Recientemente, han vuelto a salir a la luz las consecuencias de la filtración de datos sufrida por la aplicación Glovo, a pesar de haber ocurrido hace un año.
Como bien hemos adelantado, todo ello ocurrió el año pasado, accediendo un tercero a la base de datos de Glovo, a través de la interfaz de un panel de administración.
Este tercero consiguió recabar los datos de los repartidores, así como de los propios clientes.
Aun así, en su momento, la aplicación no dudó en actuar, tomando las medidas correspondientes como fue el bloqueo inmediato del acceso.
Asimismo, también aseguraron que los datos bancarios no se habían filtrado, todo ello consecuencia de que Glovo no guarda ni almacena dicha información, además de tener todas las contraseñas encriptadas.
Sin embargo, actualmente, las consecuencias han vuelto a cobrar importancia.
¿QUÉ HA PASADO CON LA FILTRACIÓN DE DATOS?
Pues bien, a pesar de que en su momento los datos se filtraron en internet, a día de hoy, un tercero los ha puesto en venta en la Dark Web.
En este caso, se trata de un archivo con datos de trabajadores, clientes y riders de Glovo, incluyendo aproximadamente 5.800.000 pedidos de clientes, 21.500 datos sobre empleados y 38.000 datos relativos a los riders.
De igual manera, no solo incluye nombres y apellidos, sino que también NIFs, fechas de nacimiento, números de teléfono, correos electrónicos e, incluso, datos bancarios, los cuales, en teoría y según la aplicación, no quedaban registrados.
Ante esto, Glovo ha asegurado que están tomando las medidas necesarias a fin de retirar estos datos, todo ello en colaboración con la Agencia Española de Protección de Datos, intentando evitar un impacto mayor.
¿QUÉ CONSECUENCIAS PUEDE TENER UNA FILTRACIÓN DE DATOS?
A pesar del gran revuelo causado, poco se habla de las consecuencias de las brechas de seguridad y las filtraciones de datos.
Por ello, y brevemente, vamos a comentar los aspectos más importantes a conocer con respecto a estas situaciones, debiendo destacar dos: la notificación y las sanciones.
Obligación de notificar
En primer lugar, cuando estamos ante brechas de seguridad comunicarlo a la autoridad competente, dentro de las 72 horas tras su conocimiento, es una obligación establecida por la normativa de protección de datos, concretamente en el Reglamento General de Protección de Datos.
Por tanto, y ante cualquier brecha de seguridad, deberemos comunicárselo no solo a los responsables correspondientes de la empresa y afectados, en su caso, sino también a la Agencia Española de Protección de Datos.
Asimismo, actualmente, la AEPD cuenta con un formulario, “Comunica-Brecha RGPD”, pero ésta tiene como objetivo solventar las dudas que puedan surgir al respecto tanto por parte de los responsables como los afectados.
Así, este formulario comprende una serie de preguntas relativas a los datos de la empresa, los datos que trata la misma, consecuencias y daños, entre otras.
Ahora bien, y como ya hemos adelantado, dicho formulario no sirve para informar a la AEPD de lo sucedido, por lo que la obligación no queda cumplida con su mera realización.
No obstante, esta obligación tiene sus excepciones, no debiendo notificarse la brecha en los siguientes casos:
- Cuando se han tomado las medidas técnicas y organizativas pertinentes y necesarias antes de la brecha.
- Cuando el responsable y tras la brecha haya tomado las medidas necesarias a fin de evitar que el riesgo sea real.
- Cuando la notificación implique un esfuerzo demasiado elevado, en cuyo caso sería suficiente con una comunicación pública.
Consecuencias y sanciones
Como tal, sufrir una brecha no supone ninguna sanción, siendo determinante la notificación. Así, el incumplimiento de la obligación de notificar sí puede generar sanciones para la empresa.
Concretamente, esta falta de comunicación es una infracción grave, la cual puede implicar multas de hasta 10 millones de euros o bien del 2% del volumen del negocio de la empresa, teniendo en cuenta el ejercicio anterior.
Por tanto, y como hemos podido observar, debemos tener mucho cuidado con estas situaciones, sobre todo si somos una empresa. Asimismo, y en caso de ser afectados, tampoco debemos olvidar que podemos pedir las correspondientes responsabilidades e indemnizaciones por los posibles daños y perjuicios causados como consecuencia de las filtraciones.
