El supervisor principal de datos de Facebook en la Unión Europea ha abierto una investigación sobre si el gigante tecnológico violó las reglas de protección de datos frente a la filtración de datos informada a principios de este mes.
Aquí está la declaración de la Comisión de Protección de Datos de Irlanda:
“La Comisión de Protección de Datos (DPC) lanzó hoy una investigación por voluntad propia de conformidad con la sección 110 de la Ley de Protección de Datos de 2018 en relación con múltiples informes de medios internacionales, que destacó que un conjunto de datos recopilados de datos personales de usuarios de Facebook se había puesto a disposición en el Internet. Se informó que este conjunto de datos contiene datos personales relacionados con aproximadamente 533 millones de usuarios de Facebook en todo el mundo. El DPC se comprometió con Facebook Irlanda en relación con este problema informado, planteando consultas en relación con el cumplimiento del RGPD a las que Facebook Irlanda proporcionó una serie de respuestas.
El DPC, habiendo considerado la información proporcionada por Facebook Irlanda con respecto a este asunto hasta la fecha, opina que una o más disposiciones del RGPD y / o la Ley de Protección de Datos de 2018 pueden haber sido y / o están siendo infringidas en relación con a los datos personales de los usuarios de Facebook.
En consecuencia, la Comisión considera apropiado determinar si Facebook Irlanda ha cumplido con sus obligaciones, como responsable del tratamiento, en relación con el tratamiento de los datos personales de sus usuarios mediante las funciones Búsqueda de Facebook, Importador de contactos de Facebook Messenger e Importador de contactos de Instagram de su servicio, o si alguna disposición del RGPD y / o la Ley de Protección de Datos de 2018 ha sido o está siendo infringida por Facebook a este respecto “.
Se ha contactado a Facebook para hacer comentarios. Actualizar: La empresa no entregó un comunicado, pero confirmó que está en contacto con los reguladores para responder a sus preguntas.
La medida se produce después de que la Comisión Europea interviniera para presionar al comisionado de protección de datos de Irlanda. El comisionado de Justicia, Didier Reynders, tuiteó El lunes que había hablado con Helen Dixon sobre la filtración de datos de Facebook.
“La Comisión continúa siguiendo de cerca este caso y está comprometida a apoyar a las autoridades nacionales”, agregó, e insta a Facebook a “cooperar activa y rápidamente para arrojar luz sobre los problemas identificados”.
Una portavoz de la Comisión confirmó la reunión virtual entre Reynders y Dixon, diciendo: “Dixon informó al Comisionado sobre los temas en juego y las diferentes vías de trabajo para aclarar la situación.
“Ambos instan a Facebook a cooperar rápidamente y compartir la información necesaria. Es fundamental arrojar luz sobre esta filtración que ha afectado a millones de ciudadanos europeos ”.
“Depende de la autoridad irlandesa de protección de datos evaluar este caso. La Comisión permanece disponible si se necesita ayuda. La situación también deberá analizarse más a fondo en el futuro. Se deben aprender lecciones ”, agregó.
La revelación de que una vulnerabilidad en la plataforma de Facebook permitió a ‘actores maliciosos’ no identificados extraer los datos personales (incluidas direcciones de correo electrónico, números de teléfono móvil y más) de más de 500 millones de cuentas de Facebook hasta septiembre de 2019, cuando Facebook afirma que solucionó el problema. solo surgió a raíz de los datos siendo encontrado para su descarga gratuita en un foro de hackers a principios de este mes.
A pesar de que el marco de protección de datos de la Unión Europea (el RGPD) se cuela en un régimen de notificaciones de violación de datos, con el riesgo de fuertes multas por incumplimiento, Facebook no informó a su supervisor de datos principal de la UE cuando encontró y solucionó el problema. La Comisión de Protección de Datos de Irlanda (DPC) quedó para averiguarlo en la prensa, como todos los demás.
Facebook tampoco ha informado individualmente a los 533 millones + de usuarios que su información fue tomada sin su conocimiento o consentimiento, diciendo la semana pasada que no tiene planes de hacerlo, a pesar del mayor riesgo para los usuarios afectados de ataques de spam y phishing.
Mientras tanto, los expertos en privacidad se apresuraron a señalar que la compañía aún no se ha enfrentado a ninguna sanción regulatoria en virtud del GDPR, con una serie de investigaciones en curso sobre varios negocios y prácticas de Facebook y ninguna decisión aún emitida en esos casos por el DPC de Irlanda. (Hasta ahora solo ha emitido una decisión transfronteriza, multando a Twitter con alrededor de $ 550 mil en diciembre por una infracción que reveló en 2019).
El mes pasado, el Parlamento Europeo adoptó una resolución sobre la implementación del GDPR que expresó “gran preocupación” por el funcionamiento del mecanismo, lo que generó una preocupación particular sobre la autoridad irlandesa de protección de datos al escribir que “generalmente cierra la mayoría de los casos con un acuerdo en lugar de una sanción y que los casos remitidos a Irlanda en 2018 ni siquiera han alcanzado la etapa de un proyecto de decisión de conformidad con el artículo 60 (3) del GDPR ”.
El último escándalo de datos de Facebook intensifica aún más la presión sobre el DPC, brindando más ayuda a los críticos del GDPR que argumentan que la regulación es inviable bajo la estructura de aplicación actual, dados los principales cuellos de botella en Irlanda (y Luxemburgo), donde muchos técnicos los gigantes eligen ubicar la sede regional.
El jueves, Reynders hizo pública su preocupación por la respuesta de Irlanda a la filtración de datos de Facebook. tuiteando decir que la Comisión había estado en contacto con la DPC.
Tiene motivos para preocuparse personalmente. A principios de la semana pasada, Politico informó que los propios dígitos de Reynders habían estado entre el caché de datos filtrados, junto con los del primer ministro de Luxemburgo, Xavier Bettel, y “docenas de funcionarios de la UE”. Sin embargo, el problema de la aplicación débil del RGPD afecta a todos en todo el bloque: unas 446 millones de personas cuyos derechos no se respetan de manera uniforme y enérgica.
“Una estricta aplicación del RGPD es de importancia clave”, comentó Reynders también en Twitter, instando a Facebook a “cooperar plenamente con las autoridades irlandesas”.
La semana pasada, la comisión de protección de datos de Italia también pidió a Facebook que ofreciera de inmediato un servicio para que los usuarios italianos verifiquen si se han visto afectados por la violación. Pero Facebook no reconoció ni respondió públicamente a la llamada. Bajo el mecanismo de ventanilla única del GDPR, el gigante tecnológico puede limitar su exposición regulatoria tratando directamente solo con su supervisor principal de datos de la UE en Irlanda.
Una revisión de dos años de la Comisión sobre el funcionamiento del régimen de protección de datos, que se informó el verano pasado, ya llamó la atención sobre los problemas con la aplicación irregular. La falta de progreso para desbloquear los cuellos de botella del GDPR es, por lo tanto, un problema creciente para la Comisión, que está en medio de proponer un paquete de regulaciones digitales adicionales. Eso hace que el punto de aplicación sea muy urgente, ya que se les pregunta a los legisladores de la UE cómo se mantendrán las nuevas reglas digitales si se siguen pisoteando las existentes.
Sin duda, es notable que el ejecutivo de la UE haya propuesto una estructura de aplicación centralizada diferente para la legislación paneuropea entrante dirigida a los servicios digitales y los gigantes tecnológicos. Sin embargo, conseguir el acuerdo de todas las instituciones y representantes electos de la UE sobre cómo remodelar la supervisión de la plataforma parece un desafío.
Y mientras tanto, las filtraciones de datos continúan: Motherboard informó el viernes sobre otra filtración alarmante de datos de Facebook que se encontró accesible a través de un bot en la plataforma de mensajería de Telegram que da los nombres y números de teléfono de los usuarios a los que les ha gustado una página de Facebook (en canjear por una tarifa a menos que la página haya tenido menos de 100 me gusta).
La publicación dijo que estos datos parecen estar separados del conjunto de datos raspados de 533M +, después de que ejecutó verificaciones con el conjunto de datos más grande a través del sitio de avisos de violación, haveibeenpwned. También le pidió a Alon Gal, la persona que descubrió que el conjunto de datos de Facebook filtrado antes mencionado se ofrecía para su descarga gratuita en línea, que comparara los datos obtenidos a través del bot y no encontró ninguna coincidencia.
Nos contactamos con Facebook sobre la fuente de estos datos filtrados y actualizaremos este informe con cualquier respuesta.
En su Pío Sobre la filtración de datos de Facebook de más de 500 millones la semana pasada, Reynders hizo referencia a la Junta de Protección de Datos de Europa (EDPB), un órgano de dirección compuesto por representantes de las agencias de protección de datos de los Estados miembros que trabaja para garantizar una aplicación coherente del RGPD.
Sin embargo, el organismo no lidera la aplicación del RGPD, por lo que no está claro por qué lo invocaría. La óptica es una posibilidad, si estuviera tratando de fomentar la percepción de que la UE tiene estructuras de aplicación vigorosas y uniformes en lo que respecta a los datos de las personas.
“Según el RGPD, la aplicación y la investigación de posibles infracciones recae en las autoridades nacionales de supervisión. La EDPB no tiene poderes de investigación per se y no participa en investigaciones a nivel nacional. Como tal, la EDPB no puede comentar sobre las actividades de procesamiento de empresas específicas ”, nos dijo una portavoz de la EDPB cuando le preguntamos sobre los comentarios de Reynders.
Pero también señaló que la Comisión asiste a las reuniones plenarias de la EDPB, y agregó que es posible que haya un intercambio de puntos de vista entre los miembros sobre el caso de filtración de Facebook en el futuro, ya que las autoridades supervisoras asistentes “intercambian regularmente información sobre casos a nivel nacional”.