56 milions d'euros en multes - resultats de l'any amb GDPR

S'han publicat les dades sobre l'import total de les multes per infraccions a la normativa.

/ foto Bankenverband PD

Qui va publicar l'informe sobre la quantia de les multes

El Reglament General de Protecció de Dades només complirà un any al maig, però els reguladors europeus ja ho han fet resultats. El febrer de 2019, el Comitè Europeu de Protecció de Dades (EDPB), l'òrgan que supervisa el compliment del reglament, va publicar un informe sobre les conclusions del GDPR.

Primeres multes segons GDPR Érem baixa per la falta de preparació de les empreses per a l'entrada en vigor de la regulació. Bàsicament, els infractors de la normativa no pagaven més d'uns centenars de milers d'euros. No obstant això, l'import total de les sancions va resultar bastant impressionant: gairebé 56 milions d'euros.A l'informe, l'EDPB va proporcionar informació addicional sobre la "relació" de les empreses de TI i els seus clients.

Què diu el document i qui ja ha pagat la multa?

Des que el reglament va entrar en vigor, els reguladors europeus han obert uns 206 mil casos de violacions de la seguretat de les dades personals. Gairebé la meitat (94) es van basar en queixes de particulars. Els ciutadans de la UE poden presentar una queixa sobre violacions en el tractament i l'emmagatzematge de les seves dades personals i contactar amb les autoritats reguladores nacionals, després d'això, el cas s'investigarà a la jurisdicció d'un país determinat.

Els principals temes amb què es van relacionar les queixes dels europeus van ser les vulneracions dels drets del subjecte de dades personals i els drets dels consumidors, així com les filtracions de dades personals.

Altres 64 expedients es van obrir arran de les notificacions de filtracions de dades de les empreses responsables de l'incident. No se sap exactament quants dels casos van donar lloc a multes, però en total els infractors van pagar 864 milions d'euros. segons experts en seguretat de la informació, la major part d'aquesta quantitat s'haurà de pagar a Google. El gener de 2019, el regulador francès CNIL va imposar una multa de 50 milions d'euros al gegant informàtic.

El procediment en aquest cas va durar des del primer dia del GDPR: l'activista austríac de protecció de dades Max Schrems va presentar una denúncia contra la corporació. La causa de la insatisfacció de l'activista acer redacció insuficientment precisa en el consentiment al tractament de dades personals, que els usuaris accepten en crear un compte des de dispositius Android.

Abans del cas del gegant informàtic, les multes per incompliment del GDPR eren significativament més baixes. El setembre de 2018, un hospital portuguès va pagar 400 euros per una vulnerabilitat del seu sistema d'emmagatzematge mèdic. registres i 20 euros: una aplicació de xat alemanya (els inicis de sessió i les contrasenyes dels clients es van emmagatzemar en forma no xifrada).

El que diuen els experts sobre la normativa

Els reguladors creuen que després de nou mesos, el GDPR ha demostrat la seva eficàcia. Segons ells, el reglament va ajudar a cridar l'atenció dels usuaris sobre el tema de la seguretat de les seves pròpies dades.

Els experts també destaquen algunes mancances que es van fer notar durant el primer any de la regulació. El més important d'ells és la manca d'un sistema unificat per determinar la quantia de les multes. Per segons advocats, la manca de normes generalment acceptades comporta un gran nombre de recursos. Les queixes han de ser gestionades per les comissions de protecció de dades, la qual cosa significa que les autoritats es veuen obligades a dedicar menys temps a les apel·lacions dels ciutadans de la UE.

Per solucionar aquest problema, els reguladors del Regne Unit, Noruega i els Països Baixos ja ho han fet desenvolupar regles per determinar l'import de la recuperació. El document recopilarà factors que influeixen en l'import de la multa: la durada de l'incident, la rapidesa de resposta de l'empresa, el nombre de víctimes de la filtració.

/ foto Bankenverband CC BY-ND

Què és el següent

Els experts creuen que és massa aviat perquè les empreses de TI es relaxin. És probable que les multes per incompliment del GDPR augmentin en el futur.

El primer motiu són les fuites de dades freqüents. Segons les estadístiques dels Països Baixos, on es van informar de violacions de l'emmagatzematge de dades personals fins i tot abans del GDPR, el 2018 el nombre de notificacions sobre filtracions ha crescut dues vegades. Per segons Segons l'expert en protecció de dades Guy Bunker, gairebé diàriament es coneixen noves infraccions del GDPR i, per tant, en un futur proper, els reguladors començaran a tractar les empreses ofensives amb més duresa.

La segona raó és el final de l'enfocament "suau". El 2018, les multes van ser l'últim recurs: la majoria dels reguladors van intentar ajudar les empreses a protegir les dades dels clients. No obstant això, ja s'estan considerant diversos casos a Europa que podrien comportar grans multes segons el GDPR.

El setembre de 2018, una filtració de dades a gran escala succeït a British Airways. A causa d'una vulnerabilitat en el sistema de pagament de la companyia aèria, els pirates informàtics van tenir accés a les dades de les targetes de crèdit dels clients durant quinze dies. Es calcula que unes 400 persones es van veure afectades pel pirateig. Especialistes en seguretat de la informació esperarque l'aerolínia pugui pagar la primera multa màxima al Regne Unit: serà de 20 milions d'euros o el 4% de la facturació anual de la corporació (l'import sigui més gran).

Un altre candidat a un càstig financer important és Facebook. La Comissió Irlandesa de Protecció de Dades ha obert deu casos contra el gegant de la informàtica a causa de diverses violacions del GDPR. El més gran d'ells es va produir el setembre passat: una vulnerabilitat a la infraestructura de la xarxa social permès pirates informàtics per obtenir fitxes per a l'inici de sessió automàtic. El pirateig va afectar 50 milions d'usuaris de Facebook, 5 milions dels quals residents a la UE. D'acord amb edició ZDNet, només aquesta violació de dades podria costar a l'empresa milers de milions de dòlars.

Com a resultat, hauríeu d'estar preparat per al fet que el 2019 el GDPR mostrarà la seva força i les autoritats reguladores ja no "tancaran els ulls" a les infraccions. El més probable és que en el futur només hi hagi casos més destacats d'infraccions de la normativa.

Publicacions del primer bloc sobre IaaS corporatiu:

• El que necessiteu saber sobre PCI DSS: visió general estàndard
• L'efecte del GDPR: com la nova regulació va afectar l'ecosistema informàtic
• Regulació del treball amb dades personals a Rússia i Europa

De què estem escrivint? al nostre canal de Telegram:

• Qui dóna suport als projectes al núvol: parlem de quatre fons de codi obert
• Com gestionar el maquinari en un centre de dades: dues noves tecnologies
• Per què els discs durs s'estan trencant amb menys freqüència

Font: www.habr.com