La infracción cometida por la red social de microblogging consistiría en no haber comunicado en tiempo y forma una brecha de seguridad.
La Comisión de Protección de Datos, (DPC) es el organismo que en Irlanda regula y supervisa la protección de datos, equivalente a la AEPD, Agencia Española de Protección de Datos. Y acaba de imponer la primera sanción conforme al proceso de resolución de disputas del RGPD.
Esta sanción se basa, según la DPC en la infracción de los artículos 33(1) y 33(5) del RGPD (Reglamento General de Protección de Datos), relativos al deber de comunicar la producción de una brecha de seguridad y al de documentar adecuadamente la producción de la misma.
Una brecha comunicada tarde y mal
La incidencia comenzó a investigarse en enero de 2019 y tiene su origen en eventos sucedidos entre el día de Navidad de 2018 y el de Año Nuevo de 2019. La brecha de seguridad fue comunicada por Twitter a la autoridad competente más allá del plazo de 72 horas establecido por el RGPD. Adicionalmente, la documentación sobre su origen, naturaleza y alcance se ha considerado insuficiente por parte de la DPC.
La DPC considera que la cuantía de la sanción, 450.000 €, es adecuada y proporcionada, puesto que el RGPD tiene previstas cuantiosas multas, hasta el 4 % de los beneficios anuales, que en el caso de de Twitter podría suponer, para las infracciones más graves, multas de más de cien millones de euros.