PwC ofrecía servicios de ciberseguridad y terminó recibiendo una multa de 170 mil dólares por privacidad de datos

La entidad reguladora en materia de protección de datos en Grecia ha informado que la importante consultora PriceWaterhouseCoopers (PwC) recibirá una multa de 150 mil euros por violaciones al artículo 83 del Reglamento General de Protección de Datos de la Unión Europea (GDPR), reportan especialistas en protección de datos. Las autoridades en protección de datos en Grecia también impusieron algunas medidas correctivas que deberán ser implementadas por la compañía para cumplir con la ley de datos europea.

En la legislación de datos de la comunidad europea se establecen las bases normativas a las que cualquier organización que opere con datos personales deberá someterse para controlar esta información. Si bien el consentimiento de los sujetos de datos es una de estas bases, no es la única, por lo que la forma de controlar los datos personales de PwC fue inapropiada, según el juicio de la autoridad de protección de datos griega.

La compañía procesó esta información en el cuso de sus actividades comerciales sin que los empleados fueran informados al respecto. Las autoridades determinaron que esta forma de trabajar con la información personal viola los principios de equidad y transparencia establecidos en el GDPR.

La compañía también falló en la rendición de cuentas, pues no demostró el adecuado cumplimiento con el GDPR y transfirió la carga a los sujetos de datos, un procedimiento inadecuado según lo establecido en la reglamentación, mencionan especialistas en protección de datos. Por lo tanto, la compañía griega fue multada y ahora cuenta con un plazo de tres meses para cumplir con las imposiciones establecidas por las autoridades.

Esta es la primera ocasión en la que una de las 4 grandes consultoras en el mundo recibe una multa por incumplimiento con el GDPR. Lo irónico de este asunto es que PcW es una de las compañías que más trabajo tuvieron hace un par de años asesorando a múltiples empresas para cumplir con la legislación de datos europea. “Es realmente sorprendente que esta compañía esté generando tantos ingresos por servicios relacionados con el cumplimiento del GDPR y ahora resulte que ha violado un artículo de esta legislación”, mencionaron los expertos en protección de datos.

Esta es una muestra de que cualquier compañía que controle datos personales podría caer en incumplimiento con GDPR, sin importar si son pequeñas compañías o grandes empresas. Otro caso muy conocido es el de Google, aunque en este caso la multa fue mucho mayor, pues alcanzó los 5 mil millones de dólares. En el caso de PwC, el regulador de datos en Grecia afirmó que: “se ha establecido esa cantidad como una sanción efectiva, proporcionada y como método de disuasión”, en otras palabras, no se ha recurrido a lo estrictamente establecido en la reglamentación de datos europea. 

No obstante, esto no quiere decir que esta decisión sea un hecho irrelevante; acorde a especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS), esta multa podría desencadenar una serie de medidas similares, pues son muchas las compañías que contrataron la asesoría de PwC para cumplir con el reglamento de datos europeo; una mala práctica de seguridad informática en PwC podría replicarse en muchas otras empresas, incrementando este problema de incumplimiento.

Para fortuna de la compañía, su reputación en el campo de la seguridad de datos no ha sufrido un daño irreversible; los directivos de PwC aún pueden demostrar a las autoridades reguladoras de datos que son capaces de implementar las medidas recomendadas por el gobierno griego, por lo que más que un gran fiasco, esta es una gran oportunidad de aprender.