Desde la entrada en aplicación del RGPD, uno de los aspectos de la nueva ley que está teniendo mayor impacto está siendo el de la obligatoriedad de informar sobre las brechas de seguridad. En este mismo blog hablábamos recientemente de cómo el RGPD había obligado a British Airways o a Ticketmaster a informar inmediatamente sobre brechas de seguridad sufridas.

Pero, aunque la ley es clara al respecto de la obligatoriedad de informar, la realidad a veces presenta casos que se prestan a la duda y la interpretación. Esta misma semana, Google ha informado de que en los próximos meses procederá a cerrar su red social Google Plus y que la razón, además de sus malos resultados, es una vulnerabilidad descubierta en su API para desarrolladores que dejó al descubierto datos de 500,000 usuarios. Esta vulnerabilidad fue descubierta el pasado marzo, en pleno apogeo del escándalo Facebook/Cambridge Analytica y, según unos documentos internos de Google filtrados a la prensa, el gigante de la búsqueda online decidió ocultarla para evitar verse salpicado por la mala prensa que podía acarrearle.

La cuestión que surge enseguida en la cabeza de cualquier profesional de la protección de datos es… ¿debió Google informar de la vulnerabilidad? ¿Podría tratarse de una infracción del RGPD con su consiguiente multa multimillonaria?

Google, por supuesto, sostiene que no tenía obligatoriedad de informar porque no hay pruebas de que la vulnerabilidad en el código fuese explotada por nadie y que por tanto no hay nada que comunicar. Por otro lado, el hecho de que a Google no le conste que haya habido un acceso no autorizado a los datos, no significa que no lo haya habido y, aquí está lo grave, los datos estuvieron a disposición de casi 500 desarrolladores que recibieron permiso para usar la API.

Por el momento las autoridades de protección de datos de Alemania y Estados Unidos han lanzado una investigación sobre el caso. La clave para determinar las responsabilidades de Google en este caso será averiguar si la compañía dice la verdad cuando niega conocer ningún caso de acceso no autorizado a los datos. También será importante conocer las medidas que Google tomó para neutralizar la vulnerabilidad y el tiempo que le llevó conseguirlo.

Los documentos internos de Google filtrados a la prensa, concretamente al Wall Street Journal, muestran que la motivación de la empresa para no informar sobre la vulnerabilidad fue el miedo a una investigación por parte de las autoridades y también por el daño reputacional. Estas motivaciones sin duda dejan en mal lugar a una compañía que viene de recibir una multa de 5,000 millones de dólares por parte de la Unión Europea el pasado julio.