En la semana del 24 de septiembre, Facebook anunció la mayor quiebra de seguridad de datos personales que ha tenido en su historia. Dicha quiebra de seguridad afectó a la información personal de mas de 50 millones de usuarios.

Los atacantes sustrajeron “access tokens”, un tipo de clave de seguridad que permite al usuario permanecer conectado a Facebook tras cerrar y abrir de nuevo el navegador, sin ser necesario introducir la contraseña de nuevo.

La posesión de estos “access tokens” permite al atacante obtener control de la cuenta de Facebook del usuario. Asimismo, el atacante también puede acceder a aplicaciones de terceros que permiten acceso a través de la cuenta de Facebook.

La sede europea de Facebook se encuentra en Irlanda. Es por ello que la Comisión Irlandesa de Protección de Datos (“Irish Data Protection Commission”) abrió el 3 de octubre una investigación formal contra la empresa, por motivo de esta quiebra de seguridad de datos personales.

Dicha investigación valorará posibles infracciones del RGPD por parte de Facebook. Mas concretamente, si se tomaron las medidas de seguridad apropiadas para salvaguardar los datos personales que procesa Facebook.

El RGPD recoge esta obligación en su artículo 32, el cual dice:

 
Artículo 32.1 del RGPD – Seguridad del tratamiento:

“Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo…”

 
Según el artículo 83.4 del RGPD, la infracción de dicha obligación se sancionará con:

“…multas administrativas de 10 000 000 EUR como máximo o, tratándose de una empresa, de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía.”

El volumen de negocio total global del ejercicio financiero de 2017 de Facebook ascendió a un total de US$ 40.653.000.000. El 2% de esta cuantía ascendería a US$ 813.060.000.

A esta situación hay que añadir que la Agencia Española de Protección de Datos (“AEPD”) ha anunciado que colaborará en la investigación de la Irish Data Protection Commission con el fin de proteger los derechos de los ciudadanos españoles afectados.

El tiempo dirá si Facebook se convertirá en uno de los primeros ejemplos de multa astronómica por infracción del RGPD.

______

Gonzalo Sanchez-Jara Garralda, autor de este post es socio fundador de Anti-Bribery and Corruption Compliance S.L. (“abc Compliance”), que se dedica a la formación digital de empleados en materia de compliance penal y protección de datos personales a través de su plataforma online.

Para más información sobre abc Compliance, pulse aquí.