La notificació de fallides de seguretat es triplica el 2019

El RGPD ha complert dos anys d’aplicació des de la seva entrada en vigor el 25 de maig 2018. Per a l’ocasió, resulta interessant fer un balanç en base als diversos informes publicats. La constatació és simple: amb un nombre creixent de sol·licituds, la protecció de les dades personals penetra d’una manera cada vegada més profunda en el conjunt de les organitzacions, tant públiques com privades [1]

Segons ha publicat CSO Espanya, “24 mesos després de la seva implantació a Europa, Espanya pren posicions avantatjades en el compliment respecte als seus socis comunitaris. Tot i així, la seva transcendència requereix de majors esforços per assolir el pic de maduresa” [2].

1. Una protecció europea de les dades personals en ple auge

La AEDP (Agencia Española para la Protección de los Datos) va publicar en la seva memòria que el 2019 es van presentar davant l’Agència 11.590 reclamacions, un 11% menys que l’any anterior. En aquest descens cal tenir en compte el nombre de reclamacions habituals que es presentaven davant l’Agència amb anterioritat a l’aprovació del RGPD, quan va entrar en vigor el nou reglament, el 2018, hi va haver un important increment de reclamacions gràcies a l’àmplia difusió produïda per la posada en marxa de la nova normativa [3].

En Espanya, la AEDP va tenir un paper fonamental al publicar de bon principi directrius clares sobre els aspectes bàsics de la norma, per després publicar guies i informes sobre qüestions més específiques, com per exemple tot allò que fa referència als aspectes més tecnològics d’aquesta norma. Així, les mesures de seguretat aplicables a un tractament determinat han deixat de tipificar-se en categories tancades, per quedar a judici dels responsables de tractament, això els obliga a fer una revisió constant dels riscos. Aquest mètode va produir un cert caos inicial [4], com a conseqüència, es van produir implementacions parcials de la normativa de protecció de dades per a moltes organitzacions.

Segons les dades d’un informe publicat el passat mes de novembre per la consultora tecnològica Capgemini, únicament el 21% de les empreses espanyoles consultades afirmaven en aquest moment que complien totalment amb el RGPD (enfront del 78% que preveien que aconseguirien complir-ho al juny de 2018). No obstant, podem considerar que les empreses espanyolas no s’han quedat gaire enrere del 28% de mitjana d’empresas que havien aconseguit adaptar-se al RGPD a nivell mundial en aquestes dates, el porcentaje más bajo correspondía a las empresas suecas (18%) i els més alts a les de Regne Unit (33%) i Estats Units (35%) [5].

A França, la CNIL (Commission Nationale de l’Informatique et des Libertés), ha identificat en el transcurs de l’any 2019 prop de 14 000 denúncies, és a dir un augment del 27% respecte el 2018. Segons un informe d’activitat, aquest augment es deu a l’interès creixent de les persones interessades (ciutadans, consumidors, usuaris de serveis públics) per les problemàtiques de protecció de la vida privada [6].

Un altre fet significatiu que podem ressaltar: el 2019 el 33% d’aquestes queixes serien procediments transfronterers, el que evidència una major cooperació europea en aquest àmbit. Les notificacions de bretxes de seguretat traslladades a inspecció han crescut de les 16 de 2018 a les 79 de 2019, fet que suposa un increment de gairebé un 400%.

Pel que fa als procediments transfronterers, destacar que: els casos liderats per la AEPD com a autoritat principal han passat de 15 el 2018 a 21 el 2019 i, en la cooperació com a autoritat interessada, s’ha passat de 229 a 565 casos, un increment del 147%. Així mateix, les entrades rebudes pel procediment de cooperació han ascendit fins a les 1.052, amb un creixement del 68%.

En efecte, el RGPD ha permès la posada en marxa d’un sistema inèdit a escala europea, basat en pilars descentralitzats (les autoritats nacionals de protecció de dades) que convergeixen en el si del CEPD (Comitè Europeu de la Protecció de Dades, antigament G29) per garantir una investigació i un tractament coherents d’aquest tipus de casos transfronterers.

En el seu informe, la Comissió també destaca l’augment de la protecció de les dades de caràcter personal a nivell internacional, el RGPD ha estat “percebut com un fort senyal de la UE sobre la defensa i el respecte del seu marc jurídic en matèria de protecció de dades. Aquest concepte exigent ha inspirat en particular desenvolupaments legislatius en diverses regions del món” com el Japó, Benín o Australia.

Tot i així, encara queden tasques pendents, entre les quals podem destacar l’aprovació de l’encara “no nat” Reglament Europeu de e-Privacy, “que hauria de trobar el seu encaix adequat en el marc general establert per el GDPR i regular qüestions fonamentals per a les empreses en matèria de comunicacions electròniques i activitats de màrqueting digital en general” [7].

2. Adopció de nous llindars de sanció a tenir en compte

El 2019 también ha estat marcat pel desplegament del component repressiu del RGPD.

Així, després de les 14.000 denuncies, 8.500 van ser objecte d’un tractament en profunditat per part de la Comissió.

La AEDP examina el tema de cada denúncia, eventualment sol·licita informació addicional a la demandant, per després implementar el mode d’acció més apropiat. Per tant, pot actuar davant el responsable de l’arxiu implicat amb les següents mesures:

  • Recordar-li seves obligacions i convidar-lo a prendre les mesures necessàries
  • Investigar amb més precisió les condicions d’implementació (per exemple, el període de retenció de dades);
  • Obtenir tots els justificants útils.

Més enllà de les 11.590 reclamacions tractades, la AEPD ha augmentat el número de controls: com a part dels procediments formals es van realitzar controls in situ, on line, en audiència o basant-se en peces documentals per garantir la conformitat dels tractaments amb el RGPD.

Aquests controls van donar com a resultat sancions per la formació restringida, algunes de les quals es van fer públiques. El nombre total de multes impartides el 2019 per la AEPD van ser 112, l’import total d’aquestes ascendeix als 6,3 milions d’euros.

Aquesta tendència s’hauria accentuar durant l’any en curs i l’any que ve amb molts projectes que vol emprendre la Comissió: open data, elaboració d’anàlisis d’impacte o les lleis bioètiques.

3. Identificar el seu nivell de conformitat i anticipar

Dos anys després de l’entrada en vigor del RGPD, molts organismes públics o privats qüestionen el seu nivell de conformitat. El tema no és neutre en termes de gestió dels riscos. Però això seria abordar el tema de manera massa parcel·lària. Segons les dades de l’AEDP la notificació de bretxes de seguretat es va triplicar el 2019, per passar a 1.549 enfront de les 547 de 2018.

De fet, durant aquests últims dos anys, els subcontractistes proveïdors de solucions s’han enfrontat a auditories dels seus clients sobre temes del RGPD. Les interrogacions plantejades en aquesta ocasió són múltiples: Pot cooperar en la realització de la nostra anàlisi d’impacte? Ens informa sobre la política de seguretat dels seus sistemes d’informació? Quin és el seu procediment en cas d’identificar un incident de seguretat? etc. etc.

Les exigències d’aquests mateixos clients, en licitacions o qualsevol procés de selecció, també s’han vist reforçades en el camp del RGPD. Aquí també, el subcontractista ha de justificar el seu nivell de maduresa en la matèria: respondre als qüestionaris RGPD o formalitzar la documentació que acrediti les mesures de seguretat implementades, pot transformar-se ràpidament en un veritable trencaclosques si l’empresa no s’ha preparat abans.

Gràcies a la tasca del responsable del tractament, els Delegats de Protecció de Dades (DPD) recentment designats sovint s’han dedicat a la cartografia de les dades, a establir el registre de les activitats de tractament, al llançament de l’anàlisi d’impacte sobre els tractaments de risc o al desplegament d’accions de concienciació i de formació als desafiaments de la protecció de la vida privada. Després de dos anys d’exercici, és hora de fer un balanç sobre el progrés del pla d’acció. Per a això és útil fer controls interns – o controls realitzats pel DPD – que tenen els següents objectius:

  • Continuar la sensibilització dels equips
  • Garantir una lògica de continuïtat en el procés de compliment
  • Facilitar els intercanvis sobre els nous projectes que potencialment impactin en la vida privada dins de la lògica d’anticipació del privacy by design
  • Documentar les zones de risc i els punts de progrés per facilitar la fixació de les prioritats i el bon govern de l’organisme

I la teva organització? En quin punt està?

 

Recorda que a Escuda som experts en seguretat de les dades, si vols més informació no dubtis a trucar-nos al 931 931 848 o en contactar-nos a través d’aquest formulari.

 

[1] El 58% de las empresas no cumple con el Registro General de Datos

[2] GDPR, dos años de la norma que revolucionó la protección de datos

[3] Memoria AEPD 2019

[4] Los primeros días de GDPR, a examen

[5] La aplicación del RGPD en su segundo aniversario

[6] Bilan RGPD: +27% de plaintes et 51,4 millions d’euros d’amendes

[7] GDPR: balance de dos años de aplicación práctica

 

#escuda #RGPD #AEDP #DPD #protecciódedades #CEPD #fuguesdeseguretat