Según un estudio de Vanson Bourne, a pesar de ser conscientes de la peligrosidad de las amenazas cibernéticas, el 89% de las empresas no protege lo suficientemente bien sus datos.
En los últimos años, el crecimiento de los datos ha aumentado a causa de la pandemia, en gran parte por el teletrabajo y de servicios de la nube y también lo han hecho los riesgos asociados con la protección de datos.
En general existe todavía la idea de que el ciberataque es ‘cosa de los grandes como Facebook’, sin tener en cuenta que los más pequeños están desprotegidos y mucho más vulnerables. Un ciberataque puede arruinar el negocio y el patrimonio de una familia.
Y sin necesidad de un ciberataque, también abrimos las puertas a sanciones y multas en caso de reclamaciones por incumplimiento, si no tenemos todas las medidas implementadas que requiere la normativa. Y no, no son solo un par de papeles, si no auditorías internas de los procesos de tratamiento de datos y página web.
Por ejemplo, la aerolínea Iberia fue sancionada con 30.000 euros por no tener debidamente configurado el banner de cookies de su página web. Una usuaria sé vio obligada a aceptarlas para seguir navegando y contratar un vuelo, por lo que lo denunció al supervisor de la privacidad de los ciudadanos.
La AEPD también sancionó una asociación de víctimas de arbitrariedades judiciales con un importe de 8.000 euros por cargar en el navegador cookies no necesarias y no existir en la segunda capa de la política de cookies ningún mecanismo que permita el rechazo de todas ellas.
Solo en la mitad de 2021 la AEPD ya había propuesto más de 23 millones de euros en multas, lo que suponía un crecimiento de más del 500% con respecto a todo lo que propuso en el año de la pandemia, 2020.
Los motivos más frecuentes de las sanciones
Según la información que ofrece la AEPD, éstos son los motivos más frecuentes:
- El tratamiento de datos personales sin el consentimiento de sus titulares o sin una base legitimadora que lo justifique, tal como resulta preceptivo.
- Los datos personales no sean tratados de la manera “lícita, leal y transparente en relación con el interesado” que exige el reglamento.
- El uso indebido de cámaras de videovigilancia, ya sea por su instalación en lugares inadecuados o por no informar de dicha instalación.
- Aquí hay varios supuestos como a omisión del deber de informar, la contratación irregular de productos o servicios y la omisión de la aplicación de medidas de seguridad para proteger la información o la vulneración del deber de secreto sobre los datos tratados. En general se trata de la no aplicación de dos principios esenciales para la implementación efectiva de la responsabilidad proactiva a que están obligadas los responsables del tratamiento, como son los de protección de datos desde el diseño y por defecto.
- Los supuestos relacionados con servicios prestados a través de Internet, epígrafe que recoge todas las vulneraciones relacionadas con el tratamiento de los datos relacionados con el correo electrónico, las redes sociales, los buscadores o el comercio electrónico, foros de internet o direcciones IP, entre otros.
Para evitar riesgos en tu organización debes contar con un servicio completo, por lo que una protección de datos considerada ‘barato’ no suele ser la mejor opción. Si tienes que acceder a una plataforma para crear tus documentos, no te asegura cumplir en otros aspectos.
El hecho de poder acceder a tu documentación a través de una APP no te gestiona aspectos como la publicación de fotografías en redes, el tratamiento de datos con tu asesor, los grupos de whatsapp de tu empresa, para mencionar solo algunos de los riesgos menos protegidos.
La correcta forma de tratar los datos personales de tus empleados, clientes y futuros clientes, junto con el plan de igualdad y la denuncia interna, como la ciberseguridad, añaden un valor imprescindible a tu organización y te minimiza el riesgo de sufrir reclamaciones que pueden ser muy costosas. Hemos podido ayudar a muchas empresas en colaboración con Total Compliance Consulting, un aliado importante en el sector de Compliance a todos los niveles con nuestra ayuda.
Pero mientras los internautas no sean conscientes de lo que las grandes corporaciones son capaces de hacer con sus datos, éstas siguen aprovechándose de lo que les ofrecemos sin temor. Una fotografía, una dirección, la navegación por internet, la geolocalización, los datos para un sorteo… cualquier cosa sirve para alimentar sofisticados algoritmos para ‘ayudarnos’ en el mundo online.
“La mayoría de la gente no le da importancia y va facilitando datos por todas partes. Ahora (los receptores) todavía no los terminan de cruzar del todo, pero el día que lo hagan seremos tan previsibles que perderemos toda posibilidad de tomar una decisión sobre nosotros mismos que no haya sido preestablecida”, advierte M. Àngels Barbarà, directora de la Autoritat Catalana de Protecció de Dades (Apdcat).