La empresa matriz de Facebook, Meta, ha sido multada con 17 millones de euros (~18,6 millones de dólares) por la Comisión de Protección de Datos de Irlanda (DPC) por una serie de violaciones de datos históricas.
Los fallos de seguridad en cuestión, que parecen haber afectado a hasta 30 millones de usuarios de Facebook, se remontan a varios años y fueron revelados por Facebook al regulador irlandés en 2018.
El DPC, que es el principal regulador de privacidad de Meta/Facebook en la Unión Europea, abrió esta investigación relacionada con la seguridad a fines de 2018 después de recibir no menos de 12 notificaciones de violación de datos del gigante tecnológico en el período de seis meses entre el 7 de junio de 2018 y 4 de diciembre de 2018.
El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, que entró en vigor en mayo de 2018, exige legalmente a los controladores de datos que revelen rápidamente las infracciones de datos personales a una autoridad supervisora si es probable que la filtración de información suponga un riesgo para las personas. . (Las infracciones más graves deberán notificarse en un plazo máximo de 72 horas).
“La investigación examinó hasta qué punto Meta Platforms cumplía con los requisitos de los Artículos 5(1)(f) del RGPD, 5(2), 24(1) y 32(1) en relación con el procesamiento de datos personales relevantes para la doce notificaciones de incumplimiento”, escribió el DPC en un presione soltar anunciando una decisión final sobre su investigación de Facebook.
“Como resultado de su investigación, el DPC encontró que Meta Platforms infringió los artículos 5 (2) y 24 (1) GDPR. El DPC descubrió que Meta Platforms no tenía implementadas las medidas técnicas y organizativas adecuadas que le permitieran demostrar fácilmente las medidas de seguridad que implementó en la práctica para proteger los datos de los usuarios de la UE, en el contexto de las doce violaciones de datos personales.
En una declaración en respuesta a la sanción del DPC, un portavoz de Meta trató de minimizar el episodio como un simple caso de mantenimiento de registros históricamente laxo, escribiendo:
Esta multa se debe a las prácticas de mantenimiento de registros de 2018 que hemos actualizado desde entonces, no a una falta de protección de la información de las personas. Nos tomamos muy en serio nuestras obligaciones en virtud del RGPD y consideraremos cuidadosamente esta decisión a medida que nuestros procesos continúen evolucionando.
La sanción anunciada por el DPC es la primera decisión final de Irlanda sobre una investigación de GDPR contra Facebook desde que la regulación comenzó a aplicarse hace casi cuatro años, aunque el regulador emitió una sanción separada (mayor) contra WhatsApp propiedad de Facebook el año pasado por violaciones de las normas de transparencia.
El DPC confirmó que su proyecto de decisión sobre esta investigación de Facebook había enfrentado algunas objeciones de otras autoridades de protección de datos de la UE, algo que también ocurrió en una investigación anterior de una violación de seguridad de Twitter, así como sobre la decisión de transparencia en WhatsApp. (Y en ambos casos, el mecanismo de resolución de disputas del RGPD llevó a que se emitieran sanciones más altas de lo que había propuesto Irlanda).
El DPC dijo que otras dos autoridades presentaron objeciones a su proyecto de decisión sobre esta investigación de Facebook. Pero Irlanda no especifica si la multa se incrementó como resultado de las objeciones, ni qué autoridades objetaron (o por qué).
Es notable que la penalización es relativamente pequeña; ciertamente está muy lejos del máximo teórico del 4% de la facturación anual global de Meta (que sería mucho más de mil millones de dólares).
Sin embargo, el DPC impuso una multa aún menor (~ 550 000 dólares) a Twitter a fines de 2020, también por fallas administrativas en torno a una notificación de violación de seguridad.
Si bien es probable que haya variaciones en lo que salió mal en cada caso, es bastante claro que las infracciones de seguridad que las autoridades de la UE evalúan como no intencionales probablemente atraigan sanciones más bajas que las infracciones flagrantes o sistémicas de las reglas.
También se deduce que toda una serie de fallas le ha costado a Facebook una sanción mayor que a Twitter, que solo había informado una sola infracción (no una docena completa).
Truco importante de fichas
Los detalles de los 12 fallos de seguridad que Facebook ha confesado durante el período de seis meses de 2018 no están enumerados por el DPC en su anuncio de la sanción, pero en septiembre de 2018 el gigante tecnológico reveló públicamente un hack importante, que sugirió que afectó al menos 50 millones de cuentas después de que los piratas informáticos explotaran una vulnerabilidad de seguridad en el sitio.
Posteriormente, Facebook afirmó que solo a 30 millones de usuarios les habían robado sus tokens en el hackeo.
El error, que se remonta a julio de 2017, permitió a los piratas informáticos obtener tokens de acceso a la cuenta que se utilizan para mantener a los usuarios conectados cuando ingresan su nombre de usuario y contraseña, lo que significa que los tokens robados pueden permitir que los piratas informáticos ingresen a las cuentas.
Sin embargo, ese gran hackeo de tokens no fue el único error de seguridad para el gigante tecnológico en 2018.
En junio, Facebook notificó a los usuarios sobre un error que había creado una vulnerabilidad durante varios días el mes anterior, y dijo que había cambiado accidentalmente la configuración de privacidad sugerida para las actualizaciones de estado a público de lo que los usuarios habían configurado para durar, lo que podría causar hasta 14 millones de usuarios compartan en exceso contenido confidencial solo para amigos con extraños.
Otro error del que informamos, en noviembre de 2018, permitió que cualquier sitio web extrajera información del perfil de un usuario de Facebook, incluidos sus “me gusta” e intereses, sin el conocimiento de la persona.
Y más tarde ese mismo año, en diciembre, Facebook reveló públicamente un error de Photo API que, según dijo, había dado a los desarrolladores de aplicaciones demasiado acceso a las fotos de hasta 5,6 millones de usuarios.
Esta serie de fallas de seguridad siguió inmediatamente después de que la historia de Cambridge Analytica se convirtiera en un escándalo global, en marzo de 2018, cuando las revelaciones de los datos de los usuarios de Facebook fueron extraídos de su plataforma para ser reutilizados para publicidad dirigida por la campaña de Trump, que fue buscando influir de manera opaca en las elecciones estadounidenses, eliminó miles de millones de dólares del precio de sus acciones.
El escándalo de Cambridge Analytica también llevó a los legisladores y reguladores de todo el mundo a intensificar su escrutinio sobre el manejo de la información de las personas por parte de Facebook y, en última instancia, ha contribuido a acelerar los movimientos para revisar y reforzar la regulación de las plataformas digitales (como la próxima Seguridad en línea del Reino Unido). legislación o la Ley de Servicios Digitales de la UE).
Pero dado que el escándalo de Cambridge Analytica fue anterior a la entrada en vigor del RGPD, Facebook escapó en gran medida a la sanción regulatoria directa en Europa por ese episodio en particular. Si el momento hubiera sido un poco diferente, ahora podría estar en peligro de recibir una penalización bastante mayor.
La Oficina del Comisionado de Información del Reino Unido multó a Facebook con £ 500,000 por Cambridge Analytica, el máximo posible bajo su régimen de protección de datos anterior a GDPR. Aunque Facebook impugnó la decisión del regulador, antes de aceptar retirar su apelación y pagar la multa para llegar a un acuerdo con la ICO sin admitir responsabilidad. Más tarde se supo que la ICO había aceptado ser amordazada por los términos de ese acuerdo.
Los resultados finales de la auditoría de aplicaciones de la plataforma completa que Facebook afirmó que emprendería a raíz del escándalo de Cambridge Analytica, en un intento por asegurar a los usuarios que estaba purgando a los malos y bloqueando los datos de los usuarios, mientras tanto, nunca vieron la luz del día.
Desde entonces, el RGPD ha introducido un régimen legal más estricto contra el abuso de datos, al menos en toda la UE (el Reino Unido ya no es un estado miembro), sin embargo, las largas demoras entre los escándalos de datos y la aplicación continúan impidiendo el buen funcionamiento de la regulación.
El historial más amplio de Irlanda en casos transfronterizos significa que es poco probable que una sola decisión contra Facebook haga algo para aliviar las críticas mordaces sobre su ritmo de aplicación de GDPR contra la gran tecnología, sobre todo porque muchas otras consultas de Facebook siguen sin decidirse. (Y, como informamos ayer, el DPC ahora está siendo demandado por inacción por una queja separada de GDPR dirigida a la tecnología publicitaria de Google).
Por lo tanto, es probable que no sea casualidad que, también hoy, el regulador haya elegido publicar un informe sobre su manejo de casos transfronterizos de GDPR.
Entre las estadísticas que elige destacar son las siguientes reclamaciones (que cubren el período del 25 de mayo de 2018 al 31 de diciembre de 2021):
La DPC ha recibido 1.150 denuncias transfronterizas válidas; 969 (84%) como autoridad supervisora líder (LSA) y 181 (16%) como autoridad supervisora interesada (CSA). 588 (61 %) reclamaciones transfronterizas tramitadas por la DPC como LSA se presentaron originalmente ante otra autoridad de control y se transfirieron a la DPC. El 65 % de todas las denuncias transfronterizas tramitadas por la DPC como LSA desde mayo de 2018 han concluido, con el 82 % de las recibidas en 2018 y el 75 % en 2019 ya concluidas. De las 634 denuncias transfronterizas concluidas tramitadas por la DPC como LSA, 544 (86%) se resolvieron mediante resolución amistosa en interés del denunciante. 72 (22 %) de las denuncias transfronterizas abiertas están vinculadas a una investigación y concluirán al finalizar la investigación. Un gran número de las denuncias abiertas restantes de 2018 y 2019 están vinculadas a una investigación. El 86 % de todas las reclamaciones transfronterizas tramitadas por la DPC como LSA se refieren a solo 10 responsables del tratamiento de datos. Se ha concluido el 38 % de las reclamaciones transferidas por el DPC a otros LSA de la UE/EEE (excluido el Reino Unido).
Source link