La Agencia Española de Protección de Datos (AEPD) ha decidido remitir a Irlanda la denuncia de un ciudadano Español a LinkedIn por el robo de datos que la red social sufrió tras un ciberataque en abril del presente año. La reclamación argumenta que la red social no realizó un tratamiento de los datos acorde a la legislación.
Lo hace por dos motivos. El primero, entiende que hay evidencias de que LinkedIn haya podido vulnerar el Reglamento General de Protección de Datos (RGPD). El segundo es que la sede de LinkedIn en Europa está en Irlanda, caso de otras grandes tecnológicas como Google o Facebook, debido a las ventajas fiscales que ofrece el país.
La reclamación fue interpuesta por Gonzalo Oliver Martín, asesor jurídico en materia de Privacidad y Protección de Datos, en Ozonia Consultores Además, es socio de la Asociación Española de Delegados de Protección de Datos.
“Los ciudadanos debemos de ser más consciente de que este tipo de filtraciones de datos, aunque sean solo identificativos (nombre, apellidos y correo electrónico), pueden llevar aparejada posibles delitos de suplantación de identidad, contrataciones fraudulentas o incluso que ciberdelincuentes secuestren información de equipos electrónicos como móviles y ordenadores. Por eso es importante siempre denunciar y que las autoridades de control investiguen y, si es oportuno, sancionen”, explica Oliver.
La reclamación reflejaba que se han podido dejar expuestos en foros de hackers datos personales de 500 millones de usuarios, que suponen el 67% del total de cuentas registradas en esta red social, muy centrada en el apartado profesional. En el documento, el reclamante cuestiona las medidas de seguridad técnicas y organizativas llevadas a cabo por el responsable del tratamiento de los datos de LinkedIn.
LinkedIn tiene que informar a los usuarios afectados
De hecho, la RGPD obliga a la empresa afectada a informar a aquellos usuarios cuyos datos se hayan visto comprometidos. De igual forma, si se produce el robo de información se debe comunicar a la Agencia Española de Protección de Datos, o al organismo homólogo en cada país.
La Agencia Española de Protección de datos destaca en la respuesta que ha dado a Oliver que "teniendo en cuenta el carácter transfronterizo de la reclamación y dado que Linkedin Ireland Unlimited Company tiene su establecimiento principal o único en Irlanda, corresponde a la autoridad de protección de datos de este Estado actuar como autoridad de control principal, a tenor de lo dispuesto en el artículo 56.1 del Reglamento General de Protección de Datos". La AEPD concluye que por todo esto "remite la reclamación presentada por Gonzalo Oliver Martín a la autoridad de control de Irlanda, a fin de que por la misma se le dé el curso oportuno". De momento, no hay plazos concretos acerca de cuánto tardará Irlanda en pronunciarse respecto a la reclamación.
Por otra parte, los datos personales de 756 millones de usuarios de esta red social -el equivalente al 92% de los usuarios de LinkedIn- de todo el mundo se han puesto a la venta en un foro de piratería. La información incluye nombres completos, direcciones físicas y números de teléfono, además de otros datos. Una información crítica, a través de la cual los ciberdelincuentes podrían realizar acciones como el robo o suplantación de identidades.
Se trata de las mayores filtraciones de datos, si no la mayor, sufrida por LinkedIn en toda su historia. De hecho, está por encima de la que pudo sufrir en abril del presente año, cuando, como comentábamos al inicio de este artículo, unos 500 millones de perfiles se vieron comprometidos. Esta nueva circunstancia tendrá, a buen seguro, consecuencias para LinkedIn, aseguran fuentes del sector, sobre todo si estos datos acaban siendo vendidos en los mercados negros de Internet.