Home Concientización DPI19: Los reguladores de datos se reflejan en los primeros meses de...

DPI19: Los reguladores de datos se reflejan en los primeros meses de GDPR

En la conferencia IAPP Intensiva de Protección de Datos 2019, celebrada en Londres, un panel de discusión sobre el primer año de GDPR y “¿Qué medidas se han tomado? En el último año, las autoridades de protección de datos han duplicado con creces su número de personas.

La moderadora Vivienne Artz, directora de políticas de Refinitiv, reflexionó sobre los datos relativos a las investigaciones, informes y sanciones financieras desde la entrada en vigor de GDPR. Dijo que en el Reino Unido se habían notificado 206.326 casos en total, de los cuales 94.000 eran denuncias y 64.000 eran notificaciones de violación de datos. De éstos, el 52% habían sido concluidos.

Artz continuó preguntando a los panelistas cómo se habían adaptado a la vida bajo GDPR. Stephen Eckersley, director de investigaciones de la Oficina del Comisionado de Información del Reino Unido, dijo que la OIC había aumentado la plantilla de 380 a 700 personas, mientras que Jay Fedorak, comisionado de información de las Islas del Canal de Jersey, añadió que la plantilla había aumentado de cuatro a nueve personas.

Eckerlsey explicó que se añadieron equipos para hacer frente al “problema cibernético” de las infracciones y los ataques patrocinados por el Estado, mientras que los equipos investigaban las “infracciones penales de la Ley de protección de datos y la Ley de libertad de información” y regulaban la Directiva SNI.

Fedorak, que fue anteriormente asistente de la actual comisionada de información del Reino Unido, Elizabeth Denham, dijo que había ambiciones de crecer más allá de 60 personas para la población de más de 110.000 habitantes de las Islas del Canal.

Eckersley dijo que gran parte del trabajo desde el 25 de mayo de 2018 se había centrado en “casos de legado” y reconoció que la imposición de multas era “no sólo una forma de regular”, sino que estaba investigando: recogiendo pruebas, reaccionando rápidamente y tratando con informes de los responsables del tratamiento de datos y de los medios de comunicación.

Explicando cómo se desarrolla una investigación, dijo que un equipo de investigación encuentra pruebas y habla con el responsable del tratamiento, busca políticas y procedimientos y “todo termina en el mismo lugar: la acción coercitiva”. Este equipo luego reúne el caso, que va a la autoridad delegada, y un panel regulador determina el tamaño de la multa.

Él dijo: “Había cinco bandas bajo el Acuerdo de Paz de 1998, y estamos considerando nuestras opciones de continuar con ese enfoque o trabajar con nuestros colegas en los Países Bajos y Noruega, y armonizar el cálculo de las multas”.

En cuanto al primer año bajo el GDPR, Eckersley dijo: “Hay mucho trabajo por hacer, pero tenemos procesos establecidos”, dijo. “Es un momento muy emocionante para trabajar en el ICO.”

Al aparecer a través de un enlace de vídeo, Mathias Moulin, director de la Dirección de Protección de Derechos y Sanciones de la Comisión Nacional de Informática y Libertades, dijo que era importante establecer prioridades con los colegas, y que la regulación estaba presionando para que, como era una expectativa “natural” de GDPR, se diera prioridad a la cooperación europea para las quejas “ya que tenemos un plazo limitado para tratar las quejas”.

Al comentar el cambio de la pérdida de datos a otros tipos de violación de la privacidad (94.000 a 64.000), Moulin dijo que “todavía hay espacio para mejorar los procesos de contacto”.

Preguntado por un miembro de la audiencia si hay un problema de sobreinformación, Ecklersley dijo que la OIC reconoció que necesitaba un equipo dedicado y que en el primer mes de GDPR, se reportaron 1700 violaciones y mientras se ha nivelado a 380-400 al mes, “cada vez más se aclara lo que GDPR está diciendo”.

Con información de: Info Security Magazine.