Reino Unido no está cumpliendo con las obligaciones que impone GDPR

  • Noticias y Actualidad

La mayoría de los informes de violación de datos emitidos por la Oficina del Comisionado de la Información (ICO) británica están llegando tarde y de forma incompleta, lo que supone un incumplimiento de las reglas establecidas por el reglamento GDPR. Esto podría tener consecuencias en forma de importantes sanciones para las empresas implicadas en casos de incumplimiento normativo.

Según se ha conocido a través del acta de Libertad de Información (FoL), los informes relativos a las violaciones de datos ocurridas en el entorno de las empresas de Reino Unido están emitiéndose con retraso y de forma incompleta. Esto supone una violación de las normas establecidas en la regulación GDPR, y ponen en seria duda la capacidad de las organizaciones del país de cumplir con las condiciones necesarias de prevención, detección y respuesta ante intrusiones y violaciones de datos confidenciales.

Esta información muestra que las empresas han estado retrasando de forma habitual la emisión de los obligatorios informes relativos a los incidentes de violación de la seguridad de sus sistemas. Estas comunicaciones se centralizan a través de la Oficina del Comisionado de la Información, quien tiene la obligación de hacer pública esta información a requerimiento de la ciudadanía, según establece el acta FoI.

Mediante esta herramienta de consulta se ha podido conocer que, como promedio, a las empresas les llevó 60 días identificar que habían sido víctimas de una violación de datos e, incluso, se ha dado un caso en el que la empresa tardó 1.320 días (44 meses) en comunicar un suceso de este tipo. Y, tras conocer la intrusión, las empresas han tardado una media de tres semanas en informar de a la ICO, habiéndose registrado un caso en el que la demora llegó a los 142 días.

Además, la información publicada muestra que menos de una cuarta parte de las organizaciones estaría en condiciones de cumplir los requisitos impuestos por GDPR, según los cuales esta comunicación debe realizarse dentro de las 72 horas posteriores al descubrimiento de la intrusión. Entre estos datos destacan las empresas de servicios financieros y las firmas legales, que son las más ágiles tanto en la identificación como en la comunicación de violaciones de datos, tanto por una mayor concienciación sobre las cuestiones relativas al cumplimiento normativo como por lo confidencial de los datos con los que trabajan. En el caso de estas empresas, la identificación se realiza en un promedio de 37 días. Y la comunicación se ha realizado, como media, en los siguientes 16 días, en el caso de los servicios financieros, y en 20 días, cuando se trató de firmas legales. Contrasta con los 27 días que muestran los denominados “negocios generales”, pero continúa siendo muy por encima de lo estipulado por la ley.

Por otro lado, y no menos importante, los datos recogidos en el 91% de los informes transmitidos a la ICO no incluían información importante exigida por la ley, como el impacto de estos incidentes el proceso de recuperación de datos y las fechas de los sucesos. Concretamente, un 93% de estos informes no especificaban el impacto de las violaciones de datos, o afirmaban no conocer el impacto en el momento de emitir el documento. El 21% no indicó la fecha en que se produjo el incidente, aduciendo que no la conocía, y un 25% adicional tampoco dijo en qué fecha se descubrió la intrusión.

Todas estas infracciones suponen una violación flagrante de la normativa de protección de datos europea, más aún cuando todo parece indicar que la actitud de las empresas implicadas en estas intrusiones es de tapar los hechos o pretender no conocer las fechas o las implicaciones de las violaciones de sus sistemas, con el fin de no recibir sanciones. Pero el mero retraso en la presentación de estos informes ya puede tener consecuencias, al igual que la falta de información.

Más información

¿Cuál es el futuro del mercado de almacenamiento? ¿Qué tecnologías son las más adecuadas para las empresas? Si quieres obtener más información sobre un segmento en crecimiento puedes visitar las páginas de nuestros colaboradores: NetAppHuawei y HPE.