La Comisión de Protección de Datos de Irlanda impone una multa de 91 millones de euros a Meta

La Comisión de Protección de Datos (DPC) de Irlanda ha anunciado su decisión final tras una investigación sobre Meta Platforms Ireland Limited (MPIL). La investigación, iniciada en abril de 2019, se llevó a cabo después de que MPIL notificara a la DPC que había almacenado accidentalmente ciertas contraseñas de usuarios de redes sociales en «texto plano» en sus sistemas internos, es decir, sin protección criptográfica ni cifrado.

Detalles de la decisión

La decisión, notificada a MPIL el 26 de septiembre, incluye una amonestación y una multa de 91 millones de euros. Los comisionados de Protección de Datos, Dr. Des Hogan y Dale Sunderland, registraron las siguientes infracciones del Reglamento General de Protección de Datos (RGPD):

  1. Violación del Artículo 33(1) del RGPD, por no notificar a la DPC una violación de datos personales relacionada con el almacenamiento de contraseñas de usuarios en texto plano.
  2. Violación del Artículo 33(5) del RGPD, por no documentar las violaciones de datos personales relacionadas con el almacenamiento de contraseñas de usuarios en texto plano.
  3. Violación del Artículo 5(1)(f) del RGPD, por no utilizar medidas técnicas u organizativas apropiadas para garantizar la seguridad adecuada de las contraseñas de los usuarios contra el procesamiento no autorizado.
  4. Violación del Artículo 32(1) del RGPD, por no implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluida la capacidad de garantizar la confidencialidad continua de las contraseñas de los usuarios.

Declaraciones oficiales

Graham Doyle, Comisionado Adjunto de la DPC, comentó: «Es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Debe tenerse en cuenta que las contraseñas objeto de consideración en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios».

Antecedentes del caso

En marzo de 2019, MPIL notificó a la DPC que había almacenado accidentalmente ciertas contraseñas de usuarios de redes sociales en «texto plano» en sus sistemas internos. MPIL también publicó información sobre este incidente en marzo de 2019. Es importante destacar que estas contraseñas no se pusieron a disposición de partes externas.

La investigación, que comenzó en abril de 2019, evaluó el cumplimiento de MPIL con el RGPD, en particular, si MPIL implementó medidas para garantizar un nivel de seguridad apropiado a los riesgos asociados con el procesamiento de contraseñas, y si MPIL cumplió con sus obligaciones de documentar y notificar a la DPC sobre las violaciones de datos personales.

Implicaciones y medidas correctivas

Esta decisión de la DPC enfatiza la necesidad de implementar medidas de seguridad apropiadas al procesar datos personales, especialmente al almacenar contraseñas de usuarios. Además, subraya la importancia de documentar adecuadamente las violaciones de datos personales y notificar a las autoridades de protección de datos sobre las infracciones que ocurran.

Las medidas correctivas impuestas incluyen:

  1. Una amonestación de conformidad con el Artículo 58(2)(b) del RGPD.
  2. Multas administrativas por un total de 91 millones de euros de conformidad con los Artículos 58(2)(i) y 83 del RGPD.

Fuente: Revista Cloud y Data Protection IE

Scroll al inicio