Irlanda impone multa de 251 millones de euros a Meta por una filtración masiva de datos

Londres, 17 dic (EFECOM).- La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto este martes una multa de 251 millones de euros a la filial irlandesa de Meta tras dos investigaciones voluntarias por violación de datos personales, ha informado esta entidad en un comunicado.

Las pesquisas de la DPC se iniciaron en septiembre de 2018 después de que Meta Platforms Ireland Limited (MPIL) informase al regulador irlandés de una filtración de datos que afectó aproximadamente a 29 millones de cuentas de Facebook en todo el mundo, de las cuales 3 millones estaban ubicadas en la Unión Europea (UE) y/o el Espacio Económico Europeo (EEE).

Los comisionados de la DPC Des Hogan y Dale Sunderland han presentado este martes las dos decisiones finales a las investigaciones y la conclusión de infracción del Reglamento General de Protección de Datos de la UE (RGPD), que incluye "una serie de reprimendas" así como la mencionada multa administrativa de 251 millones de euros.

De acuerdo con el artículo 25 de la RGPD, el regulador ha condenado a Meta a pagar 130 millones de euros por "no garantizar la protección de datos en el diseño de los sistemas de tratamiento", así como 110 millones de euros adicionales por incumplir sus obligaciones de garantizar que "solo se traten los datos personales necesarios para fines específicos" como responsables de su gestión.

Asimismo, a la hora de notificar la infracción, Meta no aportó toda la información exigida, "que podría y debería haber incluido", ni documentó los hechos de cada infracción; las medidas adoptadas para remediarlas y de manera que el regulador pudiera verificar el cumplimiento, por lo que la DPC impuso a la compañía una multa de 11 millones más (de 8 y 3 millones cada una) amparándose en el artículo 33 de la RGPD.

"Esta medida de cumplimiento pone de relieve cómo el hecho de no incorporar requisitos de protección de datos a lo largo del diseño y el desarrollo puede exponer a las personas a riesgos y daños muy graves", ha dicho en la nota el comisionado adjunto de la DPC, Graham Doyle.

La filtración masiva "surgió de la explotación por parte de terceros no autorizados de tokens de usuario" (identificadores codificados para verificación y control de acceso) en Facebook y fue remediada por MPIL y su matriz estadounidense "poco después de su descubrimiento", según la DPC.

La función de carga de vídeos 'Ver como' de Facebook, implementada en julio de 2017 y eliminada después de la filtración, permitía a un usuario ver su propia página de Facebook como si fuera un tercero y permitía generar un token de usuario con todos los permisos, que le otorgaba acceso total al perfil de esa otra persona y repetir la combinación con otras cuentas y sus datos.

Los datos personales afectados incluían el nombre completo del usuario, su dirección de correo electrónico, su teléfono, su fecha de nacimiento, religión o género, entre otras.

El pasado 27 de septiembre, la DPC multó a MPIL con otros 91 millones de euros por haber almacenado de forma inadvertida ciertas contraseñas de usuarios en "texto simple" y sin protección criptográfica ni cifrado y en mayo de 2023 con 1.200 millones de euros por una mala gestión de datos al transferirlos entre Europa y Estados Unidos. EFECOM