Hoy hace una año que vimos como nuestro correo se llenaba de avisos y notificaciones, de que tomamos conciencia de la cantidad de páginas, servicios y empresas que tenían nuestros datos y ahora nos volvían a pedir el consentimiento para seguir utilizándolos. Ya hace un año que entró en vigor el RGPD y pocas cosas han cambiado en la vida de las empresas.
Se cumplió con el trámite de solicitar los consentimientos, pero poco después cayó en el olvido. El análisis de riesgos, el diseño de la seguridad de los datos desde su recogida o una mejor formación de los empleados quedaron en el olvido. Y en muchos casos siguen actuando exactamente igual que antes de entrar en vigor el RGPD y su adaptación a la legislación española con la llegada del LOPDPGDD. Solo una cosa ha cambiado, ahora se habla mucho más de protección de datos que hace un año.
La vida sigue igual y a veces incluso peor
Y al menos antes de tomar una decisión en las empresas se preguntan si esta aplicación, si este sistema para recoger la hora de entrada y salida de los empleados cumple con el RGPD. Pero no se mejorado el presupuesto de seguridad para dotar a las empresas de barreras más eficaces para garantizar la protección de los datos.
Pero queda mucho por hacer. Sirva como ejemplo las cookies y las políticas de privacidad. Según un estudio de PrivacyCloud, el 83% de las páginas web más visitadas cuentan con políticas de privacidad abusivas para el usuario. De las 100 páginas web más populares según el ranking de referencia de Alexa, solo 14% ha adecuado su uso de cookies al RGPD.
El 99% incumplen permitir rechazar cookies con la misma facilidad que aceptarlas y lo que es más grave un 9% equipara la aceptación de la cesión de datos a una especie de peaje de acceso. Falta mucho por hacer en este sentido.
En otros ámbitos, como la copia de datos que salen de la empresa en memorias USB, según un estudio de Kingston, el 71,3% de los empleados ha perdido al menos una vez un USB con documentos de trabajo desprotegidos. El cifrado de los datos que debería ser obligatorio para este tipo de memorias sigue siendo algo "exótico" en muchas organizaciones. Y esto en el último año, y dicha cifra empeora los datos del año anterior que se situaban en un 68%
Lo mismo podríamos decir de las copias de seguridad que salen de las empresas, que en muchos casos están fuera de control, con copias no autorizadas, provisionales o que quedan en el olvido en discos antiguos. La destrucción de estos datos y su eliminación mediante el borrado seguro también son prácticas que siguen sin aplicarse de forma metódica en la mayoría de las empresas.
Falta previsión a la hora se saber manejar una brecha de seguridad. Las guías de la AEPD deberían estar de manual de cabecera para los responsables de tratamiento de datos y son pocos las que lo toman en serio. Y lo que es peor, las empresas especializadas en protección de datos muchas veces no realizan un análisis de riesgos medianamente serio o recomiendan medidas adicionales a las que había antes de la entrada en vigor del RGPD. Tendrá que llegar una campaña de sanciones para que muchas empiecen a tomarse en serio este asunto.