El pasado mes de junio entró en vigor la nueva ley de protección de datos impulsada por la Unión Europea, mediante la cual se establecían medidas para salvaguardar la privacidad de los datos del cliente y se obligaba a todas las empresas a contar con la autorización expresa del propio usuario para poder utilizar sus datos privados, además de enviarle mensajes corporativos a través de una cadena de e-mails. Por otro lado, los mensajes promocionales también pasaban a depender de la autorización del propio cliente. La importancia de que respetes y cumplas la nueva RGPD es vital, ya que si no lo haces la compañía podría enfrentarse a duras sanciones como le ocurrió a British Airways.
Multa millonaria para British Airways por incumplir el nuevo Reglamento General de Protección de Datos
La Oficina de Comisionado de Información estableció una sanción de más de 200 millones de euros a British Airways, la principal compañía aérea del Reino Unido. ¿Por qué la sancionaron? La sancionaron porque los datos privados de medio millón de clientes fueron robados después de que un grupo de hackers informáticos fueran capaces de penetrar en los sistemas de seguridad de la página web y de la aplicación móvil de la empresa. Por ello, el nombre de usuario, los datos de la tarjeta bancaria que se utilizó como método de pago, así como el destino del cliente fueron revelados.
La ICO concluyó que los sistemas de seguridad de British Airways a nivel cibernético fueron deficientes y, por tanto, decidió imponer la mayor multa desde la entrada de la nueva ley de protección de datos, superando la de 50 millones que se impuso previamente a Google. La nueva RGPD pone mucho énfasis en que los datos de carácter personal de los clientes son sumamente importantes y, que cuando se le confía a una empresa es necesario que tome las medidas adecuadas para proteger los derechos fundamentales a nivel de privacidad.
La multa de 204 millones de euros supuso un duro palo para la empresa británica, ya que supone prácticamente el 2 % de su facturación anual. Como consecuencia, el valor de las acciones de International Airlines Group (IAG), el conglomerado que gestiona Iberia, British Airways, Vueling Aer Lingus o Level, entre otras, cayó en picado en la Bolsa de Londres y tardó un tiempo en retomar el valor habitual. Por esta razón, es fundamental que pongas de manifiesto la importancia de cumplir con la nueva RGPD, especialmente, desde el punto de vista informático.
Las medidas de seguridad que deben cumplirse con la nueva RGPD
La ley de protección de datos marcó un antes y un después desde el punto de vista de sistemas de seguridad empleados por las compañías en todo momento. Desde que se aprobó la legislación por parte de los organismos de la Unión Europea se han producido un total de 144 376 preguntas, y se han impuesto hasta 89 271 sanciones por brechas de datos. Debes tener en cuenta que uno de los principios de la nueva ley de protección de datos es que se establece un sistema de protección basado en la responsabilidad proactiva. En este sentido, es necesario realizar inicialmente una auditoría de sistemas de protección de datos porque es deber de la compañía que establezcas la forma de protección adecuada en función del riesgo detectado.
La población cada vez está más familiarizada con los derechos que disponen en materia de protección de datos de carácter personal. Por ello, aunque los riesgos sean mínimos, siempre debes proveer una protección para que no se vulneren ninguno de los derechos. En este sentido, los datos deben ser absolutamente confidenciales y, obviamente, no puede producirse ningún tipo de violación de la seguridad de los datos. Además, deben respetarse los derechos ARCO de cada uno de los usuarios, en materia de acceso, rectificación y supresión de los datos de carácter personal, es decir, cuando un cliente notifica su deseo de eliminar los datos se debe hacer. Por otro lado, cuando se produce una violación de los datos, ha de ser notificada a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas.
Las medidas técnicas que contempla la nueva ley de protección de datos
A nivel técnico, la nueva RGPD también contempla algunas recomendaciones para que las medidas organizativas sean mucho más eficientes. Cuando los datos de carácter personal los tengas almacenados en un mismo ordenador, es importante que se diferencien los ámbitos personal y profesional. En este sentido, disponer de usuarios autorizados a acceder a los datos del cliente, y otros para el uso periódico del ordenador es una buena idea. Obviamente, debes proteger cada una de estas cuentas de usuario con contraseñas que sean difíciles de descifrar. Por ello, estas deben constar de ocho caracteres mezclando letras y símbolos en todo momento. Cada usuario debe tener su propia contraseña y, además, todas estas contraseñas deben ser totalmente confidenciales.
Mínimamente, también debes considerar que los equipos profesionales que almacenen los datos de carácter personal estén correctamente actualizados y siempre dispongan de la última versión del sistema operativo. Además, en todo momento, también habrás de instalar una versión actualizada de antivirus que evite la entrada de troyanos que pueda poner en peligro la persistencia de la confidencialidad de los datos de carácter personal. Un cortafuegos es el complemento perfecto al antivirus. Por otro lado, también debes valorar el uso del encriptado de datos que permita garantizar que sean confidenciales cuando se produzca un acceso indebido a la propia información visible a terceros.
Violar el Reglamento General de Protección de Datos no pasa únicamente por perder la confidencialidad de los datos por algún tipo de robo, sino también por pérdida de la propia información. Por esta razón, es importante que contemples realizar periódicamente la copia de seguridad de la información en un segundo equipo para mantenerla a salvo y evitar así una posible multa como le ocurrió a British Airways hace unos meses. Por ello, desde ClickDatos queremos ayudarte a transformar tu empresa en materia de protección de datos y que no tengas ningún tipo de problema con la RGPD.
