Las consecuencias legales de la brecha de seguridad de Mad Cool
Un error técnico ha provocado un fallo informático en la plataforma de compra de entradas del macro evento. La AEPD ya ha recibido las primeras denuncias y las está investigando.
El pasado 11 de abril, un error informático en la plataforma de compra de entradas del festival Mad Cool dejó al descubierto, durante horas, miles de datos personales de los compradores y permitió la descarga de entradas ajenas. Los propios usuarios fueron los que alertaron del agujero de seguridad a través de las redes sociales, por lo que los promotores del evento clausuraron la web.
Desde la organización explicaron que se había generado una “parcial exposición de datos debido a un problema técnico en un microcacheo que realiza el servidor donde está alojado el formulario tras una migración de DNS”. Sin embargo, esta justificación no ha sido suficiente para los consumidores. La Agencia Española de Protección de Datos (AEPD) ha confirmado a este medio que ya ha recibido varias denuncias y que las evaluará próximamente para saber si se pueden admitir o no a trámite.
Además de los propios usuarios, Facua-Consumidores en Acción también ha acudido a la AEPD, puesto que entiende que “el error no sólo permitía visualizar los datos de terceras personas, sino que incluso podían ser modificados” y que se han incumplido varios artículos del Reglamento General de Protección de Datos (RGPD) y de la Ley Orgánica de Protección de Datos (LOPD).
Los especialistas en la materia son cautos ante la falta de información completa, pero estiman que, a pesar de lo ocurrido, parece que se ha actuado con agilidad, mediante el cierre de la plataforma como primera medida de seguridad para evitar que las consecuencias fueran mayores.
“Si finalmente la AEPD determina que ha habido una infracción, lo más probable es que esta consistiera en la vulneración del artículo 32 y del artículo 25 de RGPD, relativos, respectivamente, a la seguridad del tratamiento de los datos personales y al principio de protección desde el diseño y por defecto”, apunta Ruth Benito, of counsel de Elzaburu y especialista en privacidad y protección de datos.
Averiguaciones
“Con la salvedad de que no sabemos si ha habido un acceso indebido o una mera exposición, que es lo primero que deberían averiguar”, explica Javier Torres de Silva, socio de CMS Albiñana & Suárez de Lezo, y afirma igualmente que “lo que debemos preguntarnos es si existían suficientes medidas de seguridad y cómo fue la reacción tras detectarse”. Si se ha dado un fallo informático en las medidas de seguridad con violación del artículo 32, “como parece”, insiste, este hecho “podría ser sancionable”.
En relación a la seguridad del tratamiento, comenta Benito, la infracción, concretamente, podría consistir “en no haberse adoptado medidas de seguridad –artículo 73.f. de la LOPD– o en que las que se tenían adoptadas no funcionaron como debían –artículo 73.g. de la LOPD–. No obstante, ante casos muy extremos, la AEPD sanciona por vulneración del principio de integridad y confidencialidad contemplando el artículo 5.1.f. del RGPD, que se trataría de una infracción de mayor gravedad que las anteriores”.
Otro aspecto en el que se centran los expertos es en la responsabilidad jurídica tanto respecto al fallo como sobre el tratamiento de datos. Resulta evidente que, hasta que no finalice la investigación de lo sucedido no se sabrá. Sin embargo, Torres de Silva llama la atención en que aunque en el comunicado de Mad Cool se asegura que la empresa externa Casfid Servicios Tecnológicos –encargada de la programación, gestión y funcionamiento de esta plataforma– asume el fallo interno que ha provocado esta parcial exposición de datos, “entendemos que la brecha se ha producido en una página web de titularidad del festival. En tal caso, él responde, pues es el responsable del tratamiento”.
¿Cómo actuar?
Sobre qué pasos debería haber seguido la organización del macro festival o tendría que llevar a cabo cualquier compañía que atraviese una situación parecida, el socio de CMS indica que, siguiendo lo estipulado en los artículos 33 y 34 del RGPD, “dependiendo de los hechos se deberá notificar o no a la AEPD –entiendo que sí, salvo que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos de las personas físicas, lo cual parece poco creíble en este caso– y a los interesados, si hay probabilidad de un alto riesgo para sus derechos”.
Por su parte, la of counsel de Elzaburu dice que lo primero ante este tipo de brecha es actuar con diligencia desde el principio, “abriendo la correspondiente investigación con intervención de distintos perfiles en la entidad, así como requiriendo información a otras compañías que se encuentren implicadas. En el plano técnico, aparte del cierre de la plataforma, de determinar la causa del fallo y corregirlo y de invalidar las entradas descargadas, procedería también recuperar una copia de la base de datos en el momento anterior a la brecha de seguridad”, concluye.
A partir del 1 de mayo, la oficina de Madrid de Freshfields Bruckhaus Deringer contará con un nuevo socio.
Se trata de José Luis Prieto, que acaba de ser promocionado a socio del área de procesal tras la ronda de nombramientos que a nivel global ha ascendido a un total de 30 profesionales.
Está especializado en la defensa de compañías multinacionales en complejos litigios y arbitrajes multijurisdiccionales en el ámbito de la responsabilidad extracontractual y contractual. Por sectores, tiene experiencia en financiero, petrolífero, minería, construcción, farmacéutico, tabaco, tecnológico, consumo o aviación.
Ayer comenzó la huelga indefinida de los funcionarios de la Administración de Justicia –están llamados unos 45.000– con paros parciales desde las 10.00 y hasta las 13.00 horas para reclamar a la ministra del ramo, Pilar Llop, una subida salarial en línea con la aprobada para el colectivo de letrados de la Administración de Justicia (LAJ) –de hasta unos 450 euros– y una “redefinición” de sus funciones. También está prevista una manifestación mañana en Madrid frente a la sede del Ministerio.