BLOG

Esto es el subtítulo de la página

El fallo de seguridad de Google + que hace que los datos de medio millón de usuarios queden al descubierto

Hace escasos días, el mundo entero se hacía eco de una noticia relativa a Google y al futuro cierre para los usuarios, no así para las empresas, de su conocida, aunque poco exitosa, red social Google +.

El Gigante de Internet achacó como motivo principal del cierre, la poca interacción de sus usuarios, pese a sus ya 7 años de trayectoria, siendo solamente el 10% de los mismos los que realmente llegaban a hacer auténtico uso de ella.

Este motivo, no exento de importancia, unido a la reciente noticia de un fallo de seguridad en una de sus interfaces de programación de aplicaciones (las llamadas API), han sido el detonante para la decisión definitiva del cierre de la red social en agosto del próximo año.

Este fallo de seguridad permitió que 438 aplicaciones tuvieran acceso durante 3 años a todos los datos de carácter personal de cerca de medio millón de usuarios de la red social. Entre tales datos que quedaron al descubierto, se encontraban: el nombre y apellidos del usuario, su fecha de nacimiento, sexo, relación sentimental, lugares donde la persona ha residido, dirección de correo electrónico, habilidades…

El error fue detectado en el pasado mes de marzo, pero, dada la relevancia de las sanciones y procedimientos a seguir que establece el actual marco normativo en materia de protección de datos, liderado por el Reglamento Europeo de Protección de Datos (en adelante, RGPD) a continuación voy a proceder a explicar cuáles hubieran sido las consecuencias si dicho suceso se hubiera producido a partir del 25 de mayo del presente año, cuando el RGPD empezó a desplegar sus plenos efectos.

Antes de proceder al propio análisis, en primer lugar, se debe determinar si este incidente se corresponde o no con una violación de la seguridad de los datos, término que contempla y desarrolla el RGPD

El artículo 4.12 del RGPD define la violación de la seguridad de los datos como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos

Tal y como determina el Grupo de Trabajo del artículo 29 (en adelante, GT29) en sus Directrices para la notificación de violación de datos personales con arreglo al RGPD, no debemos confundir el concepto de “incidente de seguridad”, con “violación de datos de carácter personal”, puesto que mientras todas las violaciones de datos personales son incidentes de seguridad, no todos los incidentes de seguridad son necesariamente una violación de datos personales.

  • Tal y como establece el RGPD, todo dato que identifique o pueda identificar a una persona será considerado como dato de carácter personal, por lo que concluimos que todos los datos expuestos por la red social Google +, se trataban de datos personales de sus usuarios.Para ser más concretos con el caso que nos ocupa, la Opinión 03/2014 del GT29 relativa a la notificación de violación de datos personales diferencia 3 tipos de violaciones de datos personales que se pueden clasificar de acuerdo a tres principios de información de seguridad:
    • Violar la confidencialidad”, cuando se produce una divulgación no autorizada o de manera accidental, o bien un acceso a datos de carácter personal.
    • “Violación de la disponibilidad”, cuando se produce una pérdida accidental o no autorizada de acceso, o bien una destrucción de los datos de carácter personal.
    • “Violación de la integridad”, cuando se produce una alteración de los datos personales que no se encuentra autorizada o se produce de manera accidental.
    Con todo, podemos determinar que la brecha de seguridad de la red social Google + se corresponde con una violación de la confidencialidad de sus usuarios, ante la cual, la empresa asume directamente la figura de responsable del tratamiento de los datos.Ahora lo que debemos preguntarnos es, ¿cómo debió haber actuado Google ante tal violación de la confidencialidad de los datos de sus usuarios?El RGPD contempla en el considerando 85 el supuesto de que se produzca una violación de la seguridad de los datos personales siempre y cuando no se tomen a tiempo las medidas adecuadas. Asimismo, establece que tan pronto como el responsable tenga conocimiento de la violación de seguridad, debe, en un plazo máximo de 72 horas después de tener constancia de la misma, notificar dicha violación a la autoridad de control competente, salvo en el caso que demuestre, y siempre de manera motivada, que tales actuaciones no entrañan un riesgo para los derechos y libertades de las personas físicas.Google, a su vez, expone en el comunicado oficial que no encontraron pruebas de que ningún desarrollador fuera consciente del error o que se hubiera abusado del mismo, así como no encontraron ninguna prueba de que las informaciones de los perfiles de los usuarios se hubieran utilizado de manera ilícita. Además, consideran que entre los datos a los que los desarrolladores pudieron acceder no se encontraban datos de carácter más sensibles, como pudieran ser los mensajes, números de teléfono o cuentas bancarias.Además, otra de las exigencias que el RGPD exige a los responsables del tratamiento cuando se producen estas violaciones de datos personales es la comunicación a los interesados. Estas comunicaciones deben describir: la naturaleza de la violación de seguridad, la fecha y hora en la que se detecta y en la que se produce el incidente y su duración, resumen del incidente, posibles consecuencias a los afectados, medidas que el responsable haya adoptado, categoría de los datos afectados y el número de individuos afectados.El artículo 83.4 del RGPD establece que cuando se produzca una infracción de la obligación de comunicación de la violación de los datos de carácter personal, la sanción podría ascender, como máximo, a una cuantía equivalente al 2% de los ingresos anuales globales de la entidad.Tras toda la polémica surgida con la filtración de datos en Facebook y la empresa Cambridge Analytica, unido a que la empresa no reconocía que se hubiera expuesto información relevante ni de carácter sensible de sus usuarios, Google optó por el silencio.Aún es pronto para saber cuál será el desenlace de este controvertido asunto.