Publicáronse os datos do importe total das multas por infraccións á normativa.
/ foto PD
Quen publicou o informe sobre o importe das multas
O Regulamento Xeral de Protección de Datos só cumprirá un ano en maio, pero os reguladores europeos xa o fixeron . En febreiro de 2019, o Consello Europeo de Protección de Datos (EDPB), o órgano que vixía o cumprimento do regulamento, publicou un informe sobre as conclusións do GDPR.
Primeiras multas segundo o GDPR baixa pola falta de preparación das empresas para a entrada en vigor da regulación. Basicamente, os infractores da normativa non pagaban máis que uns centos de miles de euros. Non obstante, o importe total das sancións resultou bastante impresionante: case 56 millóns de euros.No informe, o EDPB proporcionou outra información sobre a "relación" das empresas de TI e os seus clientes.
Que di o documento e quen xa pagou a multa?
Desde que o regulamento entrou en vigor, os reguladores europeos abriron preto de 206 mil casos de violacións da seguridade dos datos persoais. Case a metade deles (94) baseáronse en denuncias de particulares. Os cidadáns da UE poden presentar unha queixa sobre violacións no procesamento e almacenamento dos seus datos persoais e contactar coas autoridades reguladoras nacionais, despois de que o caso investigarase na xurisdición dun determinado país.
Os principais temas cos que se relacionaron as queixas dos europeos foron as violacións dos dereitos do suxeito de datos persoais e dos dereitos dos consumidores, así como as filtracións de datos persoais.
Outros 64 expedientes abríronse tras as notificacións de filtración de datos das empresas responsables do incidente. Non se sabe con exactitude cantos dos casos resultaron en multas, pero en total os infractores pagaron 864 millóns de euros. expertos en seguridade da información, a maior parte desta cantidade terá que pagarse a Google. En xaneiro de 2019, o regulador francés CNIL impuxo unha multa de 50 millóns de euros ao xigante das TIC.
O procedemento neste caso prolongouse desde o primeiro día do GDPR: unha denuncia contra a corporación foi presentada polo activista de protección de datos austríaco Max Schrems. A causa da insatisfacción do activista redacción insuficientemente precisa no consentimento ao tratamento de datos persoais, que os usuarios aceptan ao crear unha conta desde dispositivos Android.
Antes do caso do xigante das TIC, as multas por incumprimento do GDPR eran significativamente máis baixas. En setembro de 2018, un hospital portugués pagou 400 mil euros por unha vulnerabilidade no seu sistema de almacenamento médico. rexistros e 20 mil euros: unha aplicación de chat alemá (os inicios de sesión e contrasinais dos clientes almacenáronse en forma sen cifrar).
O que din os expertos sobre a normativa
Os reguladores cren que despois de nove meses, o GDPR demostrou a súa eficacia. Segundo eles, o regulamento axudou a chamar a atención dos usuarios sobre a cuestión da seguridade dos seus propios datos.
Os expertos tamén destacan algunhas carencias que se fixeron notar durante o primeiro ano de vixencia da normativa. O máis importante deles é a falta dun sistema unificado de determinación da contía das multas. Por avogados, a falta de normas xeralmente aceptadas leva a un gran número de recursos. As queixas teñen que ser atendidas polas comisións de protección de datos, o que significa que as autoridades están obrigadas a dedicar menos tempo aos recursos dos cidadáns da UE.
Para resolver este problema, os reguladores do Reino Unido, Noruega e os Países Baixos xa o fixeron regras para determinar o importe da recuperación. O documento recollerá os factores que inflúen na contía da multa: a duración do incidente, a rapidez de resposta da empresa, o número de vítimas da fuga.
/ foto
Que hai a continuación
Os expertos cren que é demasiado cedo para que as empresas de TI se relaxen. É probable que as multas por incumprimento do GDPR aumenten no futuro.
O primeiro motivo son as fugas frecuentes de datos. Segundo as estatísticas dos Países Baixos, onde se informaron violacións do almacenamento de datos persoais mesmo antes do GDPR, en 2018 o número de notificacións sobre filtracións dúas veces. Por Segundo o experto en protección de datos Guy Bunker, as novas violacións do GDPR coñécense case a diario e, polo tanto, nun futuro próximo, os reguladores comezarán a tratar ás empresas ofensivas con máis dureza.
A segunda razón é o fin do enfoque "suave". En 2018, as multas foron o último recurso; a maioría dos reguladores buscaban axudar ás empresas a protexer os datos dos clientes. Non obstante, xa se están considerando varios casos en Europa que poderían levar a grandes multas segundo o GDPR.
En setembro de 2018, unha fuga de datos a gran escala en British Airways. Debido a unha vulnerabilidade no sistema de pago da compañía aérea, os hackers accederon aos datos das tarxetas de crédito dos clientes durante quince días. Estímase que unhas 400 persoas foron afectadas polo ataque. Especialistas en seguridade da información que a compañía aérea poida pagar a primeira multa máxima no Reino Unido: será de 20 millóns de euros ou o 4% da facturación anual da corporación (o importe que sexa maior).
Outro candidato a un gran castigo económico é Facebook. A Comisión Irlandesa de Protección de Datos abriu dez expedientes contra o xigante das TIC debido a varias violacións do GDPR. O maior deles ocorreu en setembro pasado - unha vulnerabilidade na infraestrutura da rede social piratas informáticos para obter tokens para o inicio de sesión automático. O hackeo afectou a 50 millóns de usuarios de Facebook, 5 millóns dos cales eran residentes na UE. Dacordo con ZDNet, só esta violación de datos podería custar á empresa miles de millóns de dólares.
Como resultado, debes estar preparado para o feito de que en 2019 o GDPR mostrará a súa forza e as autoridades reguladoras xa non "facerán a vista gorda" ante as violacións. O máis probable é que só haxa máis casos de alto perfil de violacións da normativa no futuro.
Publicacións do primeiro blog sobre IaaS corporativo:
De que estamos escribindo? na nosa canle de Telegram:
Fonte: www.habr.com