El supervisor principal de datos de Facebook en la Unión Europea ha abierto una investigación sobre si el gigante tecnológico violó las reglas de protección de datos frente a la filtración de datos informada a principios de este mes.
Aquí está la declaración de la Comisión de Protección de Datos de Irlanda:
“La Comisión de Protección de Datos (DPC) lanzó hoy una investigación por voluntad propia de conformidad con la sección 110 de la Ley de Protección de Datos de 2018 en relación con múltiples informes de medios internacionales, que destacó que un conjunto de datos recopilados de datos personales de usuarios de Facebook se había puesto a disposición en el Internet. Se informó que este conjunto de datos contiene datos personales relacionados con aproximadamente 533 millones de usuarios de Facebook en todo el mundo. El DPC se comprometió con Facebook Irlanda en relación con este problema informado, planteando consultas en relación con el cumplimiento del RGPD a las que Facebook Irlanda proporcionó una serie de respuestas.
El DPC, habiendo considerado la información proporcionada por Facebook Irlanda con respecto a este asunto hasta la fecha, opina que una o más disposiciones del RGPD y / o la Ley de Protección de Datos de 2018 pueden haber sido y / o están siendo infringidas en relación con a los datos personales de los usuarios de Facebook.
En consecuencia, la Comisión considera apropiado determinar si Facebook Ireland ha cumplido con sus obligaciones, como responsable del tratamiento, en relación con el tratamiento de los datos personales de sus usuarios mediante las funciones Búsqueda de Facebook, Importador de contactos de Facebook Messenger e Importador de contactos de Instagram de su servicio, o si alguna disposición del RGPD y / o la Ley de Protección de Datos de 2018 ha sido o está siendo infringida por Facebook a este respecto “.
Se ha contactado a Facebook para hacer comentarios. Actualizar: La empresa no entregó un comunicado, pero confirmó que está en contacto con los reguladores para responder a sus preguntas. Actualización 2: Facebook ha enviado ahora esta declaración: “Estamos cooperando plenamente con el IDPC en su consulta, que se relaciona con las características que facilitan que las personas encuentren y se conecten con amigos en nuestros servicios. Estas características son comunes a muchas aplicaciones y esperamos poder explicarlas y las protecciones que hemos implementado “.
La medida se produce después de que la Comisión Europea interviniera para presionar al comisionado de protección de datos de Irlanda. El comisionado de Justicia, Didier Reynders, tuiteó El lunes que había hablado con Helen Dixon sobre la filtración de datos de Facebook.
“La Comisión continúa siguiendo de cerca este caso y está comprometida a apoyar a las autoridades nacionales”, agregó, e insta a Facebook a “cooperar activa y rápidamente para arrojar luz sobre los problemas identificados”.
Hoy hablé con Helen Dixon @DPCIreland acerca de #FacebookLeak. La Comisión sigue de cerca este caso y se compromete a apoyar a las autoridades nacionales. También llamamos a @Facebook cooperar activa y rápidamente para arrojar luz sobre los problemas identificados.
– Didier Reynders (@dreynders) 12 de abril de 2021
Una portavoz de la Comisión confirmó la reunión virtual entre Reynders y Dixon, diciendo: “Dixon informó al Comisionado sobre los temas en juego y las diferentes vías de trabajo para aclarar la situación.
“Ambos instan a Facebook a cooperar rápidamente y compartir la información necesaria. Es fundamental arrojar luz sobre esta filtración que ha afectado a millones de ciudadanos europeos ”.
“Depende de la autoridad irlandesa de protección de datos evaluar este caso. La Comisión permanece disponible si se necesita ayuda. La situación también deberá analizarse más a fondo en el futuro. Se deben aprender lecciones ”, agregó.
La revelación de que una vulnerabilidad en la plataforma de Facebook permitió a ‘actores maliciosos’ no identificados extraer los datos personales (incluidas direcciones de correo electrónico, números de teléfono móvil y más) de más de 500 millones de cuentas de Facebook hasta septiembre de 2019, cuando Facebook afirma que solucionó el problema. solo surgió a raíz de los datos siendo encontrado para su descarga gratuita en un foro de hackers a principios de este mes.
Los 533.000.000 de registros de Facebook se filtraron de forma gratuita.
Esto significa que si tiene una cuenta de Facebook, es muy probable que se haya filtrado el número de teléfono utilizado para la cuenta.
Todavía tengo que ver a Facebook reconociendo esta absoluta negligencia de sus datos. https://t.co/ysGCPZm5U3 pic.twitter.com/nM0Fu4GDY8
– Alon Gal (Bajo la brecha) (@UnderTheBreach) 3 de abril de 2021
A pesar de que el marco de protección de datos de la Unión Europea (el RGPD) se encuentra en un régimen de notificaciones de violación de datos, con el riesgo de fuertes multas por incumplimiento, Facebook no informó a su supervisor principal de datos de la UE cuando encontró y solucionó el problema. La Comisión de Protección de Datos de Irlanda (DPC) se quedó para averiguarlo en la prensa, como todos los demás.
Facebook tampoco ha informado individualmente a los 533 millones + de usuarios que su información fue tomada sin su conocimiento o consentimiento, diciendo la semana pasada que no tiene planes de hacerlo, a pesar del mayor riesgo para los usuarios afectados de ataques de spam y phishing.
Mientras tanto, los expertos en privacidad se apresuraron a señalar que la compañía aún no se ha enfrentado a ninguna sanción regulatoria en virtud del GDPR, con una serie de investigaciones en curso sobre varios negocios y prácticas de Facebook y ninguna decisión aún emitida en esos casos por el DPC de Irlanda. (Hasta ahora solo ha emitido una decisión transfronteriza, multando a Twitter con alrededor de $ 550 mil en diciembre por una infracción que reveló en 2019).
El mes pasado, el Parlamento Europeo adoptó una resolución sobre la implementación del RGPD, que expresó “gran preocupación” por el funcionamiento del mecanismo, lo que generó una preocupación particular sobre la autoridad irlandesa de protección de datos al escribir que “generalmente cierra la mayoría de los casos con un acuerdo en lugar de una sanción y que los casos se refieren a Irlanda en 2018 ni siquiera han llegado a la etapa de proyecto de decisión de conformidad con el artículo 60, apartado 3, del RGPD ”.
El último escándalo de datos de Facebook aumenta aún más la presión sobre el DPC, brindando más ayuda a los críticos del GDPR que argumentan que la regulación es inviable bajo la estructura de aplicación actual, dados los principales cuellos de botella en Irlanda (y Luxemburgo) donde muchos técnicos los gigantes eligen ubicar la sede regional.
Después de la @EP_Justicia y otras APD de la UE plantearon preocupaciones, el Parlamento irlandés ahora también planea estudiar el trabajo de @DPCIreland en audiencia el 27 de abril.
Me alegra ver pasos proactivos para debatir cómo #GDPR se puede hacer cumplir eficazmente en todos los estados miembros de la UE! 😁👍 https://t.co/2mDaFOwEiR
– Max Schrems 🇪🇺 (@maxschrems) 10 de abril de 2021
El jueves, Reynders hizo pública su preocupación por la respuesta de Irlanda a la filtración de datos de Facebook. tuiteando decir que la Comisión había estado en contacto con la DPC.
Tiene motivos para preocuparse personalmente. A principios de la semana pasada Politico informó que los propios dígitos de Reynders habían estado entre el caché de datos filtrados, junto con los del primer ministro de Luxemburgo, Xavier Bettel, y “docenas de funcionarios de la UE”. Sin embargo, el problema de la aplicación débil del RGPD afecta a todos en todo el bloque: unas 446 millones de personas cuyos derechos no se respetan de manera uniforme y enérgica.
“Una estricta aplicación de GDPR es de importancia clave”, Reynders también comentó en Twitter, instando a Facebook a “cooperar plenamente con las autoridades irlandesas”.
La semana pasada Comisión de protección de datos de Italia También pidió a Facebook que ofrezca de inmediato un servicio para que los usuarios italianos verifiquen si se han visto afectados por la violación. Pero Facebook no reconoció ni respondió públicamente a la llamada. Bajo el mecanismo de ventanilla única del GDPR, el gigante tecnológico puede limitar su exposición regulatoria al tratar directamente solo con su supervisor principal de datos de la UE en Irlanda.
Una revisión de dos años de la Comisión sobre cómo está funcionando el régimen de protección de datos, que se informó el verano pasado, ya llamó la atención sobre los problemas con la aplicación irregular. La falta de progreso para desbloquear los cuellos de botella del GDPR es, por lo tanto, un problema creciente para la Comisión, que está en medio de proponer un paquete de regulaciones digitales adicionales. Eso hace que el punto de aplicación sea muy urgente, ya que se les pregunta a los legisladores de la UE cómo se mantendrán las nuevas reglas digitales si se siguen pisoteando las existentes.
Sin duda, es notable que el ejecutivo de la UE haya propuesto una estructura de aplicación centralizada diferente para la legislación paneuropea entrante dirigida a los servicios digitales y los gigantes tecnológicos. No obstante, conseguir el acuerdo de todas las instituciones y representantes electos de la UE sobre cómo remodelar la supervisión de la plataforma parece un desafío.
Y mientras tanto continúan las filtraciones de datos: tarjeta madre informó el viernes sobre otra filtración alarmante de datos de Facebook que se encontró accesible a través de un bot en la plataforma de mensajería de Telegram que da los nombres y números de teléfono de los usuarios a los que les ha gustado una página de Facebook (a cambio de una tarifa a menos que la página haya tenido menos más de 100 me gusta).
La publicación dijo que estos datos parecen estar separados del conjunto de datos raspados de 533M +, después de que ejecutó verificaciones con el conjunto de datos más grande a través del sitio de advertencia de incumplimiento. haveibeenpwned. También le pidió a Alon Gal, la persona que descubrió que el conjunto de datos de Facebook filtrado antes mencionado se ofrecía para su descarga gratuita en línea, que comparara los datos obtenidos a través del bot y no encontró ninguna coincidencia.
Nos contactamos con Facebook sobre la fuente de estos datos filtrados y actualizaremos este informe con cualquier respuesta.
En su Pío Sobre la filtración de datos de más de 500 millones de Facebook la semana pasada, Reynders hizo referencia a la Junta de Protección de Datos de Europa (EDPB), un órgano de dirección compuesto por representantes de las agencias de protección de datos de los Estados miembros que trabaja para garantizar una aplicación coherente del RGPD.
Sin embargo, el organismo no lidera la aplicación del RGPD, por lo que no está claro por qué lo invocaría. La óptica es una posibilidad, si estuviera tratando de fomentar la percepción de que la UE tiene estructuras de aplicación vigorosas y uniformes en lo que respecta a los datos de las personas.
“Según el RGPD, la aplicación y la investigación de posibles violaciones recae en las autoridades nacionales de supervisión. La EDPB no tiene poderes de investigación per se y no participa en investigaciones a nivel nacional. Como tal, la EDPB no puede comentar sobre las actividades de procesamiento de empresas específicas ”, nos dijo una portavoz de la EDPB cuando le preguntamos sobre los comentarios de Reynders.
Pero también señaló que la Comisión asiste a las reuniones plenarias de la EDPB, y agregó que es posible que haya un intercambio de puntos de vista entre los miembros sobre el caso de filtración de Facebook en el futuro, ya que las autoridades supervisoras asistentes “intercambian regularmente información sobre casos a nivel nacional”.