La Asociación de Consumidores Facua ha denunciado a la empresa propietaria del popular videojuego Fortnite ante las sospechas de que un agujero de seguridad, no suficientemente aclarado, ha expuesto ante los ciberdelincuentes los datos personales, entre ellos cuentas bancarias, de un número importante de jugadores de este juego.
La denuncia se ha presentado contra la empresa estadounidense Epic Games ante la Agencia Española de Protección de Datos (AEPD) después de que hace unos días se desvelara que existen una serie de vulnerabilidades en el sistema del videojuego que permiten que terceros puedan acceder a información personal de los usuarios, incluyendo datos bancarios, y escuchar conversaciones privadas que mantengan dentro del juego.
De esta forma, habría sido suficiente con que el jugador hubiera sido víctima de phishing, es decir, que hubiera pinchado en un enlace fraudulento que simulaba ser del videojuego, para que toda su información estuviera expuesta, debido a un fallo relacionado con los tokens (identificadores únicos) de acceso de su cuenta, explica Facua para justificar la gravedad del ataque.
Como recuerda esta asociación, el Reglamento Europeo 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, recoge que los datos personales deben ser «tratados de tal manera que se garantice una seguridad adecuada», incluyendo «la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental».
Teniendo en cuenta el alto número de posibles afectados al ser Fortnite un videojuego de alcance mundial, «la infracción de la normativa de protección de datos posee una gran envergadura que la AEPD debería tener en cuenta a la hora de fijar una sanción», señala la asociación de consumidores.
En este sentido, el Reglamento 2016/679 establece que las multas se impondrán, entre otros factores, teniendo en cuenta «la naturaleza, gravedad y duración de la infracción, teniendo en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido».
Por ello, recoge como cantidades a aplicar «20.000.000 de euros como máximo o, tratándose de una empresa, de una cuantía equivalente al 4% como máximo del volumen de negocio total anual global del ejercicio financiero anterior, optándose por la de mayor cuantía».