En menos de un año desde la entrada en vigor del GDPR se han detectado casi 60.000 vulneraciones de datos en Europa

Alberto Iglesias Fraga
GDPR, nueva ley de protección de datos
  • Desde mayo del pasado curso hasta el 28 de enero se notificaron 59.000 violaciones de datos relacionadas con el GDPR, todas ellas en el seno de la Unión Europea.
  • España se sitúa en la media europea con 670 notificaciones relacionadas con el GDPR en estos ocho meses de vida de la normativa.
  • En este tiempo ya se han procesado nada menos que 91 multas a empresas que se han saltado el GDPR, con Google llevándose la peor parte: 50 millones de euros de sanción en Francia.

El 25 de mayo del 2018 quedó grabado a fuego en la agenda de muchas empresas. Ese fue el día en que, tras muchos vaivenes y en medio de la confusión generalizada, entraba en vigor el Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés). Una norma que venía a incrementar la privacidad y la seguridad de la información personal en Internet para los ciudadanos europeos, y que al mismo tiempo establecía toda una serie de nuevas obligaciones para las compañías y organismos públicos.

Entre esas restricciones se encuentra la necesidad de contar con el consentimiento expreso del usuario para cualquier uso de sus datos, la obligación de pensar en la privacidad desde el diseño de las aplicaciones o el imperativo de comunicar cualquier incidencia o ciberataque sufrido en menos de 72 horas a los reguladores y consumidores afectados. 

Precisamente en torno a este último punto, había mucha expectación por saber cuántas notificaciones se producían en el primer año de vida del GDPR. Pues bien, gracias a un informe de DLA Piper podemos ir anticipando las principales cifras.

Desde mayo del pasado curso hasta el 28 de enero se dio aviso de 59.000 violaciones de datos en el seno de la Unión Europea, con los Países Bajos como epicentro de la mayoría de estas notificaciones (15.400, o lo que es lo mismo, 89,8 violaciones por cada 100.000 habitantes). En el polo opuesto, Lichtenstein, que apenas ha registrado 15 informes de incidencias que pusieran en riesgo datos personales de sus ciudadanos.

Leer más: Todo lo que necesitas saber sobre el GDPR, la normativa de la UE que hace temblar a Silicon Valley

Siempre de acuerdo a este estudio, España se sitúa en la media europea con 670 notificaciones relacionadas con el GDPR en estos ocho meses de vida de la normativa, justo por encima de Italia (610) o Austria (580) pero mejor que otros países de nuestro entorno como Francia (1.300 avisos), Irlanda (3.800) o Reino Unido (10.600).

Del aviso a la multa

Las notificaciones son un procedimiento obligatorio en caso de cualquier ciberataque, fuga de datos por un error técnico o cualquier otra causa propia o ajena a la empresa. Salvo que se demuestre dejadez por parte de la compañía a la hora de proteger dicha información, lo normal es que no acarree ningún tipo de sanción. Cosa muy distinta es si la organización decide no comunicar el incidente o se salta el amplio 'compliance' requerido por el GDPR.

Así pues, recordemos que este Reglamento impone multas de hasta 10 millones de euros o el 2% de la facturación anual global de la empresa en estos casos. Y, en su primer año todavía no cumplido de vida, ya se han procesado nada menos que 91 multas a empresas que se han saltado el GDPR, ya sea en aspectos íntimamente relacionados con la violación de datos personales como con otros parámetros recogidos por la ley.

Eso sucede, por ejemplo, con la sanción más alta conocida hasta el momento, la que le endosó la Comisión Nacional de Informática y Libertades (CNIL) francesa a Google: 50 millones de euros. En este caso, el regulador entendió que Google no había informado bien a los usuarios sobre sus políticas de consentimiento de datos, y tampoco les otorgó suficiente control sobre cómo usan la información que recolectan acerca de los mismos. Huelga decir que el popular buscador ya ha recurrido la multa al considerarla injusta.

Conoce cómo trabajamos en Business Insider.