jueves, 17 de enero de 2019

UBER Y LAS MULTAS EUROPEAS POR INCUMPLIMIENTO EN EL TRATAMIENTO DE DATOS PERSONALES



El 19 de diciembre de 2018, la comisión restringida de la Comisión Nacional de Tecnologías de la Información y Libertades (CNIL) impuso una sanción financiera de 400 000 € a la empresa Uber France SAS por incumplimiento en la obligación de garantizar el seguridad de los datos personales (Deliberación No. SAN-2018-011 de 19 de diciembre de 2018. Ver Anexo 1, al final).

En noviembre de 2017, la empresa de transporte con conductor reveló en su sitio web que a fines de 2016, dos personas tuvieron acceso a datos personales relacionados con 57 millones de usuarios de servicios, de los cuales 1,4 millones en territorio francés (pasajeros y conductores).

Tras esta revelación, el Grupo del Artículo 29 (G-29) estableció un grupo de trabajo para coordinar los procedimientos de investigación de las diferentes autoridades de protección de datos.

La autoridad holandesa de protección de datos impuso entonces una multa financiera de  600,000 € contra Uber. La autoridad inglesa emitió una sanción financiera de alrededor de 400,000 €. La Comisión Nacional Informática y Libertades, CNIL, autoridad francesa - similar a la Autoridad Nacional de Protección de Datos Personales peruana, APDP - acaba de pronunciar una multa de 400,000 €.

Los hechos.

La empresa Uber Technologies INC es una compañía cuya sede central se encuentra ubicada en los Estados Unidos y cuya actividad principal es el transporte de personas con conductor. Tiene una filial en Francia, Uber France SAS.

El 22 de diciembre de 2017, la CNIL dirigió a la compañía Uber, sujeta al derecho  americano y a la compañía sujeta a las leyes holandesas un cuestionario sobre las circunstancias de la violación de datos. En ese requerimiento, afirmó que la empresa de transporte utilizó GitHub, una plataforma de desarrollo de software de terceros en Internet, para almacenar sus  códigos de acceso. Los ingenieros de la compañía se conectaron a esta plataforma utilizando una dirección de correo electrónico personal y una contraseña que ellos mismos configuraron individualmente.

No obstante, los atacantes utilizaron esos identificantes para conectarse a la plataforma GitHub y encontraron una clave de acceso escrita en claro en un archivo de código fuente. Esta clave de acceso permitió el acceso a la plataforma de alojamiento donde se almacenan los datos personales de los usuarios de los servicios de la empresa de transporte. Asi, pudieron descargar datos personales de esta plataforma.

Una falta a la obligación de garantizar la seguridad de los datos.

No siendo aplicable el Reglamento General de Protección de Datos (RGPD) en el momento de los hechos, la CNIL aplicó la ley modificada del 6 de enero de 1978. De conformidad con el artículo 34 de esa Ley, el responsable del tratamiento debe tomar todas las precauciones necesarias, teniendo en cuenta la naturaleza de los datos y los riesgos que presenta el procesamiento para preservar la seguridad de los datos, y en particular para evitar que terceros no autorizados tengan acceso a estos. A la luz de este texto, la deliberación de la CNIL señala varias deficiencias relacionadas con la seguridad de los datos personales.

La primera falta a la obligación de garantizar la seguridad de los datos se relacionó con fallas en el acceso a la plataforma GitHub. La comisión restringida de la CNIL señala que la plataforma GitHub era una herramienta de trabajo central en el desarrollo de las actividades de la compañía, cuyo acceso debería estar enmarcado por normas de seguridad adecuadas.

En este contexto, el hecho que  la plataforma GitHub recomiende que los ingenieros utilicen identificantes personales para conectarse no fue tenido en cuenta por la comisión restringida.

Esta última consideró que, a pesar de las recomendaciones del editor de la plataforma, la empresa, como responsable del tratamiento, debería haber adoptado las reglas necesarias para garantizar la seguridad de la información que almacenaba allí. Estas medidas se imponían, sobre todo, si el conocimiento de estas informaciones hicieron posible acceder y extraer los datos personales de varios millones de usuarios.

La ausencia de un proceso relacionado con el retiro de las habilitaciones de antiguos ingenieros también fue alegada contra la empresa de transporte. Según la comisión restringida de la CNIL, se trata de una "negligencia importante ya que la empresa no pudo garantizar que las personas que abandonaron la empresa no siguieran accediendo a los proyectos desarrollados".

La segunda infracción se relaciona con la presencia sin cifrar de los identificadores de acceso al servidor en un código fuente almacenado en la plataforma GitHub.

La compañía pudo explicar que esto fue solo un incidente aislado debido a un error humano. Sin embargo, la comisión restringida recuerda que, en términos de identificación, es importante garantizar que los identificantes para conectarse a los servidores que alojan datos personales no puedan ser divulgados. Por lo tanto, es imperativo que dichos identificantes no se almacenen de forma clara en el código fuente de la plataforma, como fue el caso aquí.

La tercera infracción se refiere a la implementación de una medida de filtrado de direcciones IP autorizadas para acceder a los servidores.

La comisión restringida de la CNIL destaca el hecho de que cuando los empleados tienen que conectarse de forma remota a los servidores utilizados por una empresa, asegurar esta conexión es una precaución básica para preservar la confidencialidad de los datos procesados.

Esta seguridad puede basarse, al menos, en la implementación de una medida de filtrado de direcciones IP, de modo que solo se ejecuten las solicitudes que se originan en las direcciones IP identificadas.

Sin embargo, tal medida de filtrado de IP no ha sido establecida por la empresa de transporte desde el inicio del uso del servicio.

En vista de los elementos enumerados anteriormente, la comisión restringida considera que la compañía fue negligente y no tomó todas las precauciones necesarias para evitar que terceros no autorizados accedan a los datos procesados. Por lo tanto, se constituye la violación del artículo 34 de la Ley modificada de 6 de enero de 1978.

Sanción.

La comisión restringida recuerda que el hecho de que los datos accesibles no contengan ningún dato que pueda describirse como sensible, en el sentido del Artículo 8 de la Ley de Protección de Datos, no influye en la caracterización del incumplimiento de la obligación que incumbe a un responsable de datos para garantizar la seguridad de los datos que procesa.

Además, señala que la violación se refería a:

·         un gran número de usuarios (1,4 millones en Francia),
·     datos de identificación como el nombre, el nombre, la dirección de correo electrónico, la ciudad o el país de residencia y el número de teléfono móvil.

Si bien se observa que "hasta la fecha no se ha informado ningún daño sufrido por las personas como resultado de la violación de datos", la comisión restringida subraya que la empresa de transporte no puede confiar en la ausencia total de daños sufridos por las personas afectadas en la medida en que no se discuta que los atacantes tuvieron acceso a los datos personales. Por lo tanto, la comisión restringida considera que el uso malintencionado de tales datos siempre es posible.

De este modo, la comisión restringida de la CNIL establece una sanción pecuniaria de 400 000 € contra la filial francesa.

La publicidad de la sanción está motivada por la gravedad de la violación, el contexto de la multiplicación de incidentes de seguridad y la necesidad de sensibilizar a los responsables de datos y a los usuarios sobre los riesgos para la seguridad de los datos.

Recomendaciones

La lectura de la deliberación de la comisión restringida recomienda, en consecuencia, a resaltar la importancia de las medidas de seguridad a implementar, especialmente en el caso del uso de una plataforma de terceros.

Por lo tanto, la implementación de medidas de autenticación sólidas de las personas que acceden a los datos, la revocación de los permisos de acceso, el filtrado de direcciones IP o el almacenamiento seguro de identificadores serán otras tantas medidas necesarias a definir.

Esta penalización de 400.000 € se suma a las sanciones impuestas por las autoridades inglesas y holandesas. El importe acumulado de las sanciones pecuniarias pronunciadas contra las entidades europeas del grupo de transporte Uber como resultado de la violación de los datos asciende a 1,4 millones de euros. 

Vale preguntarse, cuántos de los 57 millones de usuarios de servicios, afectados por el incumplimiento de las obligaciones de Uber son peruanos, y cómo ha reaccionado nuestra APDP en el Perú, al respecto?

Pero esto no es todo, la Corte de Apelaciones de París acaba de reconocer la relación laboral que une a Uber con un conductor  de transporte (automóvil, moto, ...) como un "contrato de trabajo". Pareciera que la UE entiende regular mas firmemente los bienes y servicios informáticos dispensados en el ámbito de su jurisdicción. 

Y el Ministerio de Trabajo peruano, reflexiona ya sobre esta posible relación laboral en cuestión?

---------------------------------------------------------------------  

ANEXO 1 Deliberación No. SAN-2018-011 del 19 de diciembre de 2018
(La presente Deliberación ha sido traducida por el autor. )


Deliberación de la comisión restringida N° SAN-2018-011 del 19 de diciembre de 2018 que impone una multa a la empresa UBER FRANCE SAS


La Comisión Nacional de Informática y Libertades, reunida en comisión restringida integrada por el Sr. Jean-François CARREZ, Presidente, el Sr. Alexandre LINDEN, Vicepresidente, la Sra. Dominique CASTERA, la Sra. Marie-Hélène MITJAVILE y el Sr. Maurice RONAI, como miembros de la comisión restringida;

Visto el Convenio del Consejo de Europa nº 108, de 28 de enero de 1981, para la protección de las personas en lo que respecta al tratamiento automático de datos personales;

Vista la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de dichos datos;

Vista  la ley N° 78-17 del 6 de enero de 1978 relativa a la informática, los archivos y libertades modificada, en particular, en sus artículos 45 y siguientes;

Visto el decreto N° 2005-1309 del 20 de octubre de 2005 adoptado para la aplicación de la ley N° 78-17 del 6 de enero de 1978 relativa a la informática, archivos y libertades, modificada por el decreto N° 2007-451 25 de marzo de 2007;

Vista la deliberación N° 2013-175 del 4 de julio de 2013 que adopta el reglamento de la Comisión Nacional de Informática y Libertades; 

Vista la decisión N° 2017-279C del 8 de diciembre de 2017 del Presidente de la Comisión Nacional de Informática y Libertades para instruir al secretario general para que proceda o realice una misión de verificación del conjunto del tratamiento de datos personales relacionados en su totalidad o en parte con datos relativos a la comercialización o el uso de los productos o servicios asociados con la marca UBER; 

Vista la decisión del Presidente de la Comisión Nacional de Informática y Libertades de nombrar un responsable ante el grupo de comisión restringida, de fecha 13 de junio de 2018;

Visto el informe del Sr. François PELLEGRINI, Comisario de informe, notificado a la empresa UBER FRANCE SAS el 6 de agosto de 2018 y enviado para información a las empresas UBER B.V y UBER TECHNOLOGIES INC. ; 

Vistas las observaciones escritas de UBER FRANCE SAS, UBER B.V y UBER TECHNOLOGIES INC. recibidas el 24 de septiembre de 2018;

Vista la respuesta del ponente a los comentarios de UBER FRANCE SAS, UBER B.V y UBER TECHNOLOGIES INC., notificada el 9 de octubre de 2018; 

Vistas las nuevas observaciones escritas de UBER FRANCE SAS, UBER B.V y UBER TECHNOLOGIES INC. recibidas el 23 de octubre de 2018 y las observaciones orales hechas durante la sesión de comisión restringida; 

Vistas las otras piezas del expediente; 

Encontrándose presentes en la reunión de la comisión restringida del 8 de noviembre de 2018: 

• Sr. François PELLEGRINI, Comisario, en su informe;

Como representante de UBER FRANCE SAS:
• [...]

Como representante de UBER B.V:
• [...]

Como consultor de UBER FRANCE SAS, UBER B.V y UBER TECHNOLOGIES INC. :
• [...]
• [...]
• [...]
• [...]
• [...]

Como intérprete:
• [...]

La Sra. Eve JULLIEN, Comisaria del del Gobierno adjunta, sin haber hecho observaciones;

Los representantes de UBER quienes hicieron uso de la palabra al final;

Ha adoptado la siguiente decisión:

I- Hechos y procedimiento.

UBER TECHNOLOGIES INC., fundada en 2009 y con sede en 1455 Market Street en San Francisco en los EE. UU., se dedica principalmente al transporte de personas con conductores, conocido como VTC, a través de una plataforma web y una aplicación. móvil. 

Para ofrecer este servicio en otros países, se han establecido varias filiales en todo el mundo, entre ellas UBER BV, ubicada en 7 Meester Treublaan, Ámsterdam, Países Bajos y UBER FRANCE SAS, ubicada en 5, rue Charlot, en París. La empresa UBER tiene aproximadamente 16,000 empleados. En 2017, generó una facturación de aproximadamente 6.000 millones de euros.

El 21 de noviembre de 2017, la empresa UBER TECHNOLOGIES INC. publicó en su sitio web un artículo haciendo mención que a finales de 2016, dos personas externas a la empresa habían accedido a datos de 57 millones de usuarios de los servicios de UBER en todo el mundo. Esta información fue enseguida retomada en numerosos artículos de prensa, algunos de los cuales informaron que la empresa había pagado a los atacantes la suma de US $ 100,000 para que destruyeran los datos en cuestión y que no revelaran la existencia de este incidente.

El 28 de noviembre de 2017, UBER B.V escribió al Presidente del Grupo de Trabajo del Artículo 29 sobre Protección de Datos (en adelante G29) informándole de las circunstancias de la violación de los datos y su voluntad de cooperar con todas las autoridades competentes sobre este asunto.

El 29 de noviembre de 2017, la Asamblea Plenaria del G29 ordenó la creación de un grupo de trabajo llamado taskforce con el objeto de coordinar los procedimientos de investigación de diferentes autoridades de protección de datos. Este grupo de trabajo estuvo compuesto por las autoridades holandesas, españolas, francesas, belgas, italianas, británicas y eslovacas. 

En aplicación de la decisión N° 2017-279C de 8 de diciembre de 2017 del Presidente de la Comisión Nacional de Informática y Libertades (en adelante CNIL o Comisión), una delegación de la CNIL envió el 22 de diciembre de 2017. a UBER TECHNOLOGIES INC. y UBER B.V (en adelante UBER o la empresa) un cuestionario sobre, en particular, las circunstancias de la violación de datos y las medidas tomadas por las empresas para garantizar la seguridad de los datos procesados.

El 22 de enero de 2018, la empresa respondió al cuestionario, explicando que la violación de datos ocurrió en tres etapas.

Primera, la empresa preciso que personas externas a la empresa obtuvieron acceso a un espacio de trabajo privado de Uber en GitHub. GitHub es una plataforma de desarrollo de software de terceros en Internet que fue utilizada por los ingenieros de software en Uber en el momento del incidente para almacenar el código para la colaboración y el desarrollo. Ella dijo que los ingenieros de Uber se estaban conectando a GitHub usando un nombre de usuario y una contraseña que ellos mismos habían establecido. Estas identificaciones tomaron la forma de una dirección de correo electrónico personal como un nombre de usuario y una contraseña individual. Explicó que la plataforma fue utilizada por [...] ingenieros y que no hubo un proceso de retiro de habilitaciones cuando un ingeniero dejaba la empresa. 

En segundo lugar, la empresa informó que los atacantes utilizaron estos identificantes para conectarse a la plataforma GitHub y encontraron una clave de acceso escrita de forma clara en un archivo de código fuente. Esta clave de acceso estaba relacionada con una cuenta de servicio que permitía el acceso a la plataforma de alojamiento [...] donde se almacenan los datos personales de los usuarios de los servicios UBER. 

En tercer lugar, la empresa explicó que los atacantes habían utilizado esta clave de acceso para acceder a las bases de datos UBER almacenadas en los servidores [...] y así descargar una cantidad significativa de datos personales. 

La empresa explicó que la violación de datos había afectado a 57 millones de usuarios en todo el mundo, incluidos 1,4 millones en Francia. Entre estos usuarios se encontraban 1,2 millones de pasajeros y 163,000 conductores. La empresa dijo que los atacantes tenían acceso a los siguientes datos: apellido, nombre, dirección de correo electrónico, ciudad o país de residencia, número de teléfono móvil y estado del usuario (conductor, pasajero o ambos).

La empresa finalmente explicó que, como resultado de la violación de datos, ella había establecido [...] 

Para los fines de la instrucción de estos elementos, el Presidente de la Comisión nombró al Sr. François PELLEGRINI como Relator, el 13 de junio de 2018, sobre la base del artículo 46 de la Ley modificada de 6 de enero de 1978 sobre Informática, archivos y libertades (en adelante, la ley modificada de 6 de enero de 1978 o la Ley de Protección de Datos).

Al final de su instrucción, el relator notificó a la empresa UBER FRANCE SAS el 6 de agosto de 2018 y notificó para información a las empresas UBER BV y UBER TECHNOLOGIES INC., un informe que detallaba las violaciones a la ley que consideraba constituidas. en este caso y propuso a la comisión restringida de la CNIL de imponer una sanción financiera de cuatrocientos mil (400,000) euros que se haría pública. Este informe fue acompañado por una convocatoria para la sesión de comisión restringida del 11 de octubre de 2018 e invitaba a la empresa a enviar comentarios en respuesta dentro del período actual hasta el 24 de septiembre de 2018. Por correo del 2 de octubre de 2018, la empresa fue informada que la sesión de comisión restringida fue pospuesta al 8 de noviembre siguiente.

El 24 de septiembre de 2018, la empresa, a través de su abogado, presentó observaciones escritas a las que el ponente respondió el 9 de octubre siguiente, en aplicación de las disposiciones del artículo 75 del Decreto No. 2005-1309 de 20 de octubre 2005 modificado.
El 23 de octubre de 2018, la empresa presentó nuevas observaciones en respuesta a las del ponente.

II- Motivos de la decisión.

1. Sobre la calidad del responsable de UBER TECHNOLOGIES INC. y UBER B.V

El I del artículo 3 modificado de la ley de 6 de enero de 1978 establece que la persona responsable del tratamiento de los datos personales es, a menos que esté expresamente designado por la ley o reglamento relacionado con dicho tratamiento, la persona, la autoridad pública, el servicio u organismo que determina sus finalidades y sus medios.
Esta disposición constituye la transposición del Artículo 2 (d) de la Directiva que define al responsable del tratamiento como la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o en conjunto con otros, determina los fines y medios del tratamiento de los datos personales.

La empresa UBER sostiene que solo  la empresa UBER B.V puede ser considerada como responsable del tratamiento y que UBER TECHNOLOGIES INC. solo actúa en calidad de subcontratista de la empresa UBER B.V. Ella recuerda que todas las tareas realizadas por UBER TECHNOLOGIES INC. en el marco del tratamiento, se inscriben en el margen de maniobra de la cual dispone esta empresa, como subcontratista, en la manera en que se lleva a cabo el tratamiento de datos. Ella recuerda que se concluyó un subcontrato entre las dos empresas y que, como subcontratista, la empresa UBER TECHNOLOGIES INC. redactó pautas de gestión de datos, capacitó a nuevos empleados del grupo, firmó contratos con empresas de terceros y que ella administró las consecuencias de la violación de datos.

En primer lugar, la comisión restringida señala que la calidad de responsable de tratamiento de UBER B.V no está en discusión.

En segundo lugar, la comisión restringida recuerda que, de acuerdo con el dictamen G29 Nº 1/2010, de 16 de febrero de 2010, sobre las nociones de responsable del tratamiento y subcontratista, un subcontratista que adquiere un papel importante en la determinación de las finalidades o medios esenciales del tratamiento es más un (co) responsable que un subcontratista. La opinión del G-29 afirma que el concepto de responsable del tratamiento reposa sobre un análisis fáctico más que en un análisis formal.

También señala que esa opinión establece que si bien la determinación de la finalidad del tratamiento llevaría sistemáticamente a la clasificación de responsable de tratamiento, la determinación de los medios implicaría una responsabilidad solo cuando ella concierne los elementos esenciales de los medios.

La comisión restringida señala además que de la evidencia se desprende que el servicio propuesto constituye una aplicación única diseñada y desarrollada en los Estados Unidos por la empresa UBER TECHNOLOGIES INC, una aplicación que se propuso posteriormente en otras regiones del mundo, por ser, según fuera necesario, simplemente adaptada de acuerdo con la legislación de esos Estados.

El comisión restringida señala, en particular, que es la empresa UBER TECHNOLOGIES INC. quién administró las consecuencias de la violación de datos.

En particular, son los equipos de UBER TECHNOLOGIES INC. quienes [...].

La empresa UBER BV no intervino durante este proceso a pesar de que la violación de datos estaba relacionada en parte con los usuarios de la aplicación UBER ubicada en el territorio de la Unión Europea, territorio para el cual la empresa, UBER BV fue descrita en las observaciones como la única responsable del tratamiento. La comisión restringida señala aún que es la empresa UBER TECHNOLOGIES INC [...].

Finalmente, es UBER TECHNOLOGIES INC. quien, a través de un artículo publicado por su director general, reveló la existencia de la violación al público.

La comisión restringida considera que la gestión de las consecuencias de la violación de los datos no es una simple cuestión técnica u organizativa que puede señalar enteramente el margen de maniobra disponible del cual dispone un subcontratista. Por el contrario, la gestión de una violación de datos es una cuestión anexa a un elemento esencial de un medio de tratamiento, cuyo responsable del tratamiento no puede ser desvincularse.

Para ello, UBER TECHNOLOGIES INC. ha escrito varios documentos claves relacionados con la gestión de los datos personales colectados, cuyas directivas se aplican a todas las entidades del grupo UBER. También es esta entidad la que se encarga de capacitar a los nuevos empleados del grupo. La comisión restringida también señala que es UBER TECHNOLOGIES INC. que ha suscrito contratos con varias empresas de terceros, [...], que proporcionan herramientas esenciales para el funcionamiento del servicio, tales como aquellas que permiten la gestión de campañas de marketing. 

La comisión restringida considera que la multitud de campos de acción en los cuales interviene la empresa UBER TECHNOLOGIES INC. refrenda su rol determinante en la determinación de los fines y los medios de tratamiento. En consecuencia, las empresas UBER. B.V y UBER TECHNOLOGIES INC. deben ser calificadas conjuntamente como responsables de los tratamientos.

2. Sobre la ley aplicable.

El I del artículo 5 de la ley modificada del 6 de enero de 1978 dispone que están sometidos a la presente ley los tratamientos de datos personales: 1 ° Aquellos cuyo responsable está establecido en territorio francés. El responsable de un tratamiento que realiza una actividad en el territorio francés en el marco de una instalación, cualquiera que sea su forma legal, se considera como establecida en éste.

Este artículo constituye la transposición al derecho nacional del artículo 4-1-a) de la Directiva 95/46 / CE, de 24 de octubre de 1995, sobre el derecho nacional aplicable que establece que: 1. Cada Estado miembro aplicará las disposiciones nacionales que haya aprobado para la aplicación de la presente Directiva a todo tratamiento de datos personales cuando: (a) el tratamiento sea efectuado en el marco de las actividades de un establecimiento del responsable del tratamiento en el territorio del Estado miembro. Cuando el mismo responsable del tratamiento esté establecido en el territorio de varios Estados miembros deberá adoptar las medidas necesarias para garantizar que cada uno de dichos establecimientos cumple las obligaciones previstas por el Derecho nacional aplicable. 

A la luz de estas disposiciones, el derecho aplicable de un Estado miembro depende de dos condiciones acumulativas: la existencia de un establecimiento del responsable del tratamiento en el territorio de un Estado miembro y la implementación del tratamiento de datos en el marco de las actividades de este establecimiento.

Tratándose del primer criterio, la comisión restringida recuerda que en su sentencia Weltimmo de 1 de octubre de 2015, el Tribunal de Justicia de la Unión Europea especificó que el concepto de establecimiento, en el sentido de la Directiva 95/46, se extiende a toda actividad real y efectiva, incluso mínima, realizada mediante una instalación estable, el criterio de estabilidad de la instalación se examina en consideración a la presencia de medios humanos y técnicos necesarios a la prestación de servicios concretos en cuestión (ítems 30 y 31 de la sentencia).

En el presente caso, la comisión restringida establece, en primer lugar, que la calidad del establecimiento de UBER FRANCE SAS no fue impugnada. Ella se establece porque esta empresa tiene locales estables ubicados en Francia en el seno de los cuales sus empleados están a cargo de las actividades de apoyo a la atención de los conductores y la realización de campañas de marketing del grupo en el territorio francés.

La comisión restringida considera, por lo tanto, a la luz de estos elementos y de la jurisprudencia del Tribunal de Justicia de la Unión Europea en la materia, que UBER FRANCE SAS dispone de una instalación estable en territorio francés por medio de de la cual ejerce una actividad real y efectiva gracias a los medios humanos y técnicos necesarios en particular para la prestación de los servicios de las empresas UBER BV y UBER TECHNOLOGIES INC. 

En lo que respecta al segundo criterio, la Comisión restringida recuerda que en su sentencia Costeja de 13 de mayo de 2014, el Tribunal de Justicia de la Unión Europea precisó que un tratamiento de datos personales se realiza en el marco de las actividades de un establecimiento cuando éste está destinado a asegurar la actividad de promoción y venta de espacios publicitarios para las necesidades de una empresa ubicada en un tercer Estado. Ella señala en este caso, que UBER FRANCE SAS lleva a cabo campañas de marketing para promocionar los servicios de UBER y proporciona un servicio de asistencia para clientes y conductores. Por lo tanto, el tratamiento en cuestión debe  ser considerado como aquel efectuado en el marco de las actividades de un establecimiento de los responsables de tratamientos como son aquellos de las empresas, UBER B.V y UBER TECHNOLOGIES INC. 

La comisión restringida concluye que se han cumplido los dos criterios establecidos en el Artículo 4.1 (a) de la directiva y del artículo 5.I.1 ° de la Ley de Protección de Datos, aplicándose la ley francesa, incluida la posibilidad de la CNIL de imponer una sanción pecuniaria.

3. Sobre el destinatario de la medida.

La empresa UBER considera que la CNIL no puede imponer una sanción sino a un responsable del tratamiento de datos y no a un simple establecimiento a quien no pueden imputársele las violaciones de la ley informática y libertades. Ella recuerda que en este caso, la ocurrencia de la violación de datos es únicamente atribuible a UBER B.V como responsable del tratamiento. Ella estima, en consecuencia, que imponer una sanción contra la empresa UBER FRANCE SAS constituiría una clara violación del principio de personalización de las penas.

La comisión restringida recuerda que el Tribunal de Justicia de la Unión Europea dictaminó en su sentencia Wirtschaftsakademie Schleswig-Holstein GmbH de 5 de junio de 2018 que cuando una empresa establecida fuera de la Unión tiene más de un establecimiento en diferentes Estados miembros, la autoridad de control de un Estado miembro está habilitada a ejercer las facultades que le confiere el artículo 28, apartado 3, de dicha directiva respecto de un establecimiento de esa empresa situado en el territorio de ese Estado miembro. aun cuando, en virtud de la repartición de tareas en el seno de un grupo, por una parte, esa institución es responsable únicamente de la venta de espacios publicitarios y otras actividades de marketing en el territorio de ese Estado miembro y, de otro lado, la responsabilidad exclusiva de la colecta y el tratamiento de datos personales incumba, para el conjunto del territorio de la Unión, a un establecimiento situado en otro Estado miembro.
Esto implica, en consecuencia, que desde que una autoridad de control ​​de un Estado miembro desea hacer uso de ese poder, entra en el alcance de este artículo, el mismo que puede ser ejercido respecto al establecimiento del responsable ubicado, dentro del territorio de ese Estado miembro, independientemente del tipo de poder previsto.

El artículo 28, parágrafo 3, de la Directiva 95/46 / CE, de 24 de octubre de 1995, sobre protección de datos dispone:

Cada autoridad de control dispone en particular:

• de poderes de investigación, como el poder de acceder a los datos que se procesan y de recopilar toda la información necesaria para el cumplimiento de su misión de control,
• de poderes efectivos de intervención, tales como, por ejemplo, aquel de emitir opiniones previas a la implementación de tratamientos, de conformidad con el Artículo 20, y de asegurar una publicación apropiada de tales opiniones o de ordenar el bloqueo, el borrado o la destrucción de datos, o la prohibición temporal o definitiva del tratamiento, o aquel de dirigir advertencias o admoniciones al responsable o aquel de advertir los parlamentos nacionales u otras instituciones políticas, [...]

El alcance de los poderes a disposición de las autoridades de control de conformidad con el artículo 28 (3) de la Directiva ha sido aclarado por el Tribunal de Justicia de la Unión Europea, en particular en su Decisión Weltimmo precitado.

En efecto, en el punto 49 de su decisión, el Tribunal declaró que, dada la naturaleza no exhaustiva de las facultades así enumeradas y el tipo de facultades de intervención mencionadas en esa disposición, así como el margen de maniobra a disposición de los Estados miembros para la transposición de la Directiva 95/46, debe considerarse que esos poderes de intervención pueden incluir el poder de penalizar a la persona responsable del tratamiento de datos mediante la imposición de una multa.

En el derecho interno, la posibilidad para la comisión restringida de la CNIL de imponer una sanción financiera está expresamente prevista en el artículo 45 de la Ley de Protección de Datos (en su versión aplicable al día de los hechos), que constituye la transposición de las disposiciones de la ley francesa. artículo 28, apartado 3, de la directiva.

Por lo tanto, la comisión restringida considera que, en la medida en que la facultad de imponer una sanción financiera entra dentro del ámbito de aplicación del artículo 28, apartado 3, de la directiva; que esta posibilidad es ofrecida por el artículo 45 de la Ley de Informática y Libertades y que la empresa UBER FRANCE SAS son establecimientos de UBER TECHNOLOGIES INC. y de UBER BV, responsables de estos tratamientos, se desprende de estas disposiciones, ilustradas por la jurisprudencia del Tribunal de Justicia de la Unión Europea, que el poder de imponer una sanción pecuniaria puede ejercerse contra la empresa. UBER FRANCE SAS. Además, dada la naturaleza de los vínculos entre la empresa UBER FRANCE SAS y los responsables del tratamiento, que implementan sus operaciones de tratamiento en el marco de las actividades propias de su establecimiento francés, el pronunciamiento de una sanción financiera a este último no podría  considerarse como desconocimiento del principio de personalización de las penas.

4. Sobre el Incumplimiento de la seguridad y confidencialidad de los datos. 

El artículo 34 de la ley modificada del 6 de enero de 1978 dispone que el responsable del tratamiento está obligado a tomar todas las precauciones necesarias, teniendo en cuenta la naturaleza de los datos y de los riesgos que presenta el tratamiento, para preservar la seguridad de los datos y, en particular, evitar que se deformen, dañen o que terceros no autorizados tengan acceso a ellos.

Corresponde a la comisión restringida de decidir si la empresa UBER ha incumplido su obligación de implementar los medios apropiados para garantizar la seguridad de los datos personales tratados ​​y, en particular, los de los usuarios del servicio UBER, en particular para que estos datos no sean accesibles a terceros no autorizados.

En su defensa, la empresa considera que ella no ha cometido ningún incumplimiento de sus obligaciones en la medida en que, antes de que se produjera la violación, ella había implementado medidas de seguridad suficientes.

En primer lugar, con respecto a asegurar el acceso a la plataforma GitHub, la empresa estima que no ha sido negligente al permitir que sus ingenieros usen identificadores personales para conectarse a GitHub. Afirma que esta práctica constituye de otro lado una recomendación emitida por la plataforma GitHub sobre buenas prácticas en el desarrollo de proyectos. Ella explica que la implementación de una medida de autenticación multifactorial en GitHub no era obligatoria, ya que esta plataforma no se utilizó como una herramienta interna a la empresa en la que se almacenaron los datos personales. 

La comisión restringida señala que la plataforma GitHub utilizada por [...], constituyó una herramienta de trabajo central en el desarrollo de las actividades de la empresa, cuyo acceso debería haber estado enmarcado por normas de seguridad adecuadas. En este caso, a pesar de la recomendación de la plataforma GitHub, correspondía a la empresa, como responsable, adoptar reglas que pudieran garantizar la seguridad de la información almacenada en GitHub que, si no constituían en ella misma, datos personales (que eran claves de acceso a los servidores) [...] permitiendo el acceso directo a una gran cantidad de datos relacionados con los usuarios del servicio UBER, ya que estos datos se conservaban en los servidores [...]. 

La comisión restringida señala que la posibilidad de establecer una medida de autenticación multifactorial fue expuesta en la misma recomendación que aquella referenciada por la empresa. [...] 

Finalmente, la comisión restringida considera que la ausencia de un proceso relativo al retiro de las habilitaciones de los antiguos ingenieros constituye una negligencia importante, ya que la empresa no pudo garantizar que las personas que habían abandonado la empresa no siguieran accediendo a los proyectos desarrollados. en Github.

Luego, con respecto a la presencia en claro de los identificantes de acceso a los servidores [...] en el código fuente almacenado en la plataforma GitHub, la empresa explica que fue un incidente aislado atribuible a un error humano. . Afirma que en el momento del incidente [...].

La comisión restringida recuerda que en materia de autenticación, es importante de velar a que los identificantes que permiten de conectarse de forma segura a los servidores que contienen una gran cantidad de datos personales no puedan ser divulgados. Por lo tanto, es imperativo que dichos identificantes no se almacenen en un archivo que no esté protegido. De hecho, la comisión restringida señala que la propia empresa [...] recomienda a los usuarios de sus servicios [...] no almacenar directamente los identificantes en los archivos de código.

La comisión restringida considera que la decisión de la empresa muestra que era consciente de que los identificantes de acceso estaban potencialmente presentes en su código fuente y de otro lado, que la presencia de dicha información en el seno de GitHub era una fuente de riesgo.

 De otro lado, tratándose de falta de seguridad de acceso a los servidores, la empresa explica [...]

 La comisión restringida señala que si una medida [...].

 Finalmente, la empresa explica que la implementación de una medida de filtrado de direcciones IP autorizadas a acceder a los servidores [...].

 La comisión restringida considera que cuando los empleados tienen que conectarse de forma remota a los servidores utilizados por una empresa, la seguridad de esta conexión constituye una precaución básica para preservar la confidencialidad de los datos tratados. Esta seguridad, por ejemplo, puede basarse al menos en la configuración de una medida de filtrado de direcciones IP para que solo se puedan ejecutar las solicitudes que se originan en las direcciones IP identificadas, lo que hace posible evitar cualquier conexión ilícita, asegurando los intercambios de datos y autentificando a los usuarios.

Ella considera que, dada del número importante de personas cuyos datos personales se conservan en los servidores, [...] el establecimiento de un sistema de filtrado de direcciones IP, aun cuando éste requiere un largo desarrollo, constituía un esfuerzo necesario que debería haber sido planeado desde el inicio del uso de los servicios [...].[...].

A la luz de estos elementos, la comisión restringida señala que la empresa hizo prueba de negligencia al no implementar algunas medidas de seguridad básicas. Esta falta de precaución generalizada es evidente ya que el éxito del ataque de los atacantes se debió a una sucesión de negligencias, ilustrada por las tres etapas del ataque. Por lo tanto, la comisión restringida considera que la empresa no ha tomado todas las precauciones necesarias para evitar que terceros no autorizados tengan acceso a los datos procesados ​​y que se constituya la violación del artículo 34 de la Ley modificada del 6 de enero de 1978.

5. Sobre el castigo y la publicidad. 

La comisión restringida recuerda que esta decisión se refiere a una violación continua que ocurrió después del 7 de octubre de 2016, fecha de la entrada en vigor de la Ley por una República Digital, y que fue constatada con una violación de datos de los hechos. Por lo tanto, los incumplimientos reprochados a la empresa  UBER deben ser evaluados en virtud de esta ley, que garantiza la transposición al derecho nacional de la Directiva 95/46/CE del Parlamento Europeo y del Consejo de 24 de octubre de 1995 (en adelante, la directiva) y que era aplicable al momento de los hechos.

Conforme a los términos del I del artículo 45 de la Ley modificada de 6 de enero de 1978, en su versión aplicable al día de las constataciones. 

Cuando el responsable de un tratamiento no cumpla con las obligaciones derivadas de esta ley, el presidente de la Comisión Nacional de Informática y Libertades puede notificarle que ponga fin a los incumplimientos constatados dentro de un tiempo que ella fija. En caso de extrema urgencia, este período puede reducirse a veinticuatro horas. 

Si el responsable del tratamiento cumple con la notificación formal que se le envió, el presidente de la comisión deberá declarar el cierre del procedimiento. En el caso contrario, la comisión restringida de la comisión puede pronunciar, después de un procedimiento contradictorio, las siguientes sanciones:

1° Una advertencia;
2° Una sanción pecuniaria, en las condiciones previstas en el artículo 47, excepto en los casos en que el Estado aplique el tratamiento;
3° Un requerimiento judicial para cesar el tratamiento, cuando este se refiera a la sección 22, o un retiro de la autorización otorgada conforme a la sección 25. 
Cuando la infracción constatada no pueda ser objeto de cumplimiento en el marco de un aviso judicial, la comisión restringida puede pronunciar, sin previo aviso y siguiendo un procedimiento de confrontación, las sanciones previstas en  el presente I . 

Los párrafos 1 y 2 del artículo 47 de la ley precitada, en su versión aplicable en el día de las constataciones, precisan que:

El importe de la sanción financiera prevista en el I del artículo 45 es proporcional a la gravedad de la infracción y a los beneficios derivados de la misma. La comisión restringida de la Comisión Nacional de Informática y Libertades tiene en cuenta, en particular, la naturaleza intencional o negligente de la violación, las medidas tomadas por el responsable del tratamiento para mitigar los daños sufridos por las personas involucradas, el grado de cooperación con la comisión para remediar la infracción y mitigar sus efectos negativos, las categorías de datos personales en cuestión y la forma en que la infracción se puso en conocimiento de la Comisión.

El monto de la sanción no podrá superar los 3 millones de euros.

La empresa considera que la cantidad de 400,000 euros no se justifica, ya que los datos concernidos por la violación no son datos sensibles, que reaccionó rápidamente tomando las medidas necesarias para limitar el impacto de violación, que comunicó la existencia de la violación al público, que la violación no causó ningún perjuicio a las personas interesadas y que cooperó con la CNIL. 

La comisión restringida recuerda que el hecho de que los datos disponibles no contengan ningún dato que pueda describirse como sensible, en el sentido del Artículo 8 de la Ley de Protección de Datos, no influye en la caracterización del incumplimiento de la obligación que incumbe a un responsable de datos para garantizar la seguridad de los datos que procesa. Además, señala que la violación de datos afectó a 1,4 millones de usuarios, un gran número de personas, y datos de identificación como el apellido, el nombre, la dirección de correo electrónico, la ciudad o país de residencia y número de teléfono móvil.

Por otro lado, si no se ha informado a presente de ningún daño sufrido por las personas como resultado de la violación de los datos, la prueba de la ausencia total de daños no puede ser invocada por la empresa. Además, se establece que los atacantes se apoderaron de los datos, lo que les deja la posibilidad, cualquiera que sean los argumentos que sostenga la empresa, de un uso posterior.

En consideración de los elementos arriba desarrollados, los hechos constatados y los incumplimientos establecidos en el artículo 34 de la Ley modificada del 6 de enero de 1978 justifican la imposición de una multa de 400,000 (cuatrocientos mil) euros.

Finalmente, la comisión restringida considera que, en vista de la gravedad del fallo mencionado anteriormente, del contexto actual en el que se multiplican los incidentes de seguridad y la necesidad de sensibilizar a los responsables y usuarios de Internet sobre los riesgos para la seguridad de los datos, es necesario hacer pública su decisión, de conformidad con el artículo 46 de la ley modificada del 6 de enero de 1978.

POR ESOS MOTIVOS

La comisión restringida de la CNIL, después de haber deliberado, decide:

• de pronunciar en contra de UBER FRANCE SAS, actuando como establecimiento de UBER INC y UBER BV, una multa pecuniaria de un monto de 400,000 (cuatrocientos mil) euros;

• dar a conocer públicamente su deliberación en el sitio web de la CNIL y en el sitio web de Légifrance, que será anonimizada al final de un período de dos años a contar desde su publicación.

 El presidente
 Jean-François CARREZ

Esta decisión es susceptible de ser apelada ante el Consejo de Estado dentro de un plazo de dos meses a partir de su notificación.

No hay comentarios:

Publicar un comentario