La Comisión de Protección de Datos de Irlanda (DPC) anunció en diciembre sus decisiones finales tras dos investigaciones sobre Meta Platforms Ireland Limited (MPIL) iniciadas por la DPC tras una violación de datos personales que fue informada por MPIL en septiembre de 2018.
La filtración de datos afectó a aproximadamente 29 millones de cuentas de Facebook en todo el mundo, de las cuales aproximadamente 3 millones estaban ubicadas en la UE/EEE. Las categorías de datos personales afectados incluyeron: nombre completo del usuario; dirección de correo electrónico; número de teléfono; ubicación; lugar de trabajo; fecha de nacimiento; religión; género; publicaciones en las cronologías; grupos de los que un usuario era miembro; y datos personales de niños. La filtración surgió de la explotación por parte de terceros no autorizados de tokens de usuario en la plataforma de Facebook. La filtración fue remediada por MPIL y su empresa matriz estadounidense poco después de su descubrimiento.
Así fue la cosa en detalle: Facebook implementó una función de carga de vídeos en julio de 2017. La función «Ver como» permitía ver la propia página de Facebook como la vería otra persona. Alguien que hiciera uso de esta función podía activar el cargador de vídeos junto con el «Compositor de feliz cumpleaños» de Facebook. El cargador de vídeos generaría entonces un token de usuario con todos los permisos, que le otorgaría acceso total al perfil de ese otro usuario, y podría entonces usar ese token para explotar la misma combinación de funciones en otras cuentas, lo que le permitiría acceder a los perfiles de varios usuarios y a sus datos. Entre el 14 y el 28 de septiembre de 2018, personas no autorizadas utilizaron scripts para explotar esta vulnerabilidad y pudieron iniciar sesión como titular de la cuenta en aproximadamente 29 millones de casos en todo el mundo, unos tres millones ubicados en la UE/EEE. El personal de seguridad de Facebook fue alertado sobre la vulnerabilidad por un aumento anómalo en la actividad de carga de vídeos y poco después eliminó la funcionalidad que causó la vulnerabilidad.
Las decisiones de los comisionados de protección de datos incluyeron una serie de reprimendas y una orden de pago de multas administrativas por 251 millones de euros.
La DPC presentó un proyecto de decisión al mecanismo de cooperación del RGPD en septiembre de 2024, tal como lo exige el artículo 60 del RGPD. No se plantearon objeciones al proyecto de decisión de la DPC. La DPC agradece la cooperación y la asistencia de sus autoridades de supervisión homólogas de la UE/EEE en este caso.
Las decisiones finales de la DPC registran las siguientes conclusiones de infracción del RGPD:
— Decisión 1
1. Artículo 33.3 del RGPD: Al no incluir en su notificación de infracción toda la información exigida por dicha disposición que podría y debería haber incluido, la DPC ordenó a MPIL pagar multas administrativas de 8 millones de euros.
2. Artículo 33.5 del RGPD: Al no documentar los hechos relacionados con cada infracción, las medidas adoptadas para remediarlas y hacerlo de forma que la Autoridad de Control pudiera verificar el cumplimiento, la DPC le ordenó pagar multas administrativas de 3 millones de euros.
— Decisión 2
1. Artículo 25.1 del RGPD: Al no garantizar la protección de los principios de protección de datos en el diseño de los sistemas de tratamiento, la DPC condenó a MPIL a pagar multas administrativas por valor de 130 millones de euros.
2. Artículo 25.2 del RGPD: Al incumplir sus obligaciones como responsables del tratamiento de garantizar que, por defecto, solo se procesen los datos personales que sean necesarios para fines específicos, la DPC la condenó a pagar multas administrativas por valor de 110 millones de euros.
░ Foto de Thought Catalog en Pexels
