Venimos de tiempos oscuros en lo que a privacidad se refiere. Es cierto que a día de hoy contamos con el amparo de regulaciones como el Reglamento General de Protección de Datos (RGPD) y los usuarios pueden copiar, actualizar, eliminar y restringir el uso de sus datos personales. Sin embargo, todavía queda mucho camino por recorrer.
¿Cómo será el futuro de la privacidad? ¿Qué podemos esperar el próximo año en materia de protección de datos? Analizamos algunas de las tendencias en protección de datos para el próximo año 2022.
Más sanciones: protege mis datos o paga
Cada vez son más frecuentes las sanciones relacionadas con el incumplimiento del RGPD y otras normativas. Desde el punto de vista de las autoridades en protección de datos, el entorno se está volviendo cada vez más duro .
En España, 2021 ha sido un año de récord en multas de la Agencia Española de Protección de Datos (AEPD), que ha propuesto 47% sanciones más que en 2020, con un importe de más de 32 millones de euros, casi un 1.000% más que los 3 millones de euros que propuso en 2020.
En el resto del mundo hemos visto grandes sanciones que han hecho pupita a empresas de gran calibre. La más destacada, el multazo a Amazon, en lo que fue la sanción más alta de la Unión Europea en el ámbito de la protección de datos y Amazon tuvo que pagar la friolera de 746 millones de euros por vulnerar el derecho a la privacidad de sus clientes e incumplir el RGPD.
Digitalización obligatoria:
Desde 2020 la pandemia ha desafiado a las empresas a nivel mundial y las ha empujado a una rápida digitalización y, por consiguiente, adaptarse al cumplimiento de las normativas sobre privacidad y seguridad de datos. El desafío de la digitalización continuará todavía en 2022:
Por un lado, el trabajo en remoto y el modelo híbrido ha venido para quedarse, y con ello nuevos desafíos en materia de ciberseguridad. Por otro lado, los nuevos negocios que quieran lanzarse al mercado o estén en un proceso de transformación digital, sea cual sea su tamaño o condición, deberán adaptar todos sus procesos a las normativas aplicables, que no son pocas, más aún en el caso de las tiendas online.
“Sólo multan a empresas grandes”, decían. Pues mucho ojo, porque la AEPD ya sanciona a empresas y asociaciones por incumplir la política de ‘cookies’. Una mala práctica que desafortunadamente es muy común en todo tipo de sitios web. No te la juegues: si quieres una web legal y de confianza, busca la cometa:
Auge de leyes nacionales sobre protección de datos
Se están poniendo serios (aunque ya tocaba). Cada vez son más los países que se esfuerzan por establecer políticas nacionales de protección de datos, de forma que el entorno normativo de la privacidad de los datos en todo el mundo es cada vez más riguroso. Según la consultora Gartner Inc, el 65% de la población mundial tendrá sus datos personales cubiertos por una regulación moderna de privacidad en 2023. En el año 2020, sólo el 10% de la población mundial contaba con este derecho.
- En 2023 entrará en vigor en Virginia (EEUU) la conocida como CDPA (Consumer Data Protection Act). Según esta ley, las organizaciones tendrán que obtener permiso para el procesamiento de datos y permitir a los residentes optar por no participar si van a vender los datos con fines económicos.
- En Septiembre de 2021 entró en vigor la Ley de Protección de la Información Personal de China (2020), primer intento de establecer una normativa sobre la privacidad de los datos en el país.
- A finales de 2020, las autoridades brasileñas iniciaron la aplicación de la Ley General de Protección de Datos (LGPD) de Brasil, cuyo objetivo es proteger la información personal de 140 millones de usuarios de Internet en América Latina.
- Mientras tanto, en Canadá está previsto que las organizaciones se sometan a una normativa de privacidad más estricta en los próximos años, debido a la publicación de un proyecto de reforma, la Ley de Protección de la Privacidad del Consumidor. Se supone que sustituirá a la Ley de Protección de la Información Personal y de los Documentos Electrónicos, que tiene ya 20 años de antigüedad.
Schrems II seguirá siendo un calentamiento de cabeza
La UE admitió que el método de exportación de datos personales -el conocido como “Privacy Shield” – ya no es legal, las empresas deberán cambiar inmediatamente a otro mecanismo de transferencia de datos. El uso de las Standard Contractual Clauses (SCCs) en virtud del artículo 46 del RGPD no será suficiente; las empresas tendrán que apoyarlo con garantías adicionales para proteger los datos personales.
Este fue uno de los cambios más significativos en materia de protección de datos y privacidad en 2020 y todavía en 2022 seguirá siendo un quebradero de cabeza para las empresas que transfieran datos personales de Europa a EE.UU. en los próximos años, ya que tendrán que hacer frente a las consecuencias de Schrems II.
Más conciencia empresarial y presión ciudadana por la seguridad de los datos
Este año 2021 hemos visto como empresas y organizaciones aumentan su compromiso con la privacidad y los datos personales, así como organizaciones y comunidades que, como guardianes de la libertad, se han organizado para vigilar y denunciar malas prácticas en esta materia. Veamos algunos ejemplos:
Empezamos aplaudiendo el trabajo de Noyb (None of your business), una plataforma europea de activistas por la privacidad que ha puesto contra las cuerdas a gigantes como Facebook y Google denunciando sus malas prácticas. Por un lado, nos hicieron ver que existe un código de seguimiento no autorizado instalado ilegalmente en teléfonos Android. En mayo iniciaron una cruzada contra el mal uso de las cookies de terceros en 560 webs, 57 de ellas españolas. Recientemente, están plantando cara a Facebook y a la Comisión de Protección de Datos irlandesa (DPC), a los primeros por no considerar la anulación del Privacy Sheld y a los segundos por exigir a noyb que firmara un “acuerdo de no divulgación” y que dejaran de investigar el procedimiento de Facebook.
En el terreno empresarial este 2021 La Agencia Española de Protección de Datos (AEPD) ha lanzado el Pacto Digital para la Protección de las Personas, una iniciativa que tiene como objetivo promover un compromiso firme con la privacidad en las políticas de sostenibilidad y los modelos de negocio de las organizaciones.
Este año también hemos visto cómo la comunidad de PucelaBits ha sacado los colores a las instituciones españolas con su campaña #websegura, incluso al Instituto Nacional de Ciberseguridad. Según esta investigación, solo el 1% de las páginas web de instituciones públicas en España obtiene una nota de aprobado en ciberseguridad, con apenas cinco páginas aprobadas de cerca de 500 sitios analizados.
Hablando de vigilancia y denuncia, no queriamos dejarnos en el tintero lo que hacemos en casa. Este año 2021 en Suments hemos sacado a la palestra que las instituciones españolas no están haciendo los deberes en materia de protección de datos. Esta es la conclusión del estudio “Metadatos y filtraciones de datos personales en los sitios web de los Gobiernos Autonómicos de España”, en el que detectamos más de 100.000 potenciales filtraciones de datos personales después de un análisis de los metadatos en un total de 648.670 documentos.
Metadata Matters
Aunque ya existían en la biblioteca de Alejandría, a día de hoy siguen siendo los grandes desconocidos en el mundo de Internet. Los metadatos importan y su uso está estrechamente vinculado a la protección de datos personales, así os lo contábamos con esta infografía sobre metadatos y privacidad. Sin embargo, todavía muchas empresas y organizaciones filtran datos personales en sus webs, incumpliendo así el RGPD y creando un caldo de cultivo para ataques de phising y ransomware.
Aunque la gestión de metadatos todavía no es todo lo trendy que nos gustaría, sí que hemos visto algunos indicios de que las empresas y organizaciones darán más importancia a nuestros amigos los metadatos en 2022.
Por un lado estamos viendo cómo empresas de protección de datos de referencia como Audidat ofrecen el Análisis de metadatos como servicio a sus clientes, un paso muy importante para la ciberseguridad y la tranquilidad de las empresas y organizaciones, ya que los metadatos pueden suponer una potencial brecha de seguridad, en su vertiente de confidencialidad, en la medida en la que contengan información personal aparentemente no visible (oculta) pero sí accesible para usuarios de Internet no autorizados (sin eufemismos: los ciberdelincuentes).
Por otro lado, este año la AEPD ha incluido los metadatos como factor de riesgo en la guía “Gestión del riesgo y evaluación de impacto en tratamientos de datos personales”. En el punto IV del documento, en la “lista de factores de riesgo identificados en la normativa RGPD” la AEPD menciona los metadatos hasta tres veces.
Y hasta aquí nuestro resumen de tendencias en protección de datos. Si crees que nos hemos dejado alguna en el tintero, te esperamos en los comentarios.