Ocultar una brecha de seguridad tiene sus consecuencias. Esto es lo que le ha ocurrido a la compañía Uber en Estados Unidos que deberá pagar 148 millones por no haber informado del robo de información que sufrió por parte de unos hacker y que afectó a 57 millones de cuentas.
El robo de datos se produjo en 2016 y no fue notificado. Uber decidió omitir esta información y aceptar el chantaje de los hacker, a los que pagó para ocultar este robo. Ahora la empresa ha llegado a un acuerdo con la justicia americana y pagará 148 millones de dólares. Además de comprometerse a hacer cambios en su política de protección de datos para evitar acciones similares.
Las normas internacionales, tanto la americana como la recién aprobada en Europa establece la obligación de informar en el momento que se detecta de las brechas de seguridad. En caso de ocultación se establecen sanciones que pueden llegar al 4% de la facturación, en el caso de la Unión Europea.
También deben tomarse las medidas adecuadas para solucionar la brecha e implementar mecanismos para que no vuelva a producirse. Es obligatorio avisar a los clientes de que sus datos se han visto comprometidos.
Uber además de hacer frente al pago acordado, deberá cambiar su política de protección de datos e informar trimestralmente a las autoridades pertinentes de Estados Unidos de sus actuaciones en el campo de la protección de datos.
En el caso de Europa el nuevo Reglamento establece nuevos parámetros y obligaciones respecto a las brechas de seguridad. Para facilitar su cumplimiento, desde la Agencia Española de Protección de Datos se ha publicado una Guía para la gestión y la notificación de las brechas de seguridad.
La Guía de gestión y notificación de las brechas de seguridad está disponible en el siguiente enlace de la web de la AEPD.