Las empresas deben tener cuidado cuando se trata de GDPR

La semana pasada, la Unión Europea impuso multas a dos importantes empresas de viajes en virtud de su ley de privacidad y protección de datos, que entró en vigor hace un año.

Se ordenó a Marriott International, la compañía hotelera más grande del mundo, y British Airways que pagaran millones de dólares en multas en virtud del Reglamento General de Protección de Datos de la UE, o GDPR.

Según el RGPD, todas las empresas que procesen datos personales de ciudadanos de la UE estarán sujetas a la ley independientemente de la ubicación de la empresa. Están obligados a tomar las medidas adecuadas para proteger esos datos personales.

A Marriott, con sede en Bethesda, Maryland, se le ordenó pagar $123 millones después de que unos 383 millones de huéspedes vieron sus registros comprometidos en una violación de datos. La compañía reveló la violación en noviembre pasado, diciendo que un tercero había obtenido acceso no autorizado a una base de datos de reservas de Starwood. Marriott compró Starwood en 2016.

British Airways fue multada con $229 millones por un incidente que comprometió los datos de 500.000 clientes el año pasado.

Ambas empresas podrían haber enfrentado multas más altas, ya que el reglamento permite imponer como castigo el 4 por ciento de la facturación global anual de una empresa. Ambos planean apelar las decisiones.

Aun así, las sentencias han enviado un mensaje a todas las empresas que tratan con ciudadanos europeos.

"La UE quiere demostrar que va en serio a la hora de proteger la privacidad del consumidor y la información de las personas", dijo Joseph Steinberg, asesor de ciberseguridad y tecnologías emergentes. "El propósito de tener GDPR es tener mordiente y si no tiene mordiente, no tiene sentido".

Los expertos dicen que otras empresas, especialmente aquellas en la industria de viajes que manejan tanta información personal de sus clientes, deben actuar con cuidado.

"Las empresas tuvieron mucho tiempo para prepararse y la mayoría no hizo un buen trabajo", dijo Steinberg. "Si no estás a la altura, sería un buen momento para empezar a avanzar... Si estás operando en Europa o tienes activos en Europa, tienes que tener mucho, mucho cuidado ahora mismo".

Marriott se encontraba en un punto particularmente vulnerable porque la violación de datos, dijo la compañía, involucró a clientes que habían hecho reservas en una propiedad de Starwood antes de que los sistemas de reservas de las dos entidades se fusionaran. Aun así, Marriott habría hecho la debida diligencia antes de adquirir la empresa comprobando sus protocolos de seguridad, dijeron los expertos.

"Todas las empresas que tratan con información personal (es decir, todas las compañías de viajes, excepto posiblemente los autobuses locales que sólo aceptan efectivo) tienen que preocuparse por esto", dijo Bruce Schneier, un tecnólogo de seguridad que ha escrito más de una docena de libros sobre el tema. "Y como cualquier otra empresa del planeta, las empresas de viajes no son inmunes a la adquisición de empresas que tienen peores prácticas de seguridad que ellas".

Stu Sjouwerman, fundador y director ejecutivo de KnowBe4 Inc., que organiza capacitaciones sobre concientización sobre seguridad, dijo que el lenguaje del GDPR no es claro.

Elizabeth Denham, comisionada de la Oficina del Comisionado de Información del Reino Unido (ICO), que impuso las multas, dijo al anunciar las multas que “cuando te confían datos personales debes cuidarlos. Aquellos que no lo hagan se enfrentarán al escrutinio de mi oficina para comprobar que han tomado las medidas adecuadas para proteger los derechos fundamentales de privacidad”.

"Lo que vale la pena señalar es la palabra 'apropiado'", dijo Sjouwerman. “No existe una definición clara de lo que es o no apropiado en el RGPD…. Por lo tanto, corresponde a las empresas demostrar que se toman en serio la seguridad y que han implementado buenos controles y medidas para proteger los datos personales”.

En pocas palabras: es mejor que las empresas tengan cuidado.

Adam Levin, fundador de CyberScout y autor de “Swiped: Cómo protegerte en un mundo lleno de estafadores, phishers y ladrones de identidad”, dijo que la UE no está sola. Muchos otros países tienen leyes similares y no cree que nadie sea fácil con las empresas en lo que él llama una guerra cibernética.

“Estás hablando de una pandemia”, dijo. “Este es un problema internacional.

Países como Australia, Brasil, Tailandia y Filipinas también cuentan con leyes de privacidad. En Estados Unidos, el verano pasado se promulgó la Ley de Privacidad del Consumidor de California. Les da a los consumidores el derecho a saber qué empresas recopilan y comparten sus datos y a optar por no hacerlo.

“Vamos a ver más de esto. No solo lo veremos por el GDPR. También veremos esto en otros condados que han implementado el equivalente al GDPR”, dijo Levin. "Esto se está extendiendo".