El 19 de diciembre de 2018, la comisión
restringida de la Comisión Nacional de Tecnologías de la Información y
Libertades (CNIL) impuso una sanción financiera de 400 000 € a la empresa Uber
France SAS por incumplimiento en la obligación de garantizar el seguridad de los
datos personales (Deliberación No. SAN-2018-011 de 19 de diciembre de 2018. Ver Anexo 1, al final).
En noviembre de 2017, la empresa de transporte con
conductor reveló en su sitio web que a fines de 2016, dos personas tuvieron
acceso a datos personales relacionados con 57 millones de usuarios de
servicios, de los cuales 1,4 millones en territorio francés (pasajeros y
conductores).
Tras esta revelación, el Grupo del Artículo 29
(G-29) estableció un grupo de trabajo para coordinar los procedimientos de
investigación de las diferentes autoridades de protección de datos.
La autoridad holandesa de protección de datos impuso
entonces una multa financiera de 600,000
€ contra Uber. La autoridad inglesa emitió una sanción financiera de alrededor
de 400,000 €. La Comisión Nacional Informática y Libertades, CNIL, autoridad
francesa - similar a la Autoridad Nacional de Protección de Datos Personales peruana, APDP - acaba de pronunciar una multa de 400,000 €.
Los hechos.
La empresa Uber Technologies INC es una compañía
cuya sede central se encuentra ubicada en los Estados Unidos y cuya actividad
principal es el transporte de personas con conductor. Tiene una filial en
Francia, Uber France SAS.
El 22 de diciembre de 2017, la CNIL dirigió a la
compañía Uber, sujeta al derecho americano
y a la compañía sujeta a las leyes holandesas un cuestionario sobre las
circunstancias de la violación de datos. En ese requerimiento, afirmó que la
empresa de transporte utilizó GitHub, una plataforma de desarrollo de software
de terceros en Internet, para almacenar sus códigos de acceso. Los ingenieros de la
compañía se conectaron a esta plataforma utilizando una dirección de correo
electrónico personal y una contraseña que ellos mismos configuraron
individualmente.
No obstante, los atacantes utilizaron esos
identificantes para conectarse a la plataforma GitHub y encontraron una clave
de acceso escrita en claro en un archivo de código fuente. Esta clave de acceso
permitió el acceso a la plataforma de alojamiento donde se almacenan los datos
personales de los usuarios de los servicios de la empresa de transporte. Asi, pudieron
descargar datos personales de esta plataforma.
Una falta a la obligación de garantizar la
seguridad de los datos.
No siendo aplicable el Reglamento General de
Protección de Datos (RGPD) en el momento de los hechos, la CNIL aplicó la ley
modificada del 6 de enero de 1978. De conformidad con el artículo 34 de esa Ley,
el responsable del tratamiento debe tomar todas las precauciones necesarias,
teniendo en cuenta la naturaleza de los datos y los riesgos que presenta el
procesamiento para preservar la seguridad de los datos, y en particular para
evitar que terceros no autorizados tengan acceso a estos. A la luz de este
texto, la deliberación de la CNIL señala varias deficiencias relacionadas con
la seguridad de los datos personales.
La primera falta a la obligación de garantizar
la seguridad de los datos se relacionó con fallas en el acceso a la plataforma
GitHub. La comisión restringida de la CNIL señala que la plataforma GitHub era
una herramienta de trabajo central en el desarrollo de las actividades de la
compañía, cuyo acceso debería estar enmarcado por normas de seguridad
adecuadas.
En este contexto, el hecho que la plataforma GitHub recomiende que los
ingenieros utilicen identificantes personales para conectarse no fue tenido en
cuenta por la comisión restringida.
Esta última consideró que, a pesar de las
recomendaciones del editor de la plataforma, la empresa, como responsable del
tratamiento, debería haber adoptado las reglas necesarias para garantizar la
seguridad de la información que almacenaba allí. Estas medidas se imponían, sobre
todo, si el conocimiento de estas informaciones hicieron posible acceder y
extraer los datos personales de varios millones de usuarios.
La ausencia de un proceso relacionado con el
retiro de las habilitaciones de antiguos ingenieros también fue alegada contra
la empresa de transporte. Según la comisión restringida de la CNIL, se trata de
una "negligencia importante ya que la empresa no pudo garantizar que las
personas que abandonaron la empresa no siguieran accediendo a los proyectos
desarrollados".
La segunda
infracción se relaciona con la presencia sin cifrar de los identificadores
de acceso al servidor en un código fuente almacenado en la plataforma GitHub.
La compañía pudo explicar que esto fue solo un
incidente aislado debido a un error humano. Sin embargo, la comisión restringida
recuerda que, en términos de identificación, es importante garantizar que los
identificantes para conectarse a los servidores que alojan datos personales no
puedan ser divulgados. Por lo tanto, es imperativo que dichos identificantes no
se almacenen de forma clara en el código fuente de la plataforma, como fue el
caso aquí.
La tercera
infracción se refiere a la implementación de una medida de filtrado de
direcciones IP autorizadas para acceder a los servidores.
La comisión restringida de la CNIL destaca el
hecho de que cuando los empleados tienen que conectarse de forma remota a los
servidores utilizados por una empresa, asegurar esta conexión es una precaución
básica para preservar la confidencialidad de los datos procesados.
Esta seguridad puede basarse, al menos, en la
implementación de una medida de filtrado de direcciones IP, de modo que solo se
ejecuten las solicitudes que se originan en las direcciones IP identificadas.
Sin embargo, tal medida de filtrado de IP no ha
sido establecida por la empresa de transporte desde el inicio del uso del
servicio.
En vista de los elementos enumerados
anteriormente, la comisión restringida considera que la compañía fue negligente
y no tomó todas las precauciones necesarias para evitar que terceros no
autorizados accedan a los datos procesados. Por lo tanto, se constituye la
violación del artículo 34 de la Ley modificada de 6 de enero de 1978.
Sanción.
La comisión restringida recuerda que el hecho de
que los datos accesibles no contengan ningún dato que pueda describirse como sensible,
en el sentido del Artículo 8 de la Ley de Protección de Datos, no influye en la
caracterización del incumplimiento de la obligación que incumbe a un responsable
de datos para garantizar la seguridad de los datos que procesa.
Además, señala que la violación se refería a:
·
un
gran número de usuarios (1,4 millones en Francia),
· datos
de identificación como el nombre, el nombre, la dirección de correo
electrónico, la ciudad o el país de residencia y el número de teléfono móvil.
Si bien se observa que "hasta la fecha no se
ha informado ningún daño sufrido por las personas como resultado de la violación
de datos", la comisión restringida subraya que la empresa de transporte no
puede confiar en la ausencia total de daños sufridos por las personas afectadas
en la medida en que no se discuta que los atacantes tuvieron acceso a los datos
personales. Por lo tanto, la comisión restringida considera que el uso
malintencionado de tales datos siempre es posible.
De este modo, la comisión restringida de la CNIL
establece una sanción pecuniaria de 400 000 € contra la filial francesa.
La publicidad de la sanción está motivada por la
gravedad de la violación, el contexto de la multiplicación de incidentes de
seguridad y la necesidad de sensibilizar a los responsables de datos y a los
usuarios sobre los riesgos para la seguridad de los datos.
Recomendaciones
La lectura de la deliberación de la comisión
restringida recomienda, en consecuencia, a resaltar la importancia de las
medidas de seguridad a implementar, especialmente en el caso del uso de una plataforma
de terceros.
Por lo tanto, la implementación de medidas de
autenticación sólidas de las personas que acceden a los datos, la revocación de
los permisos de acceso, el filtrado de direcciones IP o el almacenamiento
seguro de identificadores serán otras tantas medidas necesarias a definir.
Esta penalización
de 400.000 € se suma a las sanciones impuestas por las autoridades inglesas y
holandesas. El importe acumulado de las sanciones pecuniarias pronunciadas
contra las entidades europeas del grupo de transporte Uber como resultado de la
violación de los datos asciende a 1,4 millones de euros.
Vale preguntarse, cuántos de los 57 millones de usuarios de servicios, afectados por el incumplimiento de las obligaciones de Uber son peruanos, y cómo ha reaccionado nuestra APDP en el Perú, al respecto?
Pero esto no es todo, la Corte de Apelaciones de París acaba de reconocer la relación laboral que une a Uber con un conductor de transporte (automóvil, moto, ...) como un "contrato de trabajo". Pareciera que la UE entiende regular mas firmemente los bienes y servicios informáticos dispensados en el ámbito de su jurisdicción.
Y el Ministerio de Trabajo peruano, reflexiona ya sobre esta posible relación laboral en cuestión?
---------------------------------------------------------------------
ANEXO 1 Deliberación No. SAN-2018-011 del 19 de diciembre de 2018
(La presente Deliberación ha sido traducida por el autor. )
Deliberación de la comisión restringida N° SAN-2018-011
del 19 de diciembre de 2018 que impone una multa a la empresa UBER FRANCE SAS
La Comisión Nacional de Informática y Libertades, reunida en comisión
restringida integrada por el Sr. Jean-François CARREZ, Presidente, el Sr.
Alexandre LINDEN, Vicepresidente, la Sra. Dominique CASTERA, la Sra.
Marie-Hélène MITJAVILE y el Sr. Maurice RONAI, como miembros de la comisión
restringida;
Visto el Convenio del Consejo de Europa nº 108, de 28 de enero de 1981,
para la protección de las personas en lo que respecta al tratamiento automático
de datos personales;
Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de
octubre de 1995, relativa a la protección de las personas físicas en lo que
respecta al tratamiento de datos personales y a la libre circulación de dichos
datos;
Vista la ley N° 78-17 del 6 de enero
de 1978 relativa a la informática, los archivos y libertades modificada, en
particular, en sus artículos 45 y siguientes;
Visto el decreto N° 2005-1309 del 20 de octubre de 2005 adoptado para la
aplicación de la ley N° 78-17 del 6 de enero de 1978 relativa a la informática,
archivos y libertades, modificada por el decreto N° 2007-451 25 de marzo de
2007;
Vista la deliberación N° 2013-175 del 4 de julio de 2013 que adopta el
reglamento de la Comisión Nacional de Informática y Libertades;
Vista la decisión N° 2017-279C del 8 de diciembre de 2017 del Presidente de
la Comisión Nacional de Informática y Libertades para instruir al secretario
general para que proceda o realice una misión de verificación del conjunto del
tratamiento de datos personales relacionados en su totalidad o en parte con
datos relativos a la comercialización o el uso de los productos o servicios
asociados con la marca UBER;
Vista la decisión del Presidente de la Comisión Nacional de Informática y
Libertades de nombrar un responsable ante el grupo de comisión restringida, de
fecha 13 de junio de 2018;
Visto el informe del Sr. François PELLEGRINI, Comisario de informe,
notificado a la empresa UBER FRANCE SAS el 6 de agosto de 2018 y enviado para
información a las empresas UBER B.V y UBER TECHNOLOGIES INC. ;
Vistas las observaciones escritas de UBER FRANCE SAS, UBER B.V y UBER
TECHNOLOGIES INC. recibidas el 24 de septiembre de 2018;
Vista la respuesta del ponente a los comentarios de UBER FRANCE SAS, UBER
B.V y UBER TECHNOLOGIES INC., notificada el 9 de octubre de 2018;
Vistas las nuevas observaciones escritas de UBER FRANCE SAS, UBER B.V y
UBER TECHNOLOGIES INC. recibidas el 23 de octubre de 2018 y las observaciones
orales hechas durante la sesión de comisión restringida;
Vistas las otras piezas del expediente;
Encontrándose presentes en la reunión de la comisión restringida del 8 de
noviembre de 2018:
• Sr. François PELLEGRINI, Comisario, en su informe;
Como representante de UBER FRANCE SAS:
• [...]
Como representante de UBER B.V:
• [...]
Como consultor de UBER FRANCE SAS, UBER B.V y UBER TECHNOLOGIES INC. :
• [...]
• [...]
• [...]
• [...]
• [...]
Como intérprete:
• [...]
La Sra. Eve JULLIEN, Comisaria del del Gobierno adjunta, sin haber hecho
observaciones;
Los representantes de UBER quienes hicieron uso de la palabra al final;
Ha adoptado la siguiente decisión:
I- Hechos y procedimiento.
UBER TECHNOLOGIES INC., fundada en 2009 y con sede en 1455 Market Street en
San Francisco en los EE. UU., se dedica principalmente al transporte de
personas con conductores, conocido como VTC, a través de una plataforma web y
una aplicación. móvil.
Para ofrecer este servicio en otros países, se han establecido varias
filiales en todo el mundo, entre ellas UBER BV, ubicada en 7 Meester Treublaan,
Ámsterdam, Países Bajos y UBER FRANCE SAS, ubicada en 5, rue Charlot, en París.
La empresa UBER tiene aproximadamente 16,000 empleados. En 2017, generó una
facturación de aproximadamente 6.000 millones de euros.
El 21 de noviembre de 2017, la empresa UBER TECHNOLOGIES INC. publicó en su
sitio web un artículo haciendo mención que a finales de 2016, dos personas
externas a la empresa habían accedido a datos de 57 millones de usuarios de los
servicios de UBER en todo el mundo. Esta información fue enseguida retomada en
numerosos artículos de prensa, algunos de los cuales informaron que la empresa
había pagado a los atacantes la suma de US $ 100,000 para que destruyeran los
datos en cuestión y que no revelaran la existencia de este incidente.
El 28 de noviembre de 2017, UBER B.V escribió al Presidente del Grupo de
Trabajo del Artículo 29 sobre Protección de Datos (en adelante G29)
informándole de las circunstancias de la violación de los datos y su voluntad
de cooperar con todas las autoridades competentes sobre este asunto.
El 29 de noviembre de 2017, la Asamblea Plenaria del G29 ordenó la creación
de un grupo de trabajo llamado taskforce
con el objeto de coordinar los procedimientos de investigación de diferentes
autoridades de protección de datos. Este grupo de trabajo estuvo compuesto por
las autoridades holandesas, españolas, francesas, belgas, italianas, británicas
y eslovacas.
En aplicación de la decisión N° 2017-279C de 8 de diciembre de 2017 del
Presidente de la Comisión Nacional de Informática y Libertades (en adelante
CNIL o Comisión), una delegación de la CNIL envió el 22 de diciembre de 2017. a
UBER TECHNOLOGIES INC. y UBER B.V (en adelante UBER o la empresa) un
cuestionario sobre, en particular, las circunstancias de la violación de datos
y las medidas tomadas por las empresas para garantizar la seguridad de los
datos procesados.
El 22 de enero de 2018, la empresa respondió al cuestionario, explicando
que la violación de datos ocurrió en tres etapas.
Primera, la empresa preciso que personas externas a la empresa
obtuvieron acceso a un espacio de trabajo privado de Uber en GitHub. GitHub es
una plataforma de desarrollo de software de terceros en Internet que fue
utilizada por los ingenieros de software en Uber en el momento del incidente
para almacenar el código para la colaboración y el desarrollo. Ella dijo que
los ingenieros de Uber se estaban conectando a GitHub usando un nombre de
usuario y una contraseña que ellos mismos habían establecido. Estas
identificaciones tomaron la forma de una dirección de correo electrónico
personal como un nombre de usuario y una contraseña individual. Explicó que la
plataforma fue utilizada por [...] ingenieros y que no hubo un proceso de
retiro de habilitaciones cuando un ingeniero dejaba la empresa.
En segundo lugar, la empresa
informó que los atacantes utilizaron estos identificantes para conectarse a la
plataforma GitHub y encontraron una clave de acceso escrita de forma clara en
un archivo de código fuente. Esta clave de acceso estaba relacionada con una
cuenta de servicio que permitía el acceso a la plataforma de alojamiento [...]
donde se almacenan los datos personales de los usuarios de los servicios
UBER.
En tercer lugar, la empresa
explicó que los atacantes habían utilizado esta clave de acceso para acceder a
las bases de datos UBER almacenadas en los servidores [...] y así descargar una
cantidad significativa de datos personales.
La empresa explicó que la violación de datos había afectado a 57 millones
de usuarios en todo el mundo, incluidos 1,4 millones en Francia. Entre estos
usuarios se encontraban 1,2 millones de pasajeros y 163,000 conductores. La
empresa dijo que los atacantes tenían acceso a los siguientes datos: apellido,
nombre, dirección de correo electrónico, ciudad o país de residencia, número de
teléfono móvil y estado del usuario (conductor, pasajero o ambos).
La empresa finalmente explicó que, como resultado de la violación de datos,
ella había establecido [...]
Para los fines de la instrucción de estos elementos, el Presidente de la
Comisión nombró al Sr. François PELLEGRINI como Relator, el 13 de junio de
2018, sobre la base del artículo 46 de la Ley modificada de 6 de enero de 1978
sobre Informática, archivos y libertades (en adelante, la ley modificada de 6
de enero de 1978 o la Ley de Protección de Datos).
Al final de su instrucción, el relator notificó a la empresa UBER FRANCE
SAS el 6 de agosto de 2018 y notificó para información a las empresas UBER BV y
UBER TECHNOLOGIES INC., un informe que detallaba las violaciones a la ley que
consideraba constituidas. en este caso y propuso a la comisión restringida de
la CNIL de imponer una sanción financiera de cuatrocientos mil (400,000) euros
que se haría pública. Este informe fue acompañado por una convocatoria para la
sesión de comisión restringida del 11 de octubre de 2018 e invitaba a la
empresa a enviar comentarios en respuesta dentro del período actual hasta el 24
de septiembre de 2018. Por correo del 2 de octubre de 2018, la empresa fue
informada que la sesión de comisión restringida fue pospuesta al 8 de noviembre
siguiente.
El 24 de septiembre de 2018, la empresa, a través de su abogado, presentó
observaciones escritas a las que el ponente respondió el 9 de octubre
siguiente, en aplicación de las disposiciones del artículo 75 del Decreto No.
2005-1309 de 20 de octubre 2005 modificado.
El 23 de octubre de 2018, la empresa presentó nuevas observaciones en
respuesta a las del ponente.
II- Motivos de la decisión.
1. Sobre la calidad del responsable de UBER TECHNOLOGIES
INC. y UBER B.V
El I del artículo 3 modificado de la ley de 6 de enero de 1978 establece
que la persona responsable del tratamiento de los datos personales es, a menos
que esté expresamente designado por la ley o reglamento relacionado con dicho
tratamiento, la persona, la autoridad pública, el servicio u organismo que
determina sus finalidades y sus medios.
Esta disposición constituye la transposición del Artículo 2 (d) de la Directiva
que define al responsable del tratamiento como la persona física o jurídica,
autoridad pública, servicio o cualquier otro organismo que, solo o en conjunto
con otros, determina los fines y medios del tratamiento de los datos
personales.
La empresa UBER sostiene que solo la
empresa UBER B.V puede ser considerada como responsable del tratamiento y que
UBER TECHNOLOGIES INC. solo actúa en calidad de subcontratista de la empresa
UBER B.V. Ella recuerda que todas las tareas realizadas por UBER TECHNOLOGIES
INC. en el marco del tratamiento, se inscriben en el margen de maniobra de la
cual dispone esta empresa, como subcontratista, en la manera en que se lleva a
cabo el tratamiento de datos. Ella recuerda que se concluyó un subcontrato
entre las dos empresas y que, como subcontratista, la empresa UBER TECHNOLOGIES
INC. redactó pautas de gestión de datos, capacitó a nuevos empleados del grupo,
firmó contratos con empresas de terceros y que ella administró las
consecuencias de la violación de datos.
En primer lugar, la comisión restringida señala que la calidad de
responsable de tratamiento de UBER B.V no está en discusión.
En segundo lugar, la comisión restringida recuerda que, de acuerdo con el
dictamen G29 Nº 1/2010, de 16 de febrero de 2010, sobre las nociones de
responsable del tratamiento y subcontratista, un subcontratista que adquiere un
papel importante en la determinación de las finalidades o medios esenciales del
tratamiento es más un (co) responsable que un subcontratista. La opinión del
G-29 afirma que el concepto de responsable del tratamiento reposa sobre un
análisis fáctico más que en un análisis formal.
También señala que esa opinión establece que si bien la determinación de la finalidad del tratamiento llevaría
sistemáticamente a la clasificación de responsable de tratamiento, la
determinación de los medios implicaría una responsabilidad solo cuando ella
concierne los elementos esenciales de los medios.
La comisión restringida señala además que de la evidencia se desprende que
el servicio propuesto constituye una
aplicación única diseñada y desarrollada en los Estados Unidos por la empresa
UBER TECHNOLOGIES INC, una aplicación que se propuso posteriormente en
otras regiones del mundo, por ser, según fuera necesario, simplemente adaptada
de acuerdo con la legislación de esos Estados.
El comisión restringida señala, en particular, que es la empresa UBER
TECHNOLOGIES INC. quién administró las consecuencias de la violación de datos.
En particular, son los equipos de UBER TECHNOLOGIES INC. quienes [...].
La empresa UBER BV no intervino durante este proceso a pesar de que la
violación de datos estaba relacionada en parte con los usuarios de la
aplicación UBER ubicada en el territorio de la Unión Europea, territorio para
el cual la empresa, UBER BV fue descrita en las observaciones como la única
responsable del tratamiento. La comisión restringida señala aún que es la
empresa UBER TECHNOLOGIES INC [...].
Finalmente, es UBER TECHNOLOGIES INC. quien, a través de un artículo
publicado por su director general, reveló la existencia de la violación al
público.
La comisión restringida considera que la gestión de las consecuencias de la
violación de los datos no es una simple cuestión técnica u organizativa que
puede señalar enteramente el margen de maniobra disponible del cual dispone un
subcontratista. Por el contrario, la gestión de una violación de datos es una
cuestión anexa a un elemento esencial de un medio de tratamiento, cuyo
responsable del tratamiento no puede ser desvincularse.
Para ello, UBER TECHNOLOGIES INC. ha escrito varios documentos claves
relacionados con la gestión de los datos personales colectados, cuyas
directivas se aplican a todas las entidades del grupo UBER. También es esta
entidad la que se encarga de capacitar a los nuevos empleados del grupo. La
comisión restringida también señala que es UBER TECHNOLOGIES INC. que ha
suscrito contratos con varias empresas de terceros, [...], que proporcionan
herramientas esenciales para el funcionamiento del servicio, tales como
aquellas que permiten la gestión de campañas de marketing.
La comisión restringida considera que la multitud de campos de acción en
los cuales interviene la empresa UBER TECHNOLOGIES INC. refrenda su rol determinante en la determinación de
los fines y los medios de tratamiento. En consecuencia, las empresas UBER.
B.V y UBER TECHNOLOGIES INC. deben ser calificadas conjuntamente como
responsables de los tratamientos.
2. Sobre la ley aplicable.
El I del artículo 5 de la ley modificada del 6 de enero de 1978 dispone que
están sometidos a la presente ley los
tratamientos de datos personales: 1 ° Aquellos cuyo responsable está
establecido en territorio francés. El responsable de un tratamiento que realiza
una actividad en el territorio francés en el marco de una instalación, cualquiera
que sea su forma legal, se considera como establecida en éste.
Este artículo constituye
la transposición al derecho nacional del artículo 4-1-a) de la Directiva 95/46
/ CE, de 24 de octubre de 1995, sobre el derecho nacional aplicable que
establece que: 1. Cada Estado miembro
aplicará las disposiciones nacionales que haya aprobado para la aplicación de
la presente Directiva a todo tratamiento de datos personales cuando: (a) el
tratamiento sea efectuado en el marco de las actividades de un establecimiento
del responsable del tratamiento en el territorio del Estado miembro. Cuando el
mismo responsable del tratamiento esté establecido en el territorio de varios
Estados miembros deberá adoptar las medidas necesarias para garantizar que cada
uno de dichos establecimientos cumple las obligaciones previstas por el Derecho
nacional aplicable.
A la luz de estas disposiciones, el derecho aplicable de un Estado miembro
depende de dos condiciones acumulativas: la existencia de un establecimiento
del responsable del tratamiento en el territorio de un Estado miembro y la
implementación del tratamiento de datos en el marco de las actividades de este
establecimiento.
Tratándose del primer criterio, la comisión restringida recuerda que en su
sentencia Weltimmo de 1 de octubre de
2015, el Tribunal de Justicia de la Unión Europea especificó que el concepto de establecimiento, en el
sentido de la Directiva 95/46, se extiende a toda actividad real y efectiva,
incluso mínima, realizada mediante una instalación estable, el criterio de
estabilidad de la instalación se examina en consideración a la presencia de medios humanos y técnicos necesarios a la
prestación de servicios concretos en cuestión (ítems 30 y 31 de la
sentencia).
En el presente caso, la comisión restringida establece, en primer lugar,
que la calidad del establecimiento de UBER FRANCE SAS no fue impugnada. Ella se
establece porque esta empresa tiene locales estables ubicados en Francia en el
seno de los cuales sus empleados están a cargo de las actividades de apoyo a la
atención de los conductores y la realización de campañas de marketing del grupo
en el territorio francés.
La comisión restringida considera, por lo tanto, a la luz de estos
elementos y de la jurisprudencia del Tribunal de Justicia de la Unión Europea
en la materia, que UBER FRANCE SAS dispone de una instalación estable en
territorio francés por medio de de la cual ejerce una actividad real y efectiva
gracias a los medios humanos y técnicos necesarios en particular para la
prestación de los servicios de las empresas UBER BV y UBER TECHNOLOGIES
INC.
En lo que respecta al segundo criterio, la Comisión restringida recuerda
que en su sentencia Costeja de 13 de
mayo de 2014, el Tribunal de Justicia de la Unión Europea precisó que un tratamiento
de datos personales se realiza en el marco de las actividades de un
establecimiento cuando éste está destinado a asegurar la actividad de promoción
y venta de espacios publicitarios para las necesidades de una empresa ubicada
en un tercer Estado. Ella señala en este caso, que UBER FRANCE SAS lleva a cabo
campañas de marketing para promocionar los servicios de UBER y proporciona un
servicio de asistencia para clientes y conductores. Por lo tanto, el
tratamiento en cuestión debe ser
considerado como aquel efectuado en el marco de las actividades de un
establecimiento de los responsables de tratamientos como son aquellos de las
empresas, UBER B.V y UBER TECHNOLOGIES INC.
La comisión restringida concluye que se han cumplido los dos criterios
establecidos en el Artículo 4.1 (a) de la directiva y del artículo 5.I.1 ° de
la Ley de Protección de Datos, aplicándose la ley francesa, incluida la
posibilidad de la CNIL de imponer una sanción pecuniaria.
3. Sobre el destinatario de la medida.
La empresa UBER considera que la CNIL no puede imponer una sanción sino a
un responsable del tratamiento de datos y no a un simple establecimiento a
quien no pueden imputársele las violaciones de la ley informática y libertades.
Ella recuerda que en este caso, la ocurrencia de la violación de datos es
únicamente atribuible a UBER B.V como responsable del tratamiento. Ella estima,
en consecuencia, que imponer una sanción contra la empresa UBER FRANCE SAS
constituiría una clara violación del principio de personalización de las penas.
La comisión restringida recuerda que el Tribunal de Justicia de la Unión
Europea dictaminó en su sentencia Wirtschaftsakademie
Schleswig-Holstein GmbH de 5 de junio de 2018 que cuando una empresa establecida fuera de la Unión tiene más de un
establecimiento en diferentes Estados miembros, la autoridad de control de un
Estado miembro está habilitada a ejercer las facultades que le confiere el
artículo 28, apartado 3, de dicha directiva respecto de un establecimiento de
esa empresa situado en el territorio de ese Estado miembro. aun cuando, en
virtud de la repartición de tareas en el seno de un grupo, por una parte, esa
institución es responsable únicamente de la venta de espacios publicitarios y
otras actividades de marketing en el territorio de ese Estado miembro y, de
otro lado, la responsabilidad exclusiva de la colecta y el tratamiento de datos
personales incumba, para el conjunto del territorio de la Unión, a un
establecimiento situado en otro Estado miembro.
Esto implica, en consecuencia, que desde que una autoridad de control de
un Estado miembro desea hacer uso de ese poder, entra en el alcance de este
artículo, el mismo que puede ser ejercido respecto al establecimiento del
responsable ubicado, dentro del territorio de ese Estado miembro,
independientemente del tipo de poder previsto.
El artículo 28, parágrafo 3, de la Directiva 95/46 / CE, de 24 de octubre
de 1995, sobre protección de datos dispone:
Cada autoridad de control dispone en particular:
• de poderes de investigación, como el poder de acceder a
los datos que se procesan y de recopilar toda la información necesaria para el
cumplimiento de su misión de control,
• de poderes efectivos de intervención, tales como, por
ejemplo, aquel de emitir opiniones previas a la implementación de tratamientos,
de conformidad con el Artículo 20, y de asegurar una publicación apropiada de
tales opiniones o de ordenar el bloqueo, el borrado o la destrucción de datos,
o la prohibición temporal o definitiva del tratamiento, o aquel de dirigir
advertencias o admoniciones al responsable o aquel de advertir los parlamentos
nacionales u otras instituciones políticas, [...]
El alcance de los poderes a disposición de las autoridades de control de
conformidad con el artículo 28 (3) de la Directiva ha sido aclarado por el
Tribunal de Justicia de la Unión Europea, en particular en su Decisión Weltimmo precitado.
En efecto, en el punto 49 de su decisión, el Tribunal declaró que, dada la naturaleza no exhaustiva de las facultades
así enumeradas y el tipo de facultades de intervención mencionadas en esa
disposición, así como el margen de maniobra a disposición de los Estados
miembros para la transposición de la Directiva 95/46, debe considerarse que
esos poderes de intervención pueden incluir el poder de penalizar a la persona
responsable del tratamiento de datos mediante la imposición de una multa.
En el derecho interno, la posibilidad para la comisión restringida de la
CNIL de imponer una sanción financiera está expresamente prevista en el
artículo 45 de la Ley de Protección de Datos (en su versión aplicable al día de
los hechos), que constituye la transposición de las disposiciones de la ley
francesa. artículo 28, apartado 3, de la directiva.
Por lo tanto, la comisión restringida considera que, en la medida en que la
facultad de imponer una sanción financiera entra dentro del ámbito de
aplicación del artículo 28, apartado 3, de la directiva; que esta posibilidad
es ofrecida por el artículo 45 de la Ley de Informática y Libertades y que la
empresa UBER FRANCE SAS son establecimientos de UBER TECHNOLOGIES INC. y de UBER
BV, responsables de estos tratamientos, se desprende de estas disposiciones,
ilustradas por la jurisprudencia del Tribunal de Justicia de la Unión Europea,
que el poder de imponer una sanción pecuniaria puede ejercerse contra la
empresa. UBER FRANCE SAS. Además, dada la naturaleza de los vínculos entre la
empresa UBER FRANCE SAS y los responsables del tratamiento, que implementan sus
operaciones de tratamiento en el marco de las actividades propias de su
establecimiento francés, el pronunciamiento de una sanción financiera a este último
no podría considerarse como
desconocimiento del principio de personalización de las penas.
4. Sobre el Incumplimiento de la seguridad y
confidencialidad de los datos.
El artículo 34 de la ley modificada del 6 de enero de 1978 dispone que el responsable del tratamiento
está obligado a tomar todas las precauciones necesarias, teniendo en cuenta la
naturaleza de los datos y de los riesgos que presenta el tratamiento, para
preservar la seguridad de los datos y, en particular, evitar que se deformen, dañen
o que terceros no autorizados tengan acceso a ellos.
Corresponde a la comisión restringida de decidir si la empresa UBER ha
incumplido su obligación de implementar los medios apropiados para garantizar
la seguridad de los datos personales tratados y, en particular, los de los
usuarios del servicio UBER, en particular para que estos datos no sean
accesibles a terceros no autorizados.
En su defensa, la empresa considera que ella no ha cometido ningún
incumplimiento de sus obligaciones en la medida en que, antes de que se
produjera la violación, ella había implementado medidas de seguridad
suficientes.
En primer lugar, con respecto a
asegurar el acceso a la plataforma GitHub, la empresa estima que no ha sido
negligente al permitir que sus ingenieros usen identificadores personales para
conectarse a GitHub. Afirma que esta práctica constituye de otro lado una
recomendación emitida por la plataforma GitHub sobre buenas prácticas en el
desarrollo de proyectos. Ella explica que la implementación de una medida de
autenticación multifactorial en GitHub no era obligatoria, ya que esta
plataforma no se utilizó como una herramienta interna a la empresa en la que se
almacenaron los datos personales.
La comisión restringida señala que la plataforma GitHub utilizada por
[...], constituyó una herramienta de trabajo central en el desarrollo de las
actividades de la empresa, cuyo acceso debería haber estado enmarcado por
normas de seguridad adecuadas. En este caso, a pesar de la recomendación de la
plataforma GitHub, correspondía a la empresa, como responsable, adoptar reglas
que pudieran garantizar la seguridad de la información almacenada en GitHub
que, si no constituían en ella misma, datos personales (que eran claves de
acceso a los servidores) [...] permitiendo el acceso directo a una gran
cantidad de datos relacionados con los usuarios del servicio UBER, ya que estos
datos se conservaban en los servidores [...].
La comisión restringida señala que la posibilidad de establecer una medida
de autenticación multifactorial fue expuesta en la misma recomendación que
aquella referenciada por la empresa. [...]
Finalmente, la comisión restringida considera que la ausencia de un proceso
relativo al retiro de las habilitaciones de los antiguos ingenieros constituye
una negligencia importante, ya que la empresa no pudo garantizar que las
personas que habían abandonado la empresa no siguieran accediendo a los
proyectos desarrollados. en Github.
Luego, con respecto a la
presencia en claro de los identificantes de acceso a los servidores [...] en el
código fuente almacenado en la plataforma GitHub, la empresa explica que fue un
incidente aislado atribuible a un error humano. . Afirma que en el momento del
incidente [...].
La comisión restringida recuerda que en materia de autenticación, es
importante de velar a que los identificantes que permiten de conectarse de
forma segura a los servidores que contienen una gran cantidad de datos
personales no puedan ser divulgados. Por lo tanto, es imperativo que dichos
identificantes no se almacenen en un archivo que no esté protegido. De hecho,
la comisión restringida señala que la propia empresa [...] recomienda a los usuarios
de sus servicios [...] no almacenar directamente los identificantes en los
archivos de código.
La comisión restringida considera que la decisión de la empresa muestra que
era consciente de que los identificantes de acceso estaban potencialmente
presentes en su código fuente y de otro lado, que la presencia de dicha
información en el seno de GitHub era una fuente de riesgo.
De otro lado, tratándose
de falta de seguridad de acceso a los servidores, la empresa explica [...]
La comisión restringida señala que si una medida [...].
Finalmente, la empresa
explica que la implementación de una medida de filtrado de direcciones IP
autorizadas a acceder a los servidores [...].
La comisión restringida considera que cuando los empleados tienen que
conectarse de forma remota a los servidores utilizados por una empresa, la
seguridad de esta conexión constituye una precaución básica para preservar la
confidencialidad de los datos tratados. Esta seguridad, por ejemplo, puede
basarse al menos en la configuración de una medida de filtrado de direcciones
IP para que solo se puedan ejecutar las solicitudes que se originan en las
direcciones IP identificadas, lo que hace posible evitar cualquier conexión
ilícita, asegurando los intercambios de datos y autentificando a los usuarios.
Ella considera que, dada del número importante de personas cuyos datos
personales se conservan en los servidores, [...] el establecimiento de un
sistema de filtrado de direcciones IP, aun cuando éste requiere un largo
desarrollo, constituía un esfuerzo necesario que debería haber sido planeado
desde el inicio del uso de los servicios [...].[...].
A la luz de estos elementos, la comisión restringida señala que la empresa hizo
prueba de negligencia al no implementar algunas medidas de seguridad básicas.
Esta falta de precaución generalizada es evidente ya que el éxito del ataque de
los atacantes se debió a una sucesión de negligencias, ilustrada por las tres
etapas del ataque. Por lo tanto, la comisión restringida considera que la
empresa no ha tomado todas las precauciones necesarias para evitar que terceros
no autorizados tengan acceso a los datos procesados y que se constituya la
violación del artículo 34 de la Ley modificada del 6 de enero de 1978.
5. Sobre el castigo y la publicidad.
La comisión restringida recuerda que esta decisión se refiere a una
violación continua que ocurrió después del 7 de octubre de 2016, fecha de la
entrada en vigor de la Ley por una República Digital, y que fue constatada con
una violación de datos de los hechos. Por lo tanto, los incumplimientos
reprochados a la empresa UBER deben ser
evaluados en virtud de esta ley, que garantiza la transposición al derecho
nacional de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de
octubre de 1995 (en adelante, la directiva) y que era aplicable al momento de
los hechos.
Conforme a los términos del I del artículo 45 de la Ley modificada de 6 de
enero de 1978, en su versión aplicable al día de las constataciones.
Cuando el responsable de un tratamiento no cumpla con las
obligaciones derivadas de esta ley, el presidente de la Comisión Nacional de
Informática y Libertades puede notificarle que ponga fin a los incumplimientos
constatados dentro de un tiempo que ella fija. En caso de extrema urgencia,
este período puede reducirse a veinticuatro horas.
Si el responsable del tratamiento cumple con la
notificación formal que se le envió, el presidente de la comisión deberá
declarar el cierre del procedimiento. En el caso contrario, la comisión
restringida de la comisión puede pronunciar, después de un procedimiento
contradictorio, las siguientes sanciones:
1° Una advertencia;
2° Una sanción pecuniaria, en las condiciones previstas
en el artículo 47, excepto en los casos en que el Estado aplique el
tratamiento;
3° Un requerimiento judicial para cesar el tratamiento,
cuando este se refiera a la sección 22, o un retiro de la autorización otorgada
conforme a la sección 25.
Cuando la infracción constatada no pueda ser objeto de
cumplimiento en el marco de un aviso judicial, la comisión restringida puede
pronunciar, sin previo aviso y siguiendo un procedimiento de confrontación, las
sanciones previstas en el presente I .
Los párrafos 1 y 2 del artículo 47 de la ley precitada, en su versión
aplicable en el día de las constataciones, precisan que:
El importe de la sanción financiera prevista en el I del
artículo 45 es proporcional a la gravedad de la infracción y a los beneficios
derivados de la misma. La comisión restringida de la Comisión Nacional de
Informática y Libertades tiene en cuenta, en particular, la naturaleza
intencional o negligente de la violación, las medidas tomadas por el
responsable del tratamiento para mitigar los daños sufridos por las personas
involucradas, el grado de cooperación con la comisión para remediar la
infracción y mitigar sus efectos negativos, las categorías de datos personales
en cuestión y la forma en que la infracción se puso en conocimiento de la
Comisión.
El monto de la sanción no podrá superar los 3 millones de
euros.
La empresa considera que la cantidad de 400,000 euros no se justifica, ya
que los datos concernidos por la violación no son datos sensibles, que
reaccionó rápidamente tomando las medidas necesarias para limitar el impacto de
violación, que comunicó la existencia de la violación al público, que la
violación no causó ningún perjuicio a las personas interesadas y que cooperó con
la CNIL.
La comisión restringida recuerda que el hecho de que los datos disponibles
no contengan ningún dato que pueda describirse como sensible, en el sentido del
Artículo 8 de la Ley de Protección de Datos, no influye en la caracterización
del incumplimiento de la obligación que incumbe a un responsable de datos para
garantizar la seguridad de los datos que procesa. Además, señala que la
violación de datos afectó a 1,4 millones de usuarios, un gran número de
personas, y datos de identificación como el apellido, el nombre, la dirección
de correo electrónico, la ciudad o país de residencia y número de teléfono
móvil.
Por otro lado, si no se ha informado a presente de ningún daño sufrido por
las personas como resultado de la violación de los datos, la prueba de la
ausencia total de daños no puede ser invocada por la empresa. Además, se
establece que los atacantes se apoderaron de los datos, lo que les deja la
posibilidad, cualquiera que sean los argumentos que sostenga la empresa, de un
uso posterior.
En consideración de los elementos arriba desarrollados, los hechos
constatados y los incumplimientos establecidos en el artículo 34 de la Ley
modificada del 6 de enero de 1978 justifican la imposición de una multa de
400,000 (cuatrocientos mil) euros.
Finalmente, la comisión restringida considera que, en vista de la gravedad
del fallo mencionado anteriormente, del contexto actual en el que se
multiplican los incidentes de seguridad y la necesidad de sensibilizar a los
responsables y usuarios de Internet sobre los riesgos para la seguridad de los
datos, es necesario hacer pública su decisión, de conformidad con el artículo
46 de la ley modificada del 6 de enero de 1978.
POR ESOS MOTIVOS
La comisión restringida de la CNIL, después de haber deliberado, decide:
• de pronunciar en contra de UBER FRANCE SAS, actuando
como establecimiento de UBER INC y UBER BV, una multa pecuniaria de un monto de
400,000 (cuatrocientos mil) euros;
• dar a conocer públicamente su deliberación en el sitio
web de la CNIL y en el sitio web de Légifrance, que será anonimizada al final
de un período de dos años a contar desde su publicación.
El
presidente
Jean-François CARREZ
Esta decisión es susceptible de ser apelada ante el Consejo de Estado
dentro de un plazo de dos meses a partir de su notificación.
|
