Si bien el GDPR se promulgó el año pasado, todavía queda mucho por determinar en cuanto a qué tan efectivo es y cuáles son las repercusiones reales del incumplimiento. Algunas grandes empresas ya han sido objeto de escrutinio y las investigaciones están en marcha por lo que sabemos, pero ¿qué significa esto para los peces más pequeños? ¿Las Autoridades de Supervisor (SA) tienen los recursos para hacer cumplir cada una de las infracciones del GDPR? ¿Por qué 2019 puede ser el año de la aplicación del GDPR?
Para aquellos que no están familiarizados con lo que es una SA, cada estado miembro de la UE tiene su propia SA que supervisa los estándares de protección de datos y hace cumplir el GDPR. Por ejemplo, la Oficina del Comisionado de Información del Reino Unido es responsable de hacer cumplir el GDPR en el Reino Unido, al menos hasta que el Reino Unido salga de la UE bajo el Brexit. Sin embargo, el ICO aún impone sanciones por el incumplimiento de la Ley de Protección de Datos de 1998. Todavía no se han aplicado multas reales por incumplimiento en virtud del GDPR.
Esta es la lista de compañías que serán los mayores infractores de la GDPR:
1. Facebook
Es probable que Facebook sea uno de los primeros objetivos de ICO para las violaciones de GDPR, considerando la exposición de la empresa en este momento por el escándalo de Cambridge Analytica. Si bien el escándalo en sí puede no ser motivo para una investigación sobre el manejo de los datos de los usuarios de Facebook, ya que tuvo lugar antes de la promulgación del GDPR, todavía hay mucho que analizar cuando se trata de la política de privacidad incompleta de la red social.
Ha trascendido que la empresa fundada por Mark Zuckerberg extrae datos y los vende en forma de publicidad e introduce información errónea en las masas para cualquiera que tenga dinero para desembolsar. Así es como hacen su dinero. Tampoco tienen un gran control sobre sus API. Es por eso que Facebook es el enemigo número 1 cuando se trata de GDPR.
2. British Airways
British Airways descubrió que fueron víctimas de una brecha de seguridad en septiembre de 2018. Lo manejaron bien. Incluso colocaron anuncios en los periódicos para hacer que la mayor cantidad posible de personas se dieran cuenta de su error. Una violación de datos en sí misma no puede generar un gravamen en virtud del GDPR si una empresa ha hecho todo lo posible para proteger los datos personales de quienes residen en la UE. También considerando que BA hizo la llamada correcta e hizo pública la información sobre el incumplimiento de manera oportuna, eso protegería a BA ya que actuaron de buena fe.
Sin embargo, el problema es que tenían vulnerabilidades conocidas con su sitio web en forma de complementos de terceros que se remontan al menos un año antes de que se identificara la violación. No hicieron nada para aliviar los problemas con su sitio web. Ahí es donde BA puede encontrarse en problemas bajo el GDPR.
3. Google
Google por definición es una pesadilla de GDPR. Ellos saben quién eres tú más de lo que tú sabes, por lo que no es una posibilidad remota que en algún lugar Google vaya a ser investigado y posiblemente multado por el ICO.
La respuesta de Google a las amenazas de multas en virtud del GDPR es algo que todos adivinan. No es como si unas cuantas palmadas en la muñeca les impidieran hacer lo que mejor saben hacer, recopilar datos. Puede venir en forma de una casilla de verificación antes de ingresar cualquier cosa en el campo de búsqueda o simplemente ignorar las multas.
El problema es que Google necesita nuestros datos y nosotros necesitamos Google, por lo que será necesario que haya algún compromiso aquí. Lo que es gracioso es que Google ha encontrado algunas formas de evitar la reacción violenta que Facebook ha recibido a pesar de que también son la raíz del problema.
Habrá que esperar para ver qué pasas, si estas empresas efectivamente pasan a ser enemigos de la GDPR o si pasan desapercibidas.