Meta, multada con 263 millones de dólares por una filtración de datos masiva en Facebook
La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una nueva sanción a Meta, en esta ocasión por una violación de datos personales que afectó a 29 millones de cuentas de Facebook a nivel global, de las cuales 3 millones estaban ubicadas en la UE y/o en el Espacio Económico Europeo.
La multa, que asciende a 263 millones de dólares, es el resultado de una investigación voluntaria iniciada en 2018, después de que Meta informase de una filtración de datos de perfiles de Facebook.
Causas de la vulnerabilidad
El origen de la vulnerabilidad que propició la filtración masiva de datos fue la implementación de la función “Ver como” en Facebook en julio de 2017. Esta funcionalidad permitía visualizar tu propia página de Facebook como lo haría otro usuario o usuaria y daba la opción de utilizar una herramienta de carga de vídeos.
Sin embargo, el cargador de vídeos generaba un token de usuario con todos los permisos necesarios para tener acceso completo a un perfil de Facebook, por lo que una persona solo necesitaba usar ese token para explotar la misma combinación de funciones en otras cuentas y tener acceso a estas y a sus datos. Y esto fue justo lo que sucedió.
Entre el 14 y el 18 de septiembre de 2018, personas no autorizadas aprovecharon esta brecha de seguridad y accedieron a 29 millones de cuentas de Facebook de todo el mundo, de las cuales unas 3 millones eran de usuarios y usuarias de la Unión Europea y/o el Espacio Económico Europeo.
Tal y como ha apuntado el DPC, las categorías de datos personales filtrados incluían información sensible como: nombre completo del usuario, dirección de correo electrónico, número de teléfono, ubicación, lugar de trabajo, fecha de nacimiento, religión, género, publicaciones en las cronologías, grupos de los que un usuario era miembro y datos personales de niños.
En cuanto Meta Platforms Ireland Limited (MPIL), la filial de la tecnológica en Irlanda, se percató del problema, informó al DPC. Así mismo, la compañía solucionó la brecha de seguridad poco después de descubrirla.
Decisión final y sanciones
Finalmente, los Comisionados de Protección de Datos, Dr. Des Hogan y Dale Sunderland, presentaron las decisiones adoptadas tras concluir la investigación. Estas incluyen “una serie de reprimendas”, así como la orden de pago de cuatro multas administrativas cuyo valor conjunto total es de 263 millones de dólares.
Las infracciones detectadas durante la investigación y sus sanciones correspondientes son las siguientes:
Artículo 33(3) del RGPD: al notificar la infracción, Meta no incluyó toda la información que podría y debería haber incluido. Por ello, recibe una multa administrativa de 8MDD.
Artículo 33(5) del RGPD: Meta no documentó los hechos relacionados con cada infracción y las medidas adoptadas para solventarlas, de modo que la Autoridad de Control pudiese verificar su cumplimiento. Al incumplir esta disposición, Meta ha sido sancionada con 3MDD.
Artículo 25(1) del RGPD: Meta infringió esta disposición al concluirse que no garantizó los principios de protección de datos en el diseño de los sistemas de tratamiento. Por ello, recibe multas administrativas por valor de 130MDD.
Artículo 25(2) del RGPD: Meta incumplió sus obligaciones como responsable del tratamiento de datos, debiendo haber garantizado que solo se traten aquellos datos personales que sean necesarios para fines específicos. Ha sido amonestada con multas administrativas que ascienden a 110MDD.
Graham Doyle, Comisionado Adjunto de la DPC, afirmó: «Esta medida de cumplimiento pone de relieve cómo el hecho de no incorporar requisitos de protección de datos a lo largo del ciclo de diseño y desarrollo puede exponer a las personas a riesgos y daños muy graves, incluido un riesgo para los derechos y libertades fundamentales de las personas.
Los perfiles de Facebook pueden contener, y a menudo lo hacen, información sobre cuestiones como creencias religiosas o políticas, vida u orientación sexual y cuestiones similares que un usuario puede querer revelar solo en circunstancias particulares. Al permitir la exposición no autorizada de la información del perfil, las vulnerabilidades detrás de esta violación provocaron un grave riesgo de uso indebido de este tipo de datos».
Marketing4ecommerce