RGPD en acción: cómo la UE multa a las empresas que no administran las contraseñas de manera adecuada

El Reglamento General de Protección de Datos (GDPR) de la Unión Europea entró en vigencia hace casi dos años, y hay que decir que está causando tantos debates ahora como lo hizo en 2018. Hay personas que continúan descartándolo como inútil. reglamento que ha resultado en nada más que una ola de ventanas emergentes que los ciudadanos de la UE deben cerrar cada vez que visitan un nuevo sitio web. Otros consideran que es la respuesta correcta a la creciente cantidad de amenazas en línea que ponen en riesgo nuestra privacidad. Sin embargo, para evaluar realmente el éxito de GDPR, debe ser capaz de determinar qué es exactamente. Comencemos con los efectos más visibles de GDPR.

GDPR y los usuarios

Muchos de ustedes pueden saber que las ventanas emergentes de consentimiento no comenzaron con GDPR. La UE ha sido bastante firme en su posición de que los sitios web deben obtener el permiso del usuario antes de almacenar cookies en sus computadoras durante bastante tiempo. Muchos sitios web mostraban información sobre el uso de cookies mucho antes de 2018, y la gente también se quejaba de ellos en ese momento.

El trabajo de las cookies no es simplemente rastrearlo o invadir su privacidad. A menudo son esenciales para el correcto funcionamiento de los sitios web y los servicios en línea. Lo que hicieron las nuevas ventanas emergentes de consentimiento de GDPR fue darle la opción de usar el sitio web en todo su potencial y al mismo tiempo asegurarse de que los anunciantes no sean demasiado agresivos en sus actividades de seguimiento. ¿Ha funcionado, sin embargo?

Bueno, el hecho es que muchas personas descartan las ventanas emergentes o hacen clic en el botón "Acepto" sin siquiera leer la advertencia, lo que demuestra que, hasta cierto punto, la medida no es particularmente efectiva. Al mismo tiempo, sin embargo, hay usuarios que se dan cuenta de que su privacidad es más importante que un retraso de unos segundos, por lo que las ventanas emergentes no son completamente inútiles.

Para los proveedores de servicios, esta fue una de las medidas más fáciles de implementar, y sería difícil encontrar un sitio web que no intente decirle qué tipo de empresas podrían estar a punto de revisar sus datos, por lo que desde esa perspectiva, la regulación está funcionando. El problema aquí radica más en los usuarios y su renuencia a educarse.

GDPR y proveedores de servicios en línea

Lo que algunas personas podrían no entender es que las ventanas emergentes de cookies estaban lejos del único cambio que trajo GDPR. Para cumplir con las regulaciones, muchas compañías tuvieron que repensar su evaluación de riesgos, sus mecanismos de protección de datos, sus planes de respuesta a incidentes y sus procedimientos de divulgación. Algunos de ellos sabían que no podían hacerlo, y se rescataron, optando por dejar de ofrecer sus servicios en la UE. Otros tampoco lo lograron, pero decidieron continuar trabajando y esperan que no los atrapen, o peor aún, sean atacados por cibercriminales.

Obviamente, esto no funcionó para todos. Según un rastreador de multas GDPR de CoreView, las autoridades de la UE han impuesto multas significativas a más de 28 empresas y han recaudado más de € 428 millones (alrededor de $ 465 millones).

La mayoría de las violaciones principales consisten en la falta de protección de la información de los usuarios, la exposición de datos privados a través de otros canales o la recopilación excesiva de datos personales. El alto número de violaciones se puede interpretar de dos maneras completamente diferentes. Por un lado, puede aceptarlos como una señal de que las reglas y regulaciones están funcionando, y las compañías que no las cumplen están pagando el precio. Por otro lado, un vistazo rápido a las razones de las multas muestra que algunas organizaciones comerciales han cometido algunos errores de seguridad bastante básicos, y es una apuesta segura que hay muchos otros que son culpables de lo mismo pero son Aún por descubrir.

Con todo, GDPR necesitará mucho más tiempo para tener un impacto significativo en la forma en que los usuarios y los proveedores de servicios tratan los datos privados. E incluso cuando lo hace, no debe considerarse una panacea. El objetivo de GDPR no es eliminar por completo las numerosas amenazas a nuestra privacidad en línea, y ciertamente no puede poner fin a las violaciones de datos. Sin embargo, lo que puede hacer (y con suerte lo hará) es garantizar que las palabras "nos tomamos muy en serio la seguridad" son más que una simple declaración emitida tras un ciberataque.