Como hemos mencionado en otras ocasiones, las sanciones por incumplir el nuevo Reglamento General de Protección de Datos son cuantiosas, ya que puede ser de hasta 20 millones de dólares o suponer el 4% de la facturación global de la compañía.

Aunque el RGPD entró en vigor hace casi tres meses, lo cierto es que muchas empresas todavía no se han adaptado a él, tanto en Europa como en España.

Solo el 20% de las organizaciones cumple con el reglamento

Un gran número de empresas no se ha adaptado todavía al reglamento, ya que muchas de ellas todavía están implantando las medidas para adaptarse y algunas ni siquiera ha iniciado los trámites para poder cumplir con él.

Los ciberdelincuentes han aprovechado esta oportunidad para lucrarse

Detectan a las compañías infractoras y las chantajean a cambio de no desvelar que incumplen el reglamento. Así, exigen grandes cantidades de dinero que no serían tan altas como si les sancionaran.

Es decir, la extorsión se ha convertido en un nuevo negocio para los ciberdelincuentes porque se lucran más con menos esfuerzo. Según una encuesta realizada por Logicalis, casi el 80% de los responsables de Información creen que el chantaje y el secuestro de sistemas son los peores riesgos a los que se pueden enfrentar hoy en día las compañías.

Para realizar este delito, los delincuentes se introducen en la seguridad de la organización a través de una brecha. Así, roban datos para demostrar la vulnerabilidad de la empresa y amenazan con dar esta información a las autoridades o subir dichos datos a Internet para que cualquiera pueda tener acceso a dichos datos.

Las pymes son el principal objetivo de los ciberdelincuentes

Las grandes organizaciones pasan más desapercibidas para los atacantes, quienes se centran en pymes, que tendrán que pagar una suma a través de criptomonedas si no quieren que se les imponga una millonaria sanción.

Este chantaje implica un doble incumplimiento del reglamento por parte de las empresas porque el RGPD obliga a comunicar a las autoridades cualquier brecha de seguridad en los que se vean comprometidos datos personales en un plazo máximo de 72 horas. Pero, cómo se va a comunicar esta brecha si implica reconocer que no se cumple el RGPD.

Las empresas no sólo pueden ser sancionadas por incumplir el reglamento, sino que a esto podría sumarse una demanda colectiva de los usuarios afectados con indemnizaciones millonarias porque el RGPD contempla el derecho a compensación económica si los datos de una persona están comprometidos.