GDPR obtiene más de 100 millones de euros en multas, con más por venir


Los reguladores de toda Europa han impuesto multas de € 114m (£ 97.45m) bajo la Unión Europea Reglamento general de protección de datos (GDPR) desde que las reglas entraron en vigencia, y esta cifra aumentará en € 329m (£ 281.3m) si se imponen multas contra British Airways (BA) y Marriott en el Reino Unido.

Esto es de acuerdo con la firma de abogados DLA Piper’s último Encuesta de incumplimiento de GDPR, que estudió el impacto de las regulaciones en los 28 estados miembros de la UE donde se aplican, así como en Islandia, Liechtenstein y Noruega.

Con el Reino Unido excluido, no debido al Brexit, sino porque sus multas récord aún no se han impuesto, Francia, Alemania y Austria han impuesto las multas más altas hasta la fecha, a € 51 millones, € 24,5 millones y € 18 millones respectivamente. La multa más grande bajo GDPR hasta ahora fue de € 50 millones en Francia, impuesto a Google por infracciones de los principios de transparencia y consentimiento, no por una violación específica.

Los Países Bajos, Alemania y el Reino Unido encabezaron la tabla por el número de violaciones de datos y otros incidentes bajo GDPR notificados a sus reguladores, con 40,647, 37,636 y 22,181 notificaciones respectivamente. Mientras tanto, los italianos reportaron solo 1.186 incidentes. Sobre una base per cápita, los holandeses, irlandeses y daneses informaron la mayoría de los incidentes.

Deberías leer:   Las acciones de una startup psicodélica respaldada por Peter Thiel aparecen en su debut en Wall Street

“El RGPD ha llevado el problema de la violación de datos bien y realmente a la intemperie”, dijo el socio de DLA Piper, Ross McKean, especialista en ciberseguridad y protección de datos.

“La tasa de notificación de incumplimiento ha aumentado en más del 12% en comparación con el informe del año pasado, y los reguladores han estado ocupados probando sus nuevos poderes para sancionar y multar a las organizaciones. La cantidad total de multas de 114 millones de euros impuestas hasta la fecha es relativamente baja en comparación con las multas máximas potenciales que pueden imponerse bajo el RGPD, lo que indica que todavía estamos en los primeros días de la ejecución.

“Esperamos ver un impulso que genere más multas multimillonarias en euros durante el próximo año a medida que los reguladores aumenten su actividad de aplicación”, dijo McKean.

Patrick Van Eecke, presidente de la práctica internacional de protección de datos de DLA Piper, agregó: “Las primeras multas de GDPR plantean muchas preguntas. Pregunte a dos reguladores diferentes cómo deben calcularse las multas GDPR y obtendrá dos respuestas diferentes.

Deberías leer:   La start-up de Singapur, Carro, recauda 360 millones de dólares de SoftBank y otros

“Estamos a años de tener seguridad jurídica sobre esta cuestión crucial, pero una cosa es segura, podemos esperar ver muchas más multas y apelaciones en los próximos años”.

Dicho esto, las multas no son el único castigo potencial que se puede aplicar a las organizaciones que no cumplen con los estándares GDPR. Las autoridades también disfrutan del poder de imponer sanciones como nombrar y avergonzar, como se ha demostrado en los casos aún no resueltos de BA y Marriott.

DLA Piper también señaló el mayor “riesgo” de reclamos de compensación masiva, como litigios grupales, luego de los hallazgos regulatorios de responsabilidades. Miles de millones de euros están disponibles para financiar dichos reclamos y, cuando las leyes locales lo permiten, los reclamos grupales ahora se ven sobre la base de presuntas infracciones del RGPD, particularmente en el Reino Unido, donde “los reclamos recientes basados ​​en infracciones de la ley de protección de datos serían muy familiares para Abogados de acción de clase de los Estados Unidos “.

Mirando hacia el futuro, DLA Piper dijo que esperaba que algunos aspectos de GDPR continúen evolucionando, particularmente en torno a lo que constituye una medida de seguridad adecuada para cumplir con los estándares requeridos.

Deberías leer:   El primer día de Amazon Prime Day atrae la mayor parte del gasto en línea en 2021: Adobe

“De la misma manera que el cifrado se convirtió en parte del estándar legal de atención bajo el régimen anterior, anticipamos que veremos surgir otros controles de seguridad como requisitos difíciles bajo Artículo 32 GDPR, como la autenticación multifactor [MFA] al procesar datos personales de mayor riesgo “, dijo la organización en su informe.

“Como fue el caso bajo el régimen anterior, también anticipamos que se considerará que el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) forma parte del estándar legal de atención requerido por el Artículo 32 GDPR cuando las organizaciones procesan la información de la tarjeta de pago”.

Cabe señalar que el informe de DLA Piper puede estar algo restringido por el hecho de que no todos los estados participantes ponen a disposición del público sus estadísticas de notificación, y un número solo proporciona cifras para una parte del período cubierto por el informe. En estos casos, los números se han redondeado y, en algunos casos, se han extrapolado para proporcionar una mejor aproximación, en lugar de una declaración de hechos.