Hace un año, la archiconocida compañía Uber sufrió un agujero de seguridad que permitió a una serie de ciberdelincuentes hacerse con información de 57 millones de clientes. Para ello utilizaron las claves de acceso dejadas por error en el código fuente de una aplicación. Si no se ha sabido antes, es porque Uber pagó 100.000 dólares por el silencio de los ciberdelincuentes.
De acuerdo con la legislación española, los autores habrían cometido un delito de hacking regulado en el artículo 197 del Código Penal (acceso indebido y robo de información) y otro de extorsión del artículo 243 del mismo código. Pero cabría hacerse la siguiente pregunta: ¿Qué responsabilidad tendría Uber si fuera aplicable el Reglamento Europeo de Protección de datos (RGPD)?
Uber como responsable del tratamiento tendría la obligación de garantizar que ella misma o su encargado de tratamiento aplican las medidas necesarias para garantizar la seguridad de los datos en función de riesgo que se haya calculado, en concreto, deberá incluir, de conformidad al artículo 32 de RGPD, medidas tales como: seudonimización y cifrado, disponibilidad y acceso rápido a los datos en caso de incidente, o un proceso de verificación y evaluación continua de las medidas aplicadas (técnicas y de organización).
En el momento en que se produjera una vulneración o riesgo, Uber debería informar a la autoridad de control (En España, la Agencia Española de Protección de Datos o a nivel autonómico la Agencia Catalana o Vasca) la incidencia en un plazo no superior a 72 horas. Adicionalmente debería informar sin dilación al titular de los datos personales afectados, salvo que se hayan adoptado las medidas necesarias para evitar el daño, no exista probabilidad de producirse un alto riesgo o fuera necesario un esfuerzo desproporcionado por parte del atacante para producir el daño. (artículos 33 y 34 RGPD).
En cuanto a la sanción a aplicar, podría llegar hasta los 20 millones de euros o un 4% de su facturación global anual, por no haber implantado todas las medidas necesarias para asegurar los datos personales frente a cualquier amenaza o riesgo, atentando así contra uno de los principios básicos del Reglamento.
En conclusión, el RGPD establece que el responsable lo será siempre de los daños que sufran los datos que personales que ha recabado (obligación de resultado), por lo que una adecuada gestión del riesgo se revela como la mejor forma de intentar reducir al mínimo la probabilidad de producirse un daño o perjuicio.