La factura legal por la violación de datos de Uber en 2016, que afectó a unos 57 millones de clientes, revelando nombres, direcciones de correo electrónico y números de teléfono, ha aumentado en más de un millón de dólares.

Hace dos meses, el gigante del transporte acordó pagar $ 148 millones para resolver las consultas legales relacionadas con el incumplimiento en los EE. UU., Con ese acuerdo que cubre los 50 estados y el Distrito de Columbia.

Sin embargo, la violación también involucró los datos de los usuarios europeos. Y ayer, el organismo de control de protección de datos del Reino Unido, el ICO, anunció que estaba multando Uber £ 385,000 (~ $ 490k) bajo el régimen legal nacional.

El regulador holandés de protección de datos también emitió una multa ayer, golpeando a Uber con una multa de € 600k (~ $ 670k) por violar las leyes locales.

En el frente legal de la UE, Uber ha evadido un poco de bala aquí, ya que el momento de la infracción cae bajo los regímenes de protección de datos anteriores de ambos países.

En el Reino Unido, la multa máxima fue de £ 500k frente a un 4% del volumen de negocios anual global de una empresa en virtud del nuevo Reglamento general de protección de datos (GDPR) de la UE.

Una multa proporcionalmente grande bajo GDPR probablemente hubiera sido considerablemente mayor.

El ICO observa que los registros de casi 82,000 conductores con base en el Reino Unido, incluidos los detalles de los viajes realizados y cuánto se pagaron, se tomaron durante el incidente de violación que tuvo lugar en octubre y noviembre de 2016, pero que Uber solo reveló públicamente hace un año. .

Mientras que en los Países Bajos, el regulador señala que la violación afectó a 174,000 ciudadanos holandeses.

GDPR también ha incorporado requisitos de divulgación de violación a toda la UE, lo que significa que los controladores de datos ahora deben notificar a las autoridades relevantes dentro de las 72 horas de una violación importante que afecte los datos personales de los ciudadanos europeos. Y los controladores de datos pueden ser multados por retrasar una notificación de incumplimiento.

El organismo de control del Reino Unido dijo que su investigación de la violación de Uber de 2016 encontró "relleno de credenciales" para acceder al almacenamiento de datos de Uber, en referencia a un proceso mediante el cual los pares de contraseña y nombre de usuario comprometidos se inyectan en los sitios web hasta que coinciden con una cuenta existente.

Sin embargo, el organismo de control también subraya el manejo problemático del incidente por parte de Uber, expresando esto como una "toma de decisiones inadecuada", no simplemente censurando la seguridad también "inadecuada" de Uber.

En lugar de revelar la violación de manera oportuna, Uber optó por pagar $ 100,000 a los piratas informáticos que habían obtenido el caché de datos personales, pedirles que los destruyeran y enviar este pago a través de un tercero que administra su programa de recompensas por errores.

El ICO describe este encubrimiento como "inapropiado", señalando que los piratas informáticos actuaron maliciosamente, ya que intentaron explotar una vulnerabilidad para obtener acceso ilegalmente a los datos, por lo que no fueron en absoluto "receptores legítimos de recompensa de errores".

Comentando en una declaración, el director de investigaciones de ICO, Steve Eckersley, dijo: "Pagar a los atacantes y luego guardar silencio al respecto no fue, en nuestra opinión, una respuesta adecuada al ataque cibernético. Aunque no existía la obligación legal de informar violaciones de datos en virtud de la legislación anterior, las malas prácticas de protección de datos de Uber y las decisiones y conductas subsiguientes probablemente habrían agravado la angustia de los afectados ".

“Esto no solo fue un grave fallo de la seguridad de los datos por parte de Uber, sino también un completo desprecio por los clientes y conductores cuya información personal fue robada. En ese momento, no se tomaron medidas para informar a las personas afectadas por el incumplimiento, o para ofrecer ayuda y apoyo. Eso los dejó vulnerables ", agregó.

En el texto de la decisión completa que detalla los motivos de la sanción monetaria, el ICO también escribe que su intención es "disuadir de nuevas infracciones de este tipo, tanto por parte de Uber como por parte de otros".

El organismo de control holandés también señala que Uber no reveló sin demora la infracción como motivo de su multa.

Nos comunicamos con Uber para hacer comentarios y un portavoz nos envió la siguiente declaración:

Nos complace cerrar este capítulo sobre el incidente de datos de 2016. Como compartimos con las autoridades europeas durante sus investigaciones, hemos realizado una serie de mejoras técnicas en la seguridad de nuestros sistemas, tanto inmediatamente después del incidente como en el caso. Como en los años posteriores. También hemos realizado cambios significativos en el liderazgo para garantizar una transparencia adecuada con los reguladores y los clientes que avanzan. A principios de este año, contratamos a nuestro primer director de privacidad, el de protección de datos y un nuevo jefe de confianza y seguridad. Aprendemos de nuestros errores y continuamos nuestro compromiso de ganarnos la confianza de nuestros usuarios todos los días.

Uber no respondió a una solicitud de comentarios sobre la descripción de la OIC de su encubrimiento como "inapropiado".

Dejar respuesta

Please enter your comment!
Please enter your name here