Se filtran datos personales de más de 37.000 riders de Glovo
El pasado 3 de agosto conocíamos de una nueva brecha de seguridad en materia de protección de datos sufrida por uno de los grandes operadores del mercado. En este caso se trata de la compañía Glovo, empresa dedicada al reparto a domicilio y que, por sus características concretas trata multitud de datos personales de diferentes agentes, incluyendo a los propios clientes y, por supuesto, a los llamados riders.
Para comprender el impacto de estos hechos, en primer lugar, debemos tener claro en qué consiste una violación de seguridad en materia de protección de datos.
¿Qué es una violación de seguridad?
El artículo 4 RGPD define una violación de la seguridad de los datos personales como “toda violación de la seguridad que ocasione la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos”.
En este caso, la violación de la seguridad de los datos personales de los riders de Glovo se ha producido por un acceso no autorizado a dichos datos personales, además de su posterior subasta en diferentes lugares de la Deep Web. En concreto, algunos de los datos personales de los riders que han sido objeto de ese acceso no autorizado son su DNI, números de teléfono, correos electrónicos, números de cuenta bancaria, direcciones de su residencia y tipos de contrato.
Además de lo anterior, los hackers que alegan haber perpetrado estos hechos manifiestan que entre los datos extraídos también hay información sobre casi seis millones de pedidos de los clientes de Glovo que incluyen, entre otros el nombre de los clientes.
¿Qué tiene que hacer Glovo para prevenir que esto vuelva a ocurrir?
La antigua Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y su Reglamento de Desarrollo establecían una serie de medidas tasadas que los responsables del tratamiento de datos personales, como es el caso de Glovo en el presente supuesto, debían adoptar.
Con la entrada en vigor del (ya no tan reciente) RGPD y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD) se elimina esta tasación de medidas y se implanta lo que se conoce como el “principio de responsabilidad proactiva”, que implica que los responsables del tratamiento serán responsables de que los datos personales que tratan lo sean cumpliendo con los principios del RGPD, así como que dichos responsables del tratamiento establezcan las medidas de seguridad que consideren oportunas teniendo en cuenta los riesgos que se hayan evaluado así como el entorno en el que dichos datos personales se vayan a tratar.
Hay que tener en cuenta un aspecto que, en este punto, y teniendo en cuenta el desarrollo y la tipología de empresas que han venido surgiendo en los últimos años, que cada vez más, el entorno en el que los responsables del tratamiento tratan datos personales (de clientes, proveedores, empleados, etc.) se centra en el ámbito digital, que sin duda puede ser más ágil, pero a la vez entraña riesgos mucho mayores y, por tanto, dichos responsables del tratamiento deberán incrementar todas las medidas de seguridad que tengan implantadas hasta la fecha, si es que no lo han hecho ya.
Hay que tener en consideración que es inevitable que, en un momento determinado, una empresa pueda sufrir un ciberataque y se produzca una violación de datos personales como la sufrida por Glovo en este supuesto, pero sí se exige a los responsables del tratamiento que realicen un análisis pormenorizado de los riesgos a los que están sometidos los datos personales que tratan y, a partir de ahí, establezcan las medidas de seguridad técnicas y organizativas que consideren, a su propio criterio, oportunas.
No obstante, como es lógico, las Autoridades de Control pueden llevar a cabo labores de investigación y auditoría de cara a determinar si dicho responsable del tratamiento ha establecido e implantado las medidas oportunas para garantizar la seguridad de los datos personales o si, por el contrario, las medidas de seguridad que se han adoptado no han sido suficientemente valoradas, o no han sido valoradas e implementadas de forma correcta, de cara a prevenir la violación de la seguridad de los datos personales que finalmente acabó por producirse.
¿Qué consecuencias puede tener esta violación de la seguridad para Glovo?
Desde luego, tras conocerse la noticia, todo parece indicar que se abrirá una investigación por parte de la Agencia Española de Protección de Datos (AEPD) con el fin de determinar el grado de responsabilidad de Glovo en el establecimiento, correcto o incorrecto, de las medidas de seguridad aplicadas a los datos personales, tanto de sus riders como de sus usuarios.
Todo parece indicar, teniendo en cuenta la dimensión de la violación de seguridad, que Glovo debió haber notificado a la AEPD y a los usuarios la comisión de este hackeo, teniendo en cuenta la cantidad de los datos y que un tercero externo a la organización los ha hecho públicos en la Deep web, habiéndose comprometido seriamente los derechos de los interesados afectados.
Teniendo en cuenta las circunstancias anteriores, y sin perjuicio de que Glovo deberá llevar a cabo un análisis profundo de las medidas de seguridad implantadas en su organización con el fin de garantizar la seguridad de los datos personales de los interesados, lo cierto es que ahora se puede exponer a una sanción por no haber cumplido con el principio de responsabilidad proactiva y, si no lo ha realizado, por no haber notificado a la AEPD y a los interesados la comisión de esta infracción y la violación de sus sistemas de seguridad.