Irlanda impone una multa de 251 millones de euros a Meta por una filtración masiva de datos

La Comisión de Protección de Datos de Irlanda (DPC) impuso este martes una multa de 251 millones de euros a la filial irlandesa de Meta por una filtración masiva de datos que afectó a 29 millones de cuentas de Facebook en todo el mundo entre 2017 y 2018.

Las pesquisas iniciaron en septiembre de 2018 después de que Meta Platforms Ireland Limited (MPIL) descubriese un error de código presente desde julio de 2017 e informase voluntariamente al regulador irlandés, según informó la DPC en un comunicado.

La vulnerabilidad técnica en el diseño de Facebook permitía a personas no autorizadas acceder a perfiles de otros usuarios y a datos como el nombre completo del usuario, su dirección de correo electrónico, su teléfono, su fecha de nacimiento, religión o género, entre otras.

Los comisionados de la DPC Des Hogan y Dale Sunderland presentaron este martes las dos decisiones finales a dos investigaciones voluntarias y la conclusión de infracción del Reglamento General de Protección de Datos de la UE (RGPD), que incluye "una serie de reprimendas" así como la mencionada multa administrativa de 251 millones de euros.

De acuerdo con el artículo 25 de la RGPD, el regulador condenó a Meta a pagar 130 millones de euros por "no garantizar la protección de datos en el diseño de los sistemas de tratamiento", así como 110 millones de euros adicionales por incumplir sus obligaciones de garantizar que "solo se traten los datos personales necesarios para fines específicos" como responsables de su gestión.

Asimismo, a la hora de notificar la infracción, Meta no aportó toda la información exigida "que podría y debería haber incluido" ni documentó los hechos de cada infracción, así como las medidas adoptadas para remediarlas y de manera que el regulador pudiera verificar el cumplimiento, por lo que la DPC impuso a la compañía una multa de 11 millones más (de 8 y 3 millones cada una) amparándose en el artículo 33 de la RGPD.

"Esta medida de cumplimiento pone de relieve cómo el hecho de no incorporar requisitos de protección de datos a lo largo del diseño y el desarrollo puede exponer a las personas a riesgos y daños muy graves", dijo en la nota el comisionado adjunto de la DPC, Graham Doyle.

De las personas afectadas, tres millones estaban ubicadas en la Unión Europea (UE) y/o el Espacio Económico Europeo (EEE).

El pasado 27 de septiembre, la DPC multó a Meta con otros 91 millones de euros por haber almacenado de forma inadvertida ciertas contraseñas de usuarios en "texto simple" y sin protección criptográfica ni cifrado y en mayo de 2023 con 1.200 millones de euros por una mala gestión de datos al transferirlos entre Europa y Estados Unidos.