La normativa sobre protección de datos contempla la posibilidad de que las asociaciones de usuarios puedan interponer denuncias sobre posibles infracciones de la normativa ante la Agencia Española de Protección de Datos (en adelante,» AEPD»).
Haciendo uso de esta posibilidad, en el transcurso del 2018, han sido numerosas las reclamaciones interpuestas por la FACUA, una asociación de consumidores y usuarios, principalmente en relación con:
- El uso fraudulento de los datos personales en relación con la falsa morosidad, es decir, consumidores y usuarios son incluidos infundadamente en ficheros de morosos;
- Llamadas o correos no deseados;
- Filtraciones de datos.
Centrándonos en la reclamación interpuesta contra Epic Games ante la AEPD, la FACUA denuncia posibles filtraciones de datos personales de usuarios del videojuego Fortnite a consecuencia de distintas vulnerabilidades del software del videojuego. Fortnite forma parte de los e-sports, es decir, de competiciones de videojuegos que son capaces de mover una gran masa de usuarios.
A pesar de que en algunos Estados se ha comenzado a regular acerca de e-sports, como es el caso de Francia, en España no existe aún regulación al respecto. Esta ausencia de regulación sectorial no implica que no deba someterse a ninguna normativa, deberán de regularse por la normativa existente como cualquier otra actividad.
Cabe poner atención en la normativa sobre protección de datos en relación con la denuncia presentada ante la AEPD. El Reglamento General de Protección de Datos (en adelante, “RGPD”) no sanciona por la existencia de violaciones de seguridad de los datos personales sino:
- Por la falta de cumplimiento de las obligaciones de supervisión de los tratamientos de datos personales por parte de encargados y responsables del tratamiento de la organización;
- Por la falta de cumplimiento con el deber de notificación de las violaciones de seguridad.
La AEPD tendrá en cuenta las buenas prácticas, si las hay, de Epic Games en relación con el principio de responsabilidad proactiva en la gestión de la brecha de seguridad.
¿Cómo se gestiona una violación de seguridad?
La organización debe estar preparada para hacer frente a este tipo de incidentes. En este proceso previo de preparación, se deberán de recoger todas las medidas técnicas y organizativas necesarias para poder confrontar un incidente.
Estas medidas deben permitir a la organización ofrecer una respuesta rápida, ordenada y eficaz al incidente, persiguiendo minimizar las consecuencias sobre los interesados y la propia organización.
Es importante establecer un registro de incidencias donde se recoja determinada información sobre las concretas brechas de seguridad. Además, se deberá notificar lo ocurrido a la AEPD en un plazo de 72 horas y, en su caso, a los usuarios afectados.
¿En qué han consistido las vulnerabilidades de Fortnite?
No es ninguna novedad que el videojuego Fortnite siempre ha sido atractivo para los ciberdelincuentes. Esto se debe a que Fortnite recoge a más de 80 millones de jugadores de todo el mundo y produce unos ingresos de 4 millones de dólares aproximadamente.
El pasado agosto, Fotrnite se vio afectado por una brecha de seguridad. El instalador de Android permitía que se descargase cualquier tipo de aplicación en el teléfono sin conocimiento del usuario.
Hace unas semanas, Fortnite fue blanco de otra brecha de seguridad. En este caso, la vulnerabilidad afectó a dos puntos:
- Por una parte, los hackers tenían la posibilidad de controlar las cuentas de los usuarios y accediendo a sus datos personales pudiendo, incluso, comprar el dinero virtual del juego mediante la tarjeta de crédito de los jugadores;
- Por otra parte, podían escuchar las conversaciones tanto dentro del juego como las provenientes del lugar donde se encontrase físicamente el jugador.
Este fallo tuvo lugar en el proceso de autentificación basado en los tokens utilizados en el sistema Single Sing-On para así robar las credenciales de acceso de los usuarios y apoderarse de sus cuentas.
La AEPD deberá pronunciarse sobre la denuncia presentada por la FACUA. Para ello, deberá de sopesar si previamente se adoptaron todas las medidas técnicas y organizativas necesarias para hacer frente a un incidente, si se comunicó la brecha de seguridad en el plazo establecido tanto a la propia AEPD como a los usuarios afectados y si se actuó con rapidez para minorar los posibles daños.
Si la AEPD considera que Epic Games no actuó conforme al RGPD, podrá imponerle una sanción de hasta 10.000.000 de euros o de una cuantía equivalente al 2 % como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la cuantía mayor.