El ICO revisa su planteamiento sobre las multas al sector público: ¿qué debería decidir?

Por Phil Muncaster • 20 de septiembre de 2024

Las multas por violación de datos van en aumento. Según ISMS.online Informe sobre el estado de la seguridad de la información 2024, El monto promedio de la multa que las empresas que respondieron informaron el año pasado aumentó casi un 4% anual a £258,000. Sin embargo, este estudio solo tiene en cuenta los sectores de finanzas, atención médica, manufactura, comercio minorista y tecnología. En el sector público, el regulador de protección de datos, la Oficina del Comisionado de Información (ICO, por sus siglas en inglés), ha probado un enfoque más leve en materia de multas durante dos años.

En otoño está pendiente una decisión sobre si continuar o adoptar una línea más estricta en materia de aplicación de la ley. La evidencia sugiere que es necesario un replanteamiento.

Dos años de dar golpes

Un análisis de las multas del ICO por Consultoría URM destaca la marcada diferencia en el enfoque regulatorio entre los sectores público y privado. De 29 amonestaciones emitidas a organizaciones el año pasado, 20 fueron dirigidas al sector público. Sin embargo, los 17 se dictaron contra empresas privadas en lo que respecta a las multas.

Entre los ejemplos más notables de cómo el ICO se tomó la molestia de imponer multas al sector público en los últimos dos años se encuentran:

El Servicio de Policía de Irlanda del Norte (PSNI), que filtró accidentalmente información confidencial sobre agentes en lo que se ha descrito como una de las peores violaciones de su tipo, dadas las sensibilidades que rodean a la fuerza policial. Sin embargo, aunque podría decirse que las vidas de los oficiales en servicio y sus familias corrieron peligro, una posible multa de £5.6 millones se redujo a £750,000

The Tavistock and Portman NHS Foundation Trust, que reveló accidentalmente las direcciones de correo electrónico de 1,781 pacientes de la Clínica de Identidad de Género, algunos de los cuales fueron identificados públicamente. Una posible multa se redujo en más de un 900% a solo £ 78,400

La Oficina del Gabinete, que expuso los nombres y direcciones no redactadas de más de 1,000 personas anunciadas en la lista de Honores de Año Nuevo, incluidas varias celebridades. Una multa de 500,000 libras esterlinas se redujo a 50,000 libras esterlinas

El Ministerio de Defensa (MoD), que filtró por correo electrónico información muy confidencial sobre personas que buscaban reubicación en el Reino Unido después de que los talibanes tomaron el control de Afganistán. Una multa de 1 millón de libras se redujo a £ 350,000

NHS Highland, que envió correos electrónicos a 37 personas que probablemente accederían a servicios de VIH, compartiendo sus detalles entre sí. Una multa de 35,000 libras esterlinas se redujo a una mera amonestación.

La Comisión Electoral, que permitió a los piratas informáticos acceder a información de 40 millones de ciudadanos tras una serie de fallos de seguridad básicos. No fue multado en absoluto sino simplemente recibió una reprimenda.

¿Por qué la ICO se está volviendo fácil?

El año pasado, más empresas del Reino Unido fueron multadas entre 250 y 500 libras esterlinas (26% frente al 21% en 2022) y entre 100 y 250 libras esterlinas (35% frente al 18%) que en los 12 meses anteriores, según datos de ISMS.online. Sin embargo, el sector público escapó. Esto a pesar del empeoramiento de las estadísticas de violación de datos en el gobierno. Según el Datos propios del ICO, analizado por despacho de abogados Mischón de Reya, hubo un asombroso aumento del 8000% en el número de personas afectadas por violaciones de datos en el gobierno central entre 2019 y 2023. Increíblemente, hubo 195 millones de personas afectadas por violaciones relacionadas con “datos económicos o financieros” solo en 2023, casi tres veces la población del Reino Unido.

Entonces, ¿por qué el cambio en la política de las ICO? Para el comisionado de información John Edwards, todo se reduce al hecho de que las multas probablemente cambiarán los comportamientos del sector privado más fácilmente que en el sector público. Y el hecho de que las finanzas gubernamentales ya están peligrosamente agotadas.

“No estoy convencido de que las grandes multas por sí solas sean un elemento disuasorio tan eficaz dentro del sector público. No afectan a los accionistas ni a los directores individuales de la misma manera que lo hacen en el sector privado, sino que provienen directamente del presupuesto para la prestación de servicios”. escribió en junio de 2022.

“El impacto de una multa al sector público también suele afectar a las víctimas de la infracción, en forma de presupuestos reducidos para servicios vitales, no a los perpetradores. De hecho, las personas afectadas por una infracción son castigadas dos veces”.

Sin embargo, la lógica sobre las multas como elemento disuasivo es un poco confusa. La investigación de ISMS.online encuentra que sólo una quinta parte (19%) de las empresas encuestadas dice que su principal motivación para el cumplimiento es evitar sanciones. Se habla mucho más de seguir siendo competitivos (34%), aumentar la demanda de los clientes (34%) y proteger la información empresarial (30%) y de los clientes (29%). Ninguno de estos otros factores motivadores es particularmente relevante para el sector público, lo que deja a las multas como una de las pocas palancas disponibles para el ICO.

Para agravar la confusión está el hecho de que hay mensajes contradictorios provenientes del interior de la propia ICO. John Edwards fue reportado recientemente diciendo que su política de no multar al sector público sino emitir amonestaciones no vinculantes fue "muy efectiva, especialmente en el sector público donde la reputación vale más que el dinero". Sin embargo, él tiene desde admitido que hay evidencia limitada disponible incluso para evaluar el impacto de las sanciones monetarias en el sector.

"Esperaría que la próxima revisión tenga algunos datos y otras evidencias considerando, por ejemplo, si la ICO ha visto alguna evidencia de una mejora en el cumplimiento en el sector público como resultado del enfoque del sector público", dijo Mishcon de Reya. El especialista en protección, Jon Baines, dice a ISMS.online.

“Como anécdota, yo diría que, en cambio, hemos visto cumplimiento. Sigo sin estar convencido de que exista alguna base para tratar al sector público de manera diferente a cualquier otro sector. Me temo que el 'enfoque del sector público' tenga el efecto de limitar la discreción de la ICO para tomar medidas efectivas, proporcionadas y disuasorias”.

Margen de mejora

Entonces, ¿qué pasa después? Baines explica que, antes del RGPD, la ICO solía exigir que un controlador de datos firmara un "compromiso" para realizar mejoras, si se consideraba que su organización tenía deficiencias pero no se justificaba una multa o una acción coercitiva.

“No veo ninguna razón por la que el ICO no pueda retomar este enfoque en los casos apropiados: tendría el efecto de imponer obligaciones a los altos directivos para garantizar que se cumpla su promesa. En mi experiencia, esos 'compromisos' fueron muy eficaces para concentrar las mentes de los altos directivos en la importancia del cumplimiento de la protección de datos”, añade.

“También sugeriría que el gobierno considere si podría querer conferir poderes formales, a través de la legislación, a la ICO para buscar tales compromisos, con la posibilidad de sanciones contra individuos – así como organizaciones – si los compromisos no se cumplen. Creo que entonces tendría un conjunto de poderes disponibles que, solos o en combinación, podrían ser efectivos”.

En medio de esta confusión, la mejor manera para que las organizaciones del sector público tomen el control de su destino es mitigar proactivamente los riesgos de infracción. La ICO ha destacado útilmente las cosas que tanto las empresas del sector público como el privado deberían hacer a este respecto. Anteriormente ha tomado medidas contra organizaciones que no han logrado:

Implemente autenticación multifactor (MFA) en conexiones externas.

Registre y supervise los sistemas y actúe cuando se produzca una filtración inesperada de datos o conexiones RDP.

Actuar ante alertas de endpoints como las producidas por herramientas antimalware

Utilice contraseñas seguras y únicas en cuentas internas, especialmente en cuentas privilegiadas.

Parchear vulnerabilidades conocidas.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 20 de enero de 2026

Cerrando la brecha de gobernanza de la IA con el blog ISO 42001

Cerrando la brecha de gobernanza de la IA con la norma ISO 42001

El Reino Unido tiene un problema de gobernanza de la IA. Esto podría no haber sido un problema hace unos años, cuando los proyectos se fragmentaban en la mayoría de las organizaciones. Pero hoy...

Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster