La autoridad de protección de datos irlandesa multa a Twitter con 500.000 € por no notificar una brecha de seguridad

La Comisión de Protección de Datos, (DPC) es el organismo que en Irlanda regula y supervisa la protección de datos, equivalente a la AEPD, Agencia Española de Protección de Datos. Y acaba de imponer la primera sanción conforme al proceso de resolución de disputas del RGPD.

Esta sanción se basa, según la DPC en la infracción de los artículos 33(1) y 33(5) del RGPD (Reglamento General de Protección de Datos), relativos al deber de comunicar la producción de una brecha de seguridad y al de documentar adecuadamente la producción de la misma.

Una brecha comunicada tarde y mal

La incidencia comenzó a investigarse en enero de 2019 y tiene su origen en eventos sucedidos entre el día de Navidad de 2018 y el de Año Nuevo de 2019. La brecha de seguridad fue comunicada por Twitter a la autoridad competente más allá del plazo de 72 horas establecido por el RGPD. Adicionalmente, la documentación sobre su origen, naturaleza y alcance se ha considerado insuficiente por parte de la DPC.

La DPC considera que la cuantía de la sanción, 450.000 €, es adecuada y proporcionada, puesto que el RGPD tiene previstas cuantiosas multas, hasta el 4 % de los beneficios anuales, que en el caso de de Twitter podría suponer, para las infracciones más graves, multas de más de cien millones de euros.