Por qué una nueva sentencia legal podría intensificar el cumplimiento del RGPD
En diciembre se produjo uno de los mayores cambios en la regulación europea de privacidad de datos de los últimos tiempos. Tras una petición de los tribunales alemanes y lituanos, el Tribunal de Justicia Europeo (TJUE) emitió una nueva sentencia para aclarar cuándo y cómo los reguladores pueden multar a las empresas por violar las leyes de privacidad de datos.
Los expertos legales y de seguridad sostienen que el fallo facilitará a los reguladores hacer cumplir las regulaciones de protección de datos, lo que podría generar multas más altas según el RGPD. Como resultado, existe una mayor presión sobre los equipos de cumplimiento para garantizar que sus empresas almacenen y procesen datos personales de manera legal.
Impacto regulatorio
En Alemania, los reguladores multaron a la empresa inmobiliaria Deutsche Wohnen con 14.4 millones de euros por almacenar datos de clientes durante más tiempo del necesario. Mientras tanto, el tribunal lituano había multado al Centro Nacional de Salud Pública del país con 12,000 euros y a su proveedor de servicios de TI con 3000 euros por una aplicación de rastreo de contactos Covid-19 que violaba el RGPD. Ambas organizaciones impugnaron las multas, lo que llevó a los tribunales locales a solicitar claridad al TJUE sobre estos asuntos.
Decidió que los reguladores de protección de datos sólo pueden imponer multas del RGPD por "conducta ilícita", por la cual una empresa ha violado el RGPD "intencionalmente o por negligencia". Y al multar a una organización, los reguladores deben calcular las sanciones financieras en función del volumen de negocios anual de su grupo matriz, si corresponde.
Desde que el Tribunal de Justicia de la UE emitió su histórico fallo sobre el RGPD, se ha especulado mucho sobre cómo afectará a las regulaciones de datos en toda Europa. Al analizar la decisión, el director general de Guaranteety, Keith Budden, explica que tiene dos dimensiones principales.
En primer lugar, dice que los reguladores pueden imponer multas conforme al RGPD incluso si no pueden determinar cómo las acciones de una persona causaron una violación de datos. En segundo lugar, explica que las empresas podrían enfrentar acciones regulatorias si un individuo u organización que las represente, como un subprocesador o un contratista individual, viola las reglas de protección de datos.
"Será más fácil para los reguladores imponer una sanción financiera a una organización", dice a ISMS.online. “Y la amplitud de la responsabilidad ha aumentado, en el sentido de que ha despejado el camino para que un responsable del tratamiento sea multado, incluso cuando el incumplimiento de las normas GDPR se limita a la actividad de uno de sus encargados del tratamiento, o incluso de uno de sus subdirectores. procesadores”.
Kelly Indah, analista de seguridad de Increditools, cree que el fallo del TJCE de diciembre fortalecerá "significativamente" la forma en que los reguladores hacen cumplir las normas de protección de datos.
"Según el fallo, los reguladores tienen más margen para imponer multas que sean disuasorias significativas, en lugar de limitarse a un cierto porcentaje de la facturación anual", le dice a ISMS.online. "Además, la decisión agiliza los procesos regulatorios para que las autoridades puedan actuar rápidamente cuando se descubre un incumplimiento".
Joanne Bone, socia de Irwin Mitchell y experta en protección de datos, es más escéptica sobre el impacto general del fallo.
"Aunque esto puede ampliar la responsabilidad en jurisdicciones donde las autoridades supervisoras tuvieron que demostrar que la dirección tuvo culpa al multar a una empresa u organización, esta decisión no será una sorpresa en el Reino Unido", afirma a ISMS.online.
"En mi opinión, no ha cambiado sustancialmente el panorama con respecto a las multas según el RGPD de la UE".
Bone dice que la reciente decisión del TJUE no resultará en una responsabilidad más estricta, lo que significa que las autoridades sólo pueden imponer multas cuando encuentren alguna irregularidad. Y añade: "Ahora está claro que es necesario que haya una conducta intencionada o negligente por parte de la empresa u organización".
La importancia del cumplimiento
Sin embargo, el fallo aún podría ejercer más presión sobre las empresas para que garanticen que cuentan con políticas y procesos de protección de datos adecuados. En particular, las empresas necesitarán implementar una serie de políticas, procedimientos y controles para ayudar a su personal a manejar los datos sin violar las normas de protección de datos, sostiene Bone.
“No sólo será necesario implementar procedimientos, sino que las organizaciones deberán implementarlos, respetarlos y controlarlos”, añade.
Indah, de Incréditools, explica que adoptar un sistema de gestión de seguridad de la información (SGSI) que siga estándares internacionales de ciberseguridad como ISO 27001 puede ser de gran ayuda en este sentido.
"Esto proporciona una forma sistemática y fácil de usar para los auditores de garantizar que todos los aspectos del cumplimiento de la protección de datos se aborden continuamente mediante revisión y mejora", afirma. "Con los reguladores tomando medidas más duras, demostrar un compromiso con la gestión a través de la certificación sólo puede ayudar a demostrar esfuerzos de buena fe".
Indah opina que ya no es suficiente que las organizaciones traten la protección de datos como una tarea de cumplimiento de requisitos. Ella dice que las organizaciones deben realizar auditorías periódicas de protección de datos internas y externas, capacitar a los empleados sobre el manejo responsable de los datos y demostrar un compromiso a nivel de liderazgo para comprender las últimas regulaciones de protección de datos.
"En lugar de temer multas más altas, las empresas harían bien en adoptar prácticas de seguridad sólidas como una oportunidad competitiva y un facilitador de negocios", añade Indah. "Después de todo, la alternativa corre el riesgo de dañar la reputación, sanciones regulatorias y pérdida de confianza del cliente, lo que a largo plazo podría afectar mucho más gravemente los resultados".
Budden de Guaranteety insta a las empresas a mantener registros actualizados de su actividad de procesamiento de datos y brindar al personal capacitación en protección de datos para cumplir con sus requisitos reglamentarios de protección de datos. Otras tareas incluyen implementar todas las políticas y procedimientos de datos requeridos, completar evaluaciones de impacto de protección de datos actualizadas y garantizar que hayan adoptado todas las medidas técnicas y organizativas establecidas por los reguladores.
Vance Tran, cofundador de Pointer Clicker, está de acuerdo en que ISO 27001 proporciona una buena base para cumplir con las normas de protección de datos. Pero dice que las organizaciones pueden ampliar esto adoptando tecnologías de privacidad, modelos DevSecOps y una cultura empresarial consciente de la privacidad.
Y añade: “Veo esta sentencia como una oportunidad. Al priorizar desde el principio las soluciones éticas y centradas en el usuario, los desarrolladores no sólo pueden cumplir las normas legales sino también generar una confianza real en los usuarios. Es una oportunidad emocionante para ayudar a crear sistemas basados en la privacidad y el consentimiento desde cero”.
En la economía altamente digitalizada de hoy, las empresas manejan una cantidad cada vez mayor de datos personales. Si bien estos datos son útiles para comprender mejor a los clientes y dirigirse a ellos, exponen a las empresas al riesgo de recibir fuertes multas si no siguen estrictamente las normas de protección de datos.
