Hace escasos días, el mundo entero se hacía eco de una noticia relativa a Google y al futuro cierre para los usuarios, no así para las empresas, de su conocida, aunque poco exitosa, red social Google +.
El Gigante de Internet achacó como motivo principal del cierre, la poca interacción de sus usuarios, pese a sus ya 7 años de trayectoria, siendo solamente el 10% de los mismos los que realmente llegaban a hacer auténtico uso de ella.
Este motivo, no exento de importancia, unido a la reciente noticia de un fallo de seguridad en una de sus interfaces de programación de aplicaciones (las llamadas API), han sido el detonante para la decisión definitiva del cierre de la red social en agosto del próximo año.
Este fallo de seguridad permitió que 438 aplicaciones tuvieran acceso durante 3 años a todos los datos de carácter personal de cerca de medio millón de usuarios de la red social. Entre tales datos que quedaron al descubierto, se encontraban: el nombre y apellidos del usuario, su fecha de nacimiento, sexo, relación sentimental, lugares donde la persona ha residido, dirección de correo electrónico, habilidades…
El error fue detectado en el pasado mes de marzo, pero, dada la relevancia de las sanciones y procedimientos a seguir que establece el actual marco normativo en materia de protección de datos, liderado por el Reglamento Europeo de Protección de Datos (en adelante, RGPD) a continuación voy a proceder a explicar cuáles hubieran sido las consecuencias si dicho suceso se hubiera producido a partir del 25 de mayo del presente año, cuando el RGPD empezó a desplegar sus plenos efectos.
Antes de proceder al propio análisis, en primer lugar, se debe determinar si este incidente se corresponde o no con una violación de la seguridad de los datos, término que contempla y desarrolla el RGPD
El artículo 4.12 del RGPD define la violación de la seguridad de los datos como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”
Tal y como determina el Grupo de Trabajo del artículo 29 (en adelante, GT29) en sus Directrices para la notificación de violación de datos personales con arreglo al RGPD, no debemos confundir el concepto de “incidente de seguridad”, con “violación de datos de carácter personal”, puesto que mientras todas las violaciones de datos personales son incidentes de seguridad, no todos los incidentes de seguridad son necesariamente una violación de datos personales.
- Tal y como establece el RGPD, todo dato que identifique o pueda identificar a una persona será considerado como dato de carácter personal, por lo que concluimos que todos los datos expuestos por la red social Google +, se trataban de datos personales de sus usuarios.Para ser más concretos con el caso que nos ocupa, la Opinión 03/2014 del GT29 relativa a la notificación de violación de datos personales diferencia 3 tipos de violaciones de datos personales que se pueden clasificar de acuerdo a tres principios de información de seguridad:
- “Violar la confidencialidad”, cuando se produce una divulgación no autorizada o de manera accidental, o bien un acceso a datos de carácter personal.
- “Violación de la disponibilidad”, cuando se produce una pérdida accidental o no autorizada de acceso, o bien una destrucción de los datos de carácter personal.
- “Violación de la integridad”, cuando se produce una alteración de los datos personales que no se encuentra autorizada o se produce de manera accidental.