Primer caso de resolución de conflictos entre las agencias europeas a través del Comité Europeo de Protección de Datos: Multa de 450.000 euros a Twitter en Irlanda por infracción del RGPD

El pasado 15 de diciembre la Agencia de Protección de Datos Irlandesa (“DPA Irlandesa” o “Autoridad de Control Principal”) impuso a la empresa Twitter International Company ubicada en Irlanda (“Twitter Europa”) una multa de 450.000 euros. La multa es consecuencia de no comunicar a tiempo a la DPA Irlandesa una brecha de seguridad de datos personales y por no documentar debidamente dicha brecha de seguridad.

Dado que la brecha de seguridad afectó a miles de personas de distintos países europeos, la DPA Irlandesa, como autoridad de control principal, tuvo que coordinarse y cooperar con las autoridades de control interesadas de estos países. No obstante, durante el proceso surgieron desacuerdos en cuanto a las infracciones cometidas por Twitter Europa y la cuantía de la multa.

Esto dio lugar a la utilización por primera vez desde la entrada en vigor del RPGD del proceso de resolución de conflictos a través del Comité Europeo de Protección de Datos (“CEPD” o “EDPB”), establecido en el artículo 65 del RGPD.

En dicho proceso, el CEPD actuó como árbitro entre las propuestas de sanción de la Autoridad de Control Principal y el resto de las autoridades de control interesadas.

Tras el proceso, el CEPD publicó la Decisión 01/2020 el 9 de noviembre sobre el proyecto de resolución de la DPA Irlandesa por las infracciones del RGPD cometidas por Twitter (la “Decisión”). La Decisión fue vinculante.


Hechos:

El 29 de diciembre de 2018, un tercero comunicó a Twitter, Inc. ubicada en EEUU (“Twitter EEUU”) la existencia de un error en el código del sistema de Twitter que afectaba a los usuarios de Android.

Debido al error, si un usuario de Android cambiaba la dirección de email asociada a su cuenta de Twitter, los tweets protegidos, es decir, aquellos tweets cuyo acceso está permitido exclusivamente a los seguidores del usuario, pasarían a ser accesibles por cualquier otro usuario en Twitter.

El 3 de enero de 2019, el departamento legal de Twitter EEUU decidió que el error debía tratarse como una brecha de seguridad. No obstante, el error y la decisión de considerarlo una brecha de seguridad no fueron comunicados a Twitter Europa hasta el 7 de enero de 2019. El 8 de enero de 2019, Twitter Europa notificó a la DPA Irlandesa la brecha de seguridad de datos personales.

Según la comunicación de Twitter Europa a la DPA Irlandesa, entre el 5 de septiembre de 2017 y el 11 de enero de 2019, 88.726 personas en la UE se vieron afectadas por la brecha de seguridad.

La DPA Irlandesa inició el proceso de resolución de conflictos a través del CEPD el 19 August 2020.


Infracciones:

En la sanción, la DPA Irlandesa considera a Twitter EEUU el procesador de datos (el “Procesador”) y a Twitter Europa el controlador de datos (el “Controlador”).

Según la DPA Irlandesa, Twitter Europa debería haber sido consciente de la brecha de seguridad el 3 de enero de 2019, fecha en la que Twitter EEUU calificó internamente el incidente como brecha de seguridad.

Como consecuencia del retraso de la comunicación del incidente de Twitter EEUU a Twitter Europa, la comunicación del incidente a la DPA Irlandesa el 8 de enero de 2019 se realizó fuera del límite establecido en el artículo 33.1 del RGPD de 72 horas desde que se tuvo conocimiento de la brecha de seguridad.

La DPA Irlandesa explica que Twitter Europa como controlador de datos, debería haber tenido suficientes medidas implementadas para facilitar y asegurar la inmediata comunicación de una brecha de seguridad del Procesador al Controlador, siendo este último responsable de la supervisión de las operaciones de datos realizadas por su procesador de datos.

La DPA Irlandesa también concluye que Twitter Europa infringió el artículo 33.5 del RGPD al no documentar debidamente la brecha de seguridad y ofrecer esta información a la DPA Irlandesa durante su investigación.


Críticas del CEPD a la DPA Irlandesa:

El CEPD critica en su Decisión a la DPA Irlandesa por limitar el alcance de su investigación únicamente a las infracciones de los artículos 33.1 y 33.5, dado que esto limitó la habilidad de las otras autoridades de control de hacer alegaciones sobre otras posibles infracciones del RPGD al no contar con suficiente información tras la investigación.

El CEPD explica que “la Autoridad de Control Principal (La DPA Irlandesa en este caso) debe buscar consenso con las otras autoridades de control sobre el alcance de la investigación (es decir, los aspectos del procesamiento de datos bajo escrutinio) antes de iniciar el procedimiento formalmente”.

El CEPD también critica a la DPA Irlandesa por proponer inicialmente una cuantía de multa de entre 150.000 a 300.000 euros, una cuantía considerada “demasiado baja” por el CEPD, por lo que no cumpliría la finalidad de ser efectiva, disuasoria y proporcionada (artículo 83.1 del RGPD). Finalmente, la multa quedó fijada en 450.000 euros.


Conclusión:

Como decíamos al principio, estamos ante el primer caso que ha requerido el sistema de resolución de conflictos establecido en el RGPD a través del CEPD. Es también la primera multa a Twitter por infracción del RGPD.

La principal lección de la DPA Irlandesa es que, en el escenario de una brecha de seguridad por parte de un procesador de datos, el controlador de datos es el responsable si la comunicación de dicha brecha se realiza con retraso a la correspondiente autoridad de control.

Es por ello por lo que resulta necesario implementar en la empresa mecanismos para asegurar la inmediata comunicación del procesador al controlador de datos en caso de detectar una brecha de seguridad de datos personales.


Si deseas estar informado de las sanciones más relevantes por infracción del RGPD, tanto en España como en el resto de Europa, por favor no dudes en suscribirte a nuestro blog.

______

Gonzalo Sanchez-Jara Garralda, autor de este post, es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), empresa que facilita una plataforma digital que permite a las empresas gestionar, analizar y acreditar sus procesos de formación. Para más información sobre abc Compliance, pulse aquí.

Comentarios

Subscribe
Notify of
guest
0 Comentarios
Inline Feedbacks
View all comments
Ir al TOP
0
Would love your thoughts, please comment.x