El pasado 21 de noviembre, Uber reveló que unos piratas informáticos habían robado alrededor de 57 millones de cuentas de sus usuarios, tanto conductores como pasajeros en octubre de 2016. Una vez producida la brecha, la compañía intentó ocultar la misma, accediendo al pago de $100.000 dólares a los piratas informáticos para que éstos borrasen su copia de los datos. Tras esto, Uber decidió rastrear a éstos y obligarles a firmar un acuerdo de confidencialidad.
Tras inundarse los medios de comunicación con esta noticia, nos preguntamos si el comportamiento de Uber hubiera sido correcto de resultar de aplicación el nuevo Reglamento Europeo de Protección de Datos (en adelante, “RGPD”).
¿Qué establece el RGPD con respecto a las brechas de seguridad?
En primer lugar, el responsable del tratamiento o, en su caso, el encargado del tratamiento, deberían haberse asegurado de implantar las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos, ya no solo ante tratamientos ilícitos o no autorizados, sino ante pérdidas o daños accidentales.
Tal y como recogíamos en este artículo, según el artículo 33 del RGPD, una brecha de seguridad es “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos” y, en caso de producirse, esta deberá ser notificada a la autoridad de control competente, a más tardar, en el plazo de setenta y dos (72) horas desde que se hubiera tenido constancia de ella a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Puedes saber más sobre las medidas de seguridad según el RGPD aquí.
¿Debería Uber comunicar a la autoridad de control competente la violación de seguridad?
En el caso de Uber, parece ser que los datos a los que los piratas informáticos tuvieron acceso se encontraban limitados a nombres y apellidos de clientes y conductores, así como sus números de teléfono y direcciones de correo electrónico.
Según el dictamen 03/2014 del Grupo de Trabajo del art. 29 sobre brechas de seguridad, este tipo de brecha debería categorizarse como una violación de la confidencialidad ya que se trata de un acceso no autorizado a los datos de carácter personal.
No obstante, cabe examinar si dicha violación de la confidencialidad constituye un riesgo para los derechos y las libertades de las personas físicas. El legislador europeo, indica en el considerando 85 del RGPD una serie de supuestos en los que las violaciones de seguridad constituyen un riesgo para los derechos y libertades de las personas físicas:
“(…) las violaciones de la seguridad de los datos personales pueden entrañar daños y perjuicios físicos, materiales o inmateriales para las personas físicas, como pérdida de control sobre sus datos personales o restricción de sus derechos, discriminación, usurpación de identidad, pérdidas financieras, reversión no autorizada de la seudonimización, daño para la reputación, pérdida de confidencialidad de datos sujetos al secreto profesional, o cualquier otro perjuicio económico o social significativo para la persona física en cuestión”
En este caso, parece ser que la información accedida por los piratas informáticos no se encontraba cifrada, por lo que debemos apreciar un riesgo para los derechos digitales y libertades de las personas físicas.
Por tanto, de haberse producido la violación de seguridad tras el 25 de mayo de 2018, Uber debería haber comunicado dicha brecha a la autoridad de control competente, con los requisitos que apuntamos en nuestro artículo “Nueva obligación de notificar las brechas de seguridad en 72 horas a la Agencia Española de Protección de Datos (AEPD)” durante las 72 horas siguientes a su conocimiento.
¿Y si no se notifica la violación de seguridad?
Como hemos comentado, parece ser que Uber tuvo conocimiento de la brecha de seguridad el pasado mes de octubre de 2016. Si en dicha fecha hubiera sido de aplicación el RGPD, el no haber notificado dicha brecha de seguridad a la autoridad de control competente, pondría en marcha los mecanismos de ésta para tomar las acciones correctivas pertinentes, lo que incluye sanciones económicas por valor de 10 millones de euros o hasta el 2% del volumen de negocio total global de Uber, la que resulte de mayor cuantía.
Por último, conviene tener en cuenta que, si se hubiera demostrado que la violación de seguridad se produjo por no tener implantadas las medidas necesarias para salvaguardar la información, podría ser sancionado tanto por la brecha de seguridad como por no tener las medidas técnicas y organizativas adecuadas, lo que daría lugar a dos sanciones distintas.
Comentarios
No hay comentarios