Han pasado casi cinco años y medio desde que la Comisión de Protección de datos de Irlanda (CPD) iniciara una investigación sobre Facebook, Inc., el conglomerado de empresas de redes sociales que ahora conocemos como Meta Platforms, Inc. El procedimiento tuvo lugar poco después de que se conociera que Facebook e Instagram habían almacenado millones de contraseñas de sus usuarios en texto plano, es decir, en un formato legible por empleados de la empresa. Ahora, el organismo encargado de garantizar el cumplimiento del Reglamento General de Protección de Datos (RGPD) ha dado a conocer su decisión final.
Multa de 91 millones de euros. Las compañías que operan en la Unión Europea deben prestar especial atención a la protección de la información personal de los usuarios. Cometer un error en este sentido puede costarles bastante caro. Un claro ejemplo de ello es lo que acaba de suceder con Meta, que ha recibido una multa de 91 millones de euros por infringir el RGPD con el mencionado problema de seguridad. La decisión, tomada el 26 de septiembre por los Comisionados de Protección de Datos, Dr. Des Hogan y Dale Sunderland, llega acompañada de una advertencia formal para evitar futuras infracciones de este tipo.
La polémica de la notificación. El RGPD no solo obliga a las compañías a tratar adecuadamente los datos de sus usuarios, sino que también requiere que los reguladores sean notificados en caso de un problema de seguridad o una brecha. Así lo establece el artículo 33, que señala que la notificación debe producirse “sin demora”. Meta notificó a la CPD del incidente en marzo de 2019 y también puso en marcha un esquema para informar a los usuarios afectados. La CPD, sin embargo, señala Meta no cumplió debidamente con esta obligación. Conoceremos todos los detalles cuando se publique el informe completo más adelante.
Por lo pronto, sabemos que la multa y la sanción responden a que la compañía liderada por Mark Zuckerberg no notificó debidamente el incidente, tampoco documentó correctamente lo sucedido, no utilizó las medidas de seguridad adecuadas para proteger a las contraseñas contra el “tratamiento no autorizado” y no implemento medidas adecuadas para “garantizar un nivel de seguridad adecuado al riesgo”. El comisionado Graham Doyle dijo que “es bien sabido que no se deben almacenar las contraseñas de los usuarios en texto sin cifrar, ya que esto conlleva riesgos de que alguien acceda y haga un mal uso de esa información”.
Las contraseñas no salieron de Meta. Tanto la CPD como Meta coinciden en un punto muy importante: las contraseñas no tuvieron una exposición a terceros. Es decir, si bien se almacenaron en texto plano durante un período determinado de tiempo, nadie fuera de la compañía puso acceder a ellas. Tampoco se ha encontrado evidencia de que las contraseñas hayan sido utilizadas de manera inapropiada. El problema, según la compañía, fue solucionado rápidamente. Además, impulsaron una serie de medidas de seguridad adicionales para reducir el uso de contraseñas por parte de los usuarios.
Por qué la Comisión de Protección de datos de Irlanda. El Comité Europeo de Protección de Datos (CEPD) está compuesto por una veintena de miembros como la Agencia Española de Protección de Datos (AEPD). Sin embargo, las acciones de la CPD son relevantes por varios motivos. En primer lugar, la sede europea de Meta, Meta Platforms Technologies Ireland Limited, se encuentra en Irlanda. En segundo lugar, la CPD trabaja en conjunto con sus pares con el objetivo de garantizar el cumplimiento del RGPD de manera general. Hace un año, por ejemplo, la CPD multó a TikTok con 45 millones de euros.
Imágenes | Meta (1, 2) | Christian Lue
Ver 4 comentarios