- Meta vuelve a ser objeto de multa en Europa debido a la exposición de millones de contraseñas sin protección
- Meta multada por 91 millones de euros por exposición de millones de contraseñas sin protección
- Investigación de la CPD
- Conclusión de la CPD
- Comentario del Comisionado Adjunto de la CPD
- Principios del RGPD
- Obligación de notificar violaciones de datos
Meta vuelve a ser objeto de multa en Europa debido a la exposición de millones de contraseñas sin protección
La empresa tecnológica Meta, dueña de plataformas como Facebook e Instagram, se enfrenta a una nueva multa en Europa después de que se descubriera que había expuesto milhões de contraseñas sin protección. Esta situación pone en riesgo la seguridad de los usuarios y genera gran inquietud en la comunidad digital. La autoridad reguladora correspondiente ha decidido imponer una sanción económica a la empresa por no cumplir con las normas de seguridad y privacidad establecidas en el continente. Esta es la última de una serie de infracciones cometidas por Meta en cuanto a la gestión de datos personales, lo que ha llevado a la empresa a ser objeto de fuerte crítica y escrutinio.
Meta multada por 91 millones de euros por exposición de millones de contraseñas sin protección
La Comisión de Protección de Datos de Irlanda (CPD) ha impuesto una multa de 91 millones de euros a Meta Platforms, Inc. por almacenar millones de contraseñas de usuarios en texto plano y a la vista de 2.000 desarrolladores e ingenieros de la compañía.
Investigación de la CPD
Hace cinco años, la CPD inició una investigación sobre Meta Platforms debido a la exposición de contraseñas de usuarios en texto plano. Después de todo este tiempo, el Reglamento General de Protección de Datos (RGPD) ha compartido su decisión final sobre esta brecha de seguridad.
Conclusión de la CPD
La decisión de la CPD, tomada por los Comisionados de Protección de Datos, Dr. Des Hogan y Dale Sunderland, y notificada a Meta Platforms el pasado 26 de septiembre, incluye una reprimenda y una multa de 91 millones de euros. Además, la decisión de la CPD recoge las siguientes conclusiones de infracción del RGPD:
Meta Platforms no notificó y tampoco documentó una violación de datos personales relativa al almacenamiento de contraseñas de usuarios en texto sin formato.
Meta Platforms no utilizó medidas técnicas u organizativas apropiadas para garantizar la seguridad adecuada de las contraseñas de los usuarios contra el procesamiento no autorizado.
Meta Platforms no implementó medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluida la capacidad de garantizar la confidencialidad permanente de las contraseñas de los usuarios.
Comentario del Comisionado Adjunto de la CPD
Graham Doyle, Comisionado Adjunto de la CPD, argumenta en un comunicado emitido por la RGPD que es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto simple, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Debe tenerse en cuenta que las contraseñas que se examinan en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios.
Principios del RGPD
La decisión de la Comisión de Protección de Datos de Irlanda se refiere a los principios de integridad y confidencialidad del Reglamento General de Protección de Datos, que exige que los responsables del tratamiento de datos apliquen medidas de seguridad adecuadas al procesar información personal, teniendo en cuenta los riesgos para los usuarios del servicio y la naturaleza del tratamiento de datos.
Para mantener la seguridad, los responsables deben evaluar los riesgos inherentes al tratamiento e implementar medidas para mitigarlos. Asimismo, la decisión de la CPD enfatiza la necesidad de tomar tales medidas al almacenar las contraseñas de los usuarios.
Obligación de notificar violaciones de datos
El RGPD también exige a los responsables del tratamiento de datos que documenten adecuadamente las violaciones de datos personales y que notifiquen a las autoridades las violaciones que se produzcan, debido a que una filtración de información personal puede, si no se aborda de forma adecuada y oportuna, dar lugar a daños como la pérdida de control.
Por tanto, cuando un responsable del tratamiento tenga conocimiento de que se ha producido una violación de datos personales, deberá notificarlo a la autoridad de control sin dilación indebida, en la forma prescrita por el artículo 33 del Reglamento General de Protección de Datos.
Deja una respuesta