40.000 € de multa para Hertz France por filtrar 35.000 datos

El pasado 27 de julio, la Comisión Nacional de Informática y Libertades francesa (CNIL) multó con 40.000 euros a la compañía de alquiler de coches Hertz France por sufrir una fuga de, aproximadamente, 35.000 datos personales de sus clientes.

El incidente tuvo lugar el pasado 15 de octubre de 2016 cuando la CNIL fue informada de la existencia de un fallo de seguridad en la web francesa del grupo Hertz, que comprometía la información personal de sus usuarios.

El fallo procedía de un error en la programación de su página web, diseñada por una empresa externa. La CNIL consideró que la compañía de coches tenía que haber supervisado más y mejor a su proveedor, ya que en ese momento Hertz France actuaba como procesador de datos.

Sin embargo, se mostró benévola con la multa ya que la organización actuó rápido y resolvió el problema adecuadamente. Hertz France cooperó en todo momento con la CNIL y tuvo la iniciativa de realizar una auditoría de datos a su proveedor para comprobar su Sistema de Gestión de Seguridad de la Información (SGSI).

Algo está cambiando

Es la primera vez que la CNIL impone una sanción desde la modificación de la ley de protección de datos en Francia. Mediante esta enmienda, promulgada el 7 de octubre de 2016, la República digital francesa (The French Digital Republic Act por sus siglas en inglés) otorgó mayor poder a la Comisión Nacional de Informática y Libertades para reforzar el cumplimiento del RGPD. Antes de este cambio, probablemente la CNIL hubiese emitido una advertencia en lugar de una multa.

Gabriel Voisin, especialista en protección de datos del bufete de abogados Bird & Bird en Londres, comentó para Bloomberg BNA que este hecho es “una señal de que las organizaciones están implementando las medidas de seguridad correspondientes para proteger los datos personales de los usuarios”.

Y es que, el Reglamento requerirá la aplicación de nuevas medidas estructurales y administrativas dentro de una empresa, que le permitirán adecuarse a los requisitos de la normativa europea.

Ignorar o no cumplir el RGPD puede conllevar sanciones de hasta 20 millones de euros o un 4% de los ingresos globales anuales de la empresa, lo que sea mayor.

Desde IT Governance recomendamos preparar el cumplimiento del Reglamento General de Protección de Datos –desde ya– con estas dos lecturas:

Libro verde RGPD gratuito para familiarizarte con la nueva norma.
Guía de bolsillo para entender las nuevas obligaciones del Reglamento.

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.