué piensan realmente los expertos sobre la implementación del RGPD?

Para tener una idea del impacto del RGPD, encuestamos a la Asociación Nacional de Delegados de Protección de Datos (NADPO) miembros por sus opiniones sobre estas afirmaciones. Cuando se les preguntó si sentían que el RGPD había estado a la altura de las expectativas anteriores a 2018, de las 58 respuestas recopiladas, el 62 por ciento dijo que no.

NADPO El presidente y DPO de Mishcon de Reya, Jon Baines, está de acuerdo en que la exageración ciertamente elevó el perfil de la protección de datos, pero dijo que también condujo a una reacción exagerada en algunas áreas, con cierto "retroceso".

“Es comprensible que algunos altos ejecutivos y miembros de la junta directiva hayan cuestionado si los esfuerzos realizados para lograr el cumplimiento eran (o siguen siendo) necesarios”, dice. "La mejor respuesta a ese tipo de desafío es que el buen cumplimiento casi siempre está alineado con las buenas prácticas comerciales; debería resultar beneficioso para todos en la gran mayoría de los casos".

Baines también comenta que, si bien los sucesivos comisionados nos han dicho que la aplicación de la ley no se trata sólo de multas, y el actual comisionado John Edwards se ha mostrado especialmente interesado en las "reprimendas", que son una especie de "aplicación suave", cree que se podrían utilizar mucho más. hecho de avisos de cumplimiento, que son avisos legales formales que exigen a las organizaciones que tomen medidas específicas (o se abstengan de tomarlas), y donde el incumplimiento es potencialmente un delito penal.

"Creo que un mayor uso de estos poderes tendería a atraer la atención de la junta directiva y al mismo tiempo evitaría la necesidad de multas punitivas (o sin valor)".

De cara al futuro, preguntamos a los miembros de NADPO qué debe hacer la ICO para que el RGPD sea la perspectiva temible que alguna vez fue. Los miembros de NADPO dejaron una variedad de comentarios, diciendo que la ICO "necesita apoyar su aplicación y hacer cumplir las infracciones", ofrecer "orientaciones claras, consistentes y específicas del sector" y "imponer sanciones a las organizaciones que no cuentan con recursos suficientes para sus funciones de protección de datos".

También hubo comentarios que pedían que la ICO fuera más activa en la aplicación de la ley, ya que educar a las empresas es esencial, "pero cuando la aplicación de la ley tendría un mayor impacto a largo plazo, actualmente carecen de credibilidad". Otro comentario pidió que la ICO se ocupe de las quejas sobre todo “y no sólo sobre grandes violaciones de datos” y haga cumplir sus poderes (no necesariamente multas, como impedir que las empresas procesen datos).

Además, desde hace mucho tiempo se analiza adónde va el dinero cuando se paga una multa. Una persona pidió que se declarara cuánto dinero habría sido una sanción, pero luego insistió en que la organización tiene que gastar ese dinero arreglando las fallas “por lo que no se espera que la organización haga mejoras y al mismo tiempo sufra menos recursos, pero la amenaza "La posibilidad de que alguien entre y 'te quite el dinero' (para que no puedas gastarlo como quieras) está ahí".

El papel de la ICO

En un discurso reciente En el curso intensivo de protección de datos de la IAPP en el Reino Unido, el comisionado de Información, John Edwards, dijo que es crucial que el regulador demuestre que el incumplimiento de la protección de datos no es rentable. "Mi oficina siempre considerará negativamente el uso indebido de la información de sus clientes para obtener una ventaja comercial sobre otros, y buscaremos imponer multas proporcionales a las ganancias mal habidas logradas a través del incumplimiento".

El reporte anual Desde el ICO dijeron que su enfoque está en apoyar a las organizaciones para que cumplan con sus requisitos legales. “Apuntamos nuestra acción regulatoria a áreas donde las malas prácticas de protección de datos tienen el impacto más significativo en las personas. Utilizamos nuestros poderes de ejecución sólo cuando es necesario y siempre de forma proporcionada”.

Nos comunicamos con la ICO para obtener una respuesta directa, pero no habíamos recibido respuesta al momento de la publicación.

Mirando hacia los próximos cinco años del RGPD

Armstrong dice que ha habido un aumento sustancial en las multas conforme al RGPD en el último año, "por lo que ahora hay más de 2000 multas con más de 2.6 millones de euros en multas impuestas". También dice que estamos viendo a las DPA usar sus poderes de manera más creativa, por ejemplo, con la suspensión del procesamiento para Replika AI y ChatGPT.

“Por lo tanto, no se trata solo de la multa, y estas suspensiones también pueden ser críticas para el negocio; verá cómo el CEO de OpenAI dejó todo para hablar con la DPA italiana después de la suspensión. Entonces, creo que la dificultad para muchas organizaciones es que miran al pasado en lugar del presente”.

La implementación del RGPD fue larga y permitió a las empresas ponerse en orden para esta regulación de protección de datos. Si los directores ejecutivos van a tomar esto en serio, tal vez sería bueno tener menos titulares sensacionalistas, así como más énfasis en apoyar y capacitar a las empresas que fracasan.

Daniel Raywood

Dan Raywood ha escrito sobre seguridad de TI desde 2008 y fue analista en la práctica de seguridad de la información en 451 Research. Ha hablado en programas como 44CON, SecuriTay, SteelCon, Irisscon e Infosecurity Europe, además de escribir para varios blogs de proveedores y realizar presentaciones en webcasts.

Lea más de Dan Raywood

La seguridad cibernética 30 Septiembre 2025

¿La violación de GROK generará grandes preocupaciones de seguridad?

¿La violación de Grok creará preocupaciones de seguridad para GenAI?

Un incidente reciente ha suscitado inquietud sobre el manejo de datos por parte de las herramientas GenAI. ¿Es hora de garantizar que sus datos no terminen en sus archivos?

Daniel Raywood

La seguridad cibernética 29 May 2025

El marco de ciberseguridad y privacidad del NIST se renueva

Ciberseguridad y privacidad: el marco del NIST se renueva

El NIST anunció recientemente planes para actualizar su marco de privacidad y convertirlo en una oferta más orgánica y menos estática. ¿Beneficia esto a la práctica...?

Daniel Raywood

La seguridad cibernética 21 de enero de 2025

Vulnerabilidades de día cero: ¿cómo prepararse para lo inesperado?

Las advertencias de las agencias globales de ciberseguridad mostraron cómo las vulnerabilidades a menudo se explotan como ataques de día cero. Ante una situación tan impredecible...

Daniel Raywood