Si hay una opinión consensuada sobre un tema determinado, cuando se hace un análisis más detenido de los detalles, se llega a la conclusión de que los hechos finalmente niegan lo que damos por hecho, por lo que es un caso exclamar: “¡El diablo estaba en los detalles!”.

La vigencia y la necesidad de proteger los datos personales es innegable. El principio es que el ciudadano es dueño de sus datos y, como es normal, para usar la propiedad de alguien, necesitamos obtener su permiso. Estamos cansados ​​de escuchar que empresas y organizaciones de los más diversos segmentos obtuvieron información sensible de clientes / usuarios brasileños filtrados.

El tema ya estaba bien regulado por varias leyes, como la Ley 12.965 – Marco Civil da Internet, Ley 13.188 – Ley de Prensa, Ley 8.078 – Código del Consumidor, Ley 9.279 – Propiedad Intelectual, Código Civil, Código Penal y otros, y ahora ha surgido la nueva Ley General de Protección de Datos, que tiene como objetivo compatibilizar el marco legal brasileño con el RGPD europeo.

Sin embargo, los impactos que la LGPD puede traer a las empresas brasileñas, especialmente startups, micro, pequeñas y medianas empresas, que son muy vulnerables en términos de penalizaciones y pérdidas a la imagen de marca, pueden ser muy grandes. Cabe mencionar que la LGPD afecta directamente a las empresas del sector de las Tecnologías de la Información, pero se extiende a todos los sectores empresariales y también al tercer sector (colegios profesionales, ONG, asociaciones, fundaciones).

A través de la experiencia y la observación, podemos delinear dos grupos de entidades económicas: una que ya ha tenido sus datos filtrados y otra que aún tendrá sus datos filtrados.

Haciendo aquí el papel de abogado del diablo, evidentemente evidenciando la legitimidad y pertinencia de la Ley, tenemos un escenario peligroso para los desarrolladores de tecnología nacional, por la responsabilidad solidaria, legalmente aplicable a la LGPD.

Haciendo un ejercicio de imaginación, un gran minorista de comercio electrónico nacional sufre una invasión de ciberdelincuentes y se filtran datos personales de diez mil de sus clientes. Como manda la Ley, la empresa se comunica de inmediato con ANPD – Agencia Nacional de Protección de Datos, así como notifica a todos los involucrados, aconsejándoles que cambien sus contraseñas y eventualmente cancelen sus tarjetas de crédito.

A pesar de tomar las medidas como dice la LGPD, confirmar que ninguno de sus clientes resultó perjudicado, ANPD no obstante multa a la empresa de comercio electrónico en 50 millones de reales. Para defenderse, el comercio electrónico contrata a una de las consultoras más importantes del país, que identifica que el incidente ocurrió porque hubo un problema con la actualización del software ERP, proporcionado por una mediana empresa brasileña de tecnología.

Esta empresa, a su vez, se ve obligada a contratar otra consultoría de alto nivel para defenderse, lo que confirma que la filtración se produjo por una vulnerabilidad en el software ERP, pero que no se actualizó adecuadamente con la última versión, que había resolvió esta vulnerabilidad. El responsable del mantenimiento del software en la empresa de comercio electrónico es una pequeña empresa consultora, debidamente certificada por el fabricante, y que sería responsable de la falta de actualización.

En la fritura de huevos, todos los involucrados son chamuscados, además del daño severo a la imagen de las marcas, el comerciante es multado con R $ 50 millones por violar la LGPD. Exige compensación a la empresa de TI porque la filtración se produjo por una vulnerabilidad de su software, que a su vez, culpa a la consultora, cancela la autorización para brindar servicios en su software y que evidentemente termina por no tener los recursos para pagar la multa y termina declarando en quiebra.

Este es un ejercicio de futurología que sin duda se hará realidad, pero no sabemos cuándo. No tengo ninguna duda sobre esto y, por el bien de nuestra creciente e importante industria de software, estos impactos deberían ser abordados, para no hacer imposible la vida de las MPMEs con tecnología en Brasil.

Mirando lo que sucede en Europa, el volumen de multas impuestas allí, con el Reglamento General de Protección de Datos (GDPR), es multimillonario y puede ser seguido por el sitio web Enforcement Tracker. Las mayores sanciones económicas se produjeron en Inglaterra y Francia. Según el Comisionado de Información (ICO), en julio de 2019, British Airways fue multada con 204 millones de euros por sus parámetros técnicos y organizativos insuficientes para garantizar la seguridad de la información (Art. 32 GDPR). En el mismo mes, Marriott International, Inc. tuvo que pagar 110 millones de euros por el mismo motivo.

La Autoridad Francesa de Protección de Datos (CNIL) multó a Google, a principios de 2019, con 50 millones de euros. El motivo fue el incumplimiento de los artículos 13, 14 y 6 de la GDPR: consideró que su base legal era insuficiente para el tratamiento de los datos privados de sus usuarios.

Este año, las mayores multas se impusieron a Google, TIM, Austrian Post, Wind Ter y Deutsch Wohnen.

Y los datos sobre vulnerabilidades no son favorables. Un estudio de Barracuda Networks, identificó que el 46% de las organizaciones sufrieron recientemente algún tipo de incidente de seguridad, y el 51% identificó un aumento en la cantidad de phishing, trampas, enviadas por correo electrónico, cuyo objetivo es el robo de datos personales.

Lo peor de todo es que muchas de estas lagunas ocurren dentro de la propia empresa. Según el Global Data Risk Report, elaborado por Varonis, en promedio, todos los empleados de las 785 organizaciones de diferentes segmentos y tamaños analizados por el estudio, tenían acceso a 17 millones de archivos y 1,21 millones de carpetas. El 53% de las empresas encontró más de 1000 archivos confidenciales accesibles para todos los empleados. En promedio, estas empresas encontraron más de medio millón (534,465) archivos confidenciales que contenían información de tarjetas de crédito, registros médicos o información personal sujeta a regulaciones como GDPR, HIPAA y PCI. Los archivos y carpetas expuestos son accesibles para todos los empleados y posiblemente los delincuentes.

El registro desactualizado es otro problema: el 53% de los datos de los empleados de estas empresas estaban desactualizados y el 58% de ellos encontró más de mil cuentas de empleados desactualizadas. Estas cuentas, que podrían acceder a archivos importantes, también se conocen como "usuarios fantasmas" porque son cuentas habilitadas., que parecen inactivos y que suelen pertenecer a ex empleados, que ya no están en la organización.

Con tantas vulnerabilidades y tantas sanciones, la pregunta que nos hacemos es, después de todo, ¿quién pagará el pato?

Sobre CLM

CLM es un distribuidor latinoamericano de valor agregado enfocado en seguridad de la información, protección de datos, infraestructura para centros de datos y la nube. La empresa distribuye soluciones de fabricantes líderes como A10 Networks, Allot, AppGate, Arista, Awingu, Barracuda Networks, Bitglass, Hillstone Networks, Kemp Technologies, Lenovo, Nutanix, Picus Security, Proofpoint, Pure Storage, Radware, SentinelOne, Varonis y Thales. Con sede en São Paulo, la empresa tiene filiales en Estados Unidos, Colombia, Ecuador y Perú. Con una extensa red de VARs en Latinoamérica y una gran experiencia en el mercado, CLM busca constantemente soluciones innovadoras y disruptivas para brindar cada vez más valor a sus canales y sus clientes. www.CLMX.soluciones

Dejar respuesta

Please enter your comment!
Please enter your name here