El pasado 15 de diciembre la Agencia de Protección de Datos Irlandesa impuso a Twitter Europa (ubicada en Irlanda) una multa de 450.000 euros, resultado de no comunicar a tiempo a la DPA Irlandesa una brecha de seguridad de datos personales y por no haberlo documentado debidamente.
Esta brecha afectó a miles de personas en los distintos países europeos, y como consecuencia la DPA tuvo que coordinarse y cooperar con las autoridades de control interesadas de estos países afectados.
Esto dio lugar a la utilización por primera vez del proceso de resolución de conflictos a través del Comité Europeo de Protección de Datos que actuaría como árbitro entre la Autoridad de Control Principal y el resto de autoridades.
La causa de esta sanción se remonta tres años atrás, precisamente el día 29 de diciembre del 2018, cuando un tercero se dio cuenta de la existencia de un error en el código del sistema de Twitter y que afectaba especialmente a los usuarios de Android.
Este error suponía que si el usuario de Android se cambiaba el correo electrónico vinculado en su cuenta de Twitter, los tweets protegidos, es decir, aquellos tweets que supuestamente solo tienen acceso los seguidores del usuario, pasarían a ser accesibles para todo el mundo.
El 3 de enero de 2019 Twitter EEUU decidió que este error debía tratarse como una brecha de seguridad, cosa que no fue notificada a Twitter Europa hasta pasados cuatro días y posteriormente a la DPA Irlandesa.
Según la comunicación que envió Twitter Europa a la DPA Irlandesa, entre el 5 de septiembre del 2017 y el 11 de enero de 2019, se vieron afectadas más de 88.000 personas por este error.
Según la DPA, Twitter EU debería haber sido consciente de la brecha de seguridad el 3 de enero de 2019, fecha en la que Twitter EEUU calificó internamente como brecha de seguridad. Esta falta de comunicación hizo que Twitter EU notificase el incidente fuera del límite establecido que son las primeras 72 horas, tal y como está establecido en el artículo33.1 del RGPD.
Finalmente, la DPA Irlandesa concluyó que Twitter EU infringió el artículo 33.5 del RGPD alno documentar debidamente la brecha de seguridad y ofrecer esta información a la DPA Irlandesa durante su investigación.
Por todo esto, Twitter EU ha terminado recibiendo su primera multa por infracción del Reglamento General de Protección de Datos.