Facebook no gana para disgustos. Cuando todavía nos estábamos recuperando del escándalo Cambridge Analytica, por el que el presidente y fundador de Facebook, Mark Zuckerberg, tuvo que declarar en una comisión Especial del Senado de Estados Unidos y ante el Parlamento Europeo, para pedir disculpas públicamente al mundo entero, en lo que constituía un precedente en la política de comunicación de la empresa, que siempre se ha mostrado displicente a reconocer fallos propios. Ahora nos vienen con que unos hackers accedieron a datos de más de 29 millones de usuarios de las cuentas de Facebook.

Una brecha de seguridad descubierta en septiembre permitió conocer a hackers informáticos el nombre y contactos personales de 15 millones de usuarios, su cuenta de correo electrónico y el teléfono de aquellos que lo hubieron incluido, así como datos adicionales de otros 14 millones.

Tal es el punto de descontrol de la mayor red social del mundo que, la Organización de Consumidores y Usuarios (OCU), en representación de más de 20 millones de usuarios, ha decidido presentar una demanda colectiva contra Facebook acusándole de infringir la Ley de competencia desleal y la normativa reguladora de la Protección de Datos, reclamando una indemnización de 20 euros para cada uno de ellos. Veremos en qué termina esta demanda.

El caso de Google +

También hemos conocido por el diario digital Vozpópuli, en su edición del pasado 8 de octubre, que Alphabet, la matriz de Google, tuvo que cerrar Google Plus, su red social, después de que los datos de 500.000 usuarios quedaran afectados por un error de programación. Resulta alarmante saber que el equipo legal de Google recomendó no comunicar el fallo de seguridad para evitar “el interés regulatorio inmediato” (sic).

No sé qué opinión les merecerá a las autoridades regulatorias europeas estas noticias, y en particular, a la Agencia Española de Protección de Datos, pero el nuevo Reglamento europeo de Protección de Datos (RGPD), que entró en vigor en el pasado 25 de mayo, requiere una comunicación inmediata de las brechas de seguridad, en concreto dice, “sin dilación indebida y, de ser posible, a más tardar a las 72 horas después de que haya tenido constancia de ella”.

De este modo, el RGPD requiere tanto de los Responsables de los tratamientos como de los Encargados, una actitud diligente cuando la brecha de seguridad constituya un riesgo para los derechos y libertades de las personas físicas.

Esta notificación que debe hacerse a las autoridades de control debe incluir, entre otras, una descripción de la naturaleza de la violación de la seguridad de los datos personales, así como las posibles consecuencias de la violación, las medidas adoptadas o propuestas por el Responsable del tratamiento para poder remedio a la violación de la seguridad de los datos, incluyendo las medidas adoptadas para mitigar los posibles efectos negativos.

Además, el RGPD ordena que cuando la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida, siempre en un lenguaje claro y sencillo. Esta comunicación no será necesaria si se han adoptado medidas de protección técnicas y organizativas apropiadas, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona no autorizada, como el cifrado de datos. También se le dispensa de esta notificación individualizada a los interesados cuando suponga un esfuerzo desproporcionado, en cuyo caso puede optar por una comunicación pública en los medios de comunicación.

El papel de la Agencia Española de Protección de Datos

Ello no evita que las personas afectadas puedan presentar una reclamación ante la autoridad de control, en el caso de España, la Agencia Española de Protección de Datos, que puede abrir expediente sancionador a raíz de la denuncia contra el responsable de la brecha de seguridad, o de oficio, si considera que debe actuar por sus propios medios y sin necesidad que exista denuncia previa, cuando la violación de la seguridad haya causado una afectación masiva y grave a los derechos y libertades de las personas físicas.

Desde la firma AVERUM Abogados, ponemos a su disposición un equipo cualificado para solventar las crisis derivadas de las brechas de seguridad, actuando de forma inmediata y profesional.