La Oficina del Comisionado de Información necesita mayores poderes para lidiar con la verdadera escala de violaciones de datos, muestra una investigación

Las infracciones de la Ley de Protección de Datos informadas a la Oficina del Comisionado de Información son solo una pequeña fracción del número real de incidentes de este tipo que ocurren en el Reino Unido, según una serie de solicitudes de Libertad de Información del especialista en seguridad y comunicaciones ViaSat UK. Si bien se informaron 1.089 infracciones a la ICO entre marzo de 2014 y marzo de 2015 (1), las fuerzas policiales de todo el Reino Unido informaron al menos 13.000 robos (2) de dispositivos que podrían contener datos confidenciales de empresas; lo que significa que hay miles de incidentes potenciales que no se denuncian. Dado que la actual Ley de Protección de Datos no contiene ninguna obligación legal de reportar infracciones y no incluye requisitos de seguridad específicos, no hay forma de saber si alguno de estos robos pone en riesgo los datos sensibles de la población.
“Debemos recordar que 13.000 robos es el mínimo: considerando que no todas las fuerzas policiales podrían compartir esta información, es probable que la cifra real sea muchas veces mayor. Como resultado, los datos privados de miles de personas bien podrían estar en tiempo prestado ”, dijo Chris McIntosh, director ejecutivo de ViaSat UK. “Está claro que esta discrepancia no se debe al ICO, sino al marco en el que tiene que operar. Tal como está, el ICO simplemente no tiene las herramientas y los poderes que necesita para garantizar que se informen todas las amenazas o que el riesgo se minimiza. Por ejemplo, el cifrado de datos confidenciales es ahora un asunto trivial en términos de costo y complejidad. Si el cifrado de datos personales se hiciera obligatorio y se hiciera cumplir con controles al azar y castigos adecuados, entonces el público y la ICO podrían tener mucha más confianza en que ninguno de los más de 13,000 dispositivos robados representa una amenaza «.
La gran mayoría de las infracciones denunciadas al ICO procedían del sector sanitario, responsable de 431 en total; el siguiente más alto fue el gobierno local, con 129. De hecho, entre ellos, estos dos sectores, que en su mayoría representan organizaciones del sector público, representaron el 51% de todas las infracciones notificadas (3) y el mayor número de compromisos ejecutados por el ICO (4). Con otras organizaciones principalmente del sector público, como la educación y la aplicación de la ley, que representan un número significativo de infracciones reportadas, las estadísticas sugieren que el sector privado aún no informa en gran medida la cantidad de infracciones potenciales que encuentra.
Chris McIntosh continuó: “El papel de la ICO es fomentar las mejores prácticas en la protección de datos. Si bien está claro que sus sanciones financieras están dirigidas a este objetivo, todavía necesita más fuerza legal y financiera para impulsar sus objetivos. Si bien la notificación obligatoria de cada posible incumplimiento podría ser difícil de hacer cumplir, inevitablemente le daría a la ICO una visión más clara del problema y le permitiría imponer mejor las mejores prácticas. Sin embargo, mientras tanto, el cifrado obligatorio y el poder de vigilarlo es el mínimo absoluto que se le debe otorgar a la ICO ”.