La Comisión Irlandesa de Protección de Datos multa a Meta Ireland con 91 millones de euros

Senegal juliette. REPORT
La Comisión Irlandesa de Protección de Datos multa a Meta Ireland con 91 millones de euros
La Comisión Irlandesa de Protección de Datos multa a Meta Ireland con 91 millones de euros
-

La Comisión de Protección de Datos (DPC) ha anunciado hoy su decisión final tras una investigación sobre Meta Platforms Ireland Limited (MPIL). Esta investigación se inició en abril de 2019, después de que MPIL notificara a la DPC que había almacenado inadvertidamente ciertas contraseñas de usuarios de redes sociales en “texto sin formato” en sus sistemas internos (es decir, sin protección criptográfica ni cifrado).

La DPC presentó un proyecto de decisión a las otras autoridades de supervisión interesadas en toda la UE/EEE en junio de 2024, según lo exige el artículo 60 del RGPD. Las demás autoridades no formularon objeciones al proyecto de decisión.

La decisión, que fue tomada por los Comisionados de Protección de Datos, Dr. Des Hogan y Dale Sunderland, y notificada a MPIL ayer 26 de septiembre, incluye una amonestación y una multa de 91 millones de euros.

La Decisión de la DPC registra las siguientes conclusiones de infracción del RGPD:

  • el artículo 33, apartado 1, del RGPD, ya que MPIL no notificó a la DPC una violación de datos personales relacionada con el almacenamiento de contraseñas de usuario en texto plano;
  • el artículo 33, apartado 5, del RGPD, ya que MPIL no documentó las violaciones de datos personales relacionadas con el almacenamiento de contraseñas de usuario en texto plano;
  • Artículo 5(1)(f) del RGPD, ya que MPIL no utilizó medidas técnicas u organizativas apropiadas para garantizar la seguridad adecuada de las contraseñas de los usuarios contra el procesamiento no autorizado; y
  • Artículo 32 (1) GDPR, porque MPIL no implementó medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad apropiado al riesgo, incluida la capacidad de garantizar la confidencialidad continua de las contraseñas de los usuarios.

El comisionado adjunto del DPC, Graham Doyle, comentó: “Está ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Hay que tener en cuenta que las contraseñas objeto de consideración en este caso son especialmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios.

La DPC publicará la Decisión completa y más información relacionada a su debido tiempo.

Fondo

En marzo de 2019, MPIL notificó a la DPC que había almacenado inadvertidamente ciertas contraseñas de usuarios de redes sociales en “texto sin formato” en sus sistemas internos (es decir, sin protección criptográfica ni cifrado). MPIL también publicó información sobre este incidente en marzo de 2019.[1]. Estas contraseñas no se pusieron a disposición de terceros.

El alcance de la investigación, que comenzó en abril de 2019, evaluó el cumplimiento de MPIL con el Reglamento General de Protección de Datos (GDPR) y, en particular, si MPIL implementó medidas para garantizar un nivel de seguridad apropiado a los riesgos asociados con el procesamiento de contraseñas. y si MPIL cumplió con sus obligaciones de documentar y notificar a la DPC sobre violaciones de datos personales.

Esta Decisión de la DPC se refiere a los principios de integridad y confidencialidad del RGPD. El RGPD exige que los responsables del tratamiento de datos implementen medidas de seguridad adecuadas al procesar datos personales, teniendo en cuenta factores como los riesgos para los usuarios del servicio y la naturaleza del procesamiento de datos. Para mantener la seguridad, los responsables del tratamiento deben evaluar los riesgos inherentes al procesamiento e implementar medidas para mitigarlos. Esta decisión enfatiza la necesidad de tomar tales medidas al almacenar las contraseñas de los usuarios.

El RGPD también exige que los responsables del tratamiento de datos documenten adecuadamente las violaciones de datos personales y notifiquen a las autoridades de protección de datos sobre las violaciones que se produzcan. Una violación de datos personales puede, si no se aborda de manera adecuada y oportuna, provocar daños como la pérdida de control sobre los datos personales. Por lo tanto, cuando un responsable del tratamiento tenga conocimiento de que se ha producido una violación de datos personales, deberá notificarlo a la autoridad de control sin demora indebida, en la forma prescrita por el artículo 33 del RGPD.

La decisión contiene las siguientes facultades correctoras:

  1. Una amonestación de conformidad con el artículo 58, apartado 2, letra b) del RGPD; y
  2. Multas administrativas por un total de 91 millones de euros de conformidad con los artículos 58, apartado 2, letra i) y 83 del RGPD.

El artículo 60 del RGPD regula el procedimiento de cooperación entre la autoridad de control principal y las demás autoridades de control interesadas.

[1]Disponible en https://about.fb.com/news/2019/03/keeping-passwords-secure/

-

PREV Tusshar Kapoor dice que sus cuentas de Facebook fueron pirateadas
NEXT Meta multada con 91 millones de euros por almacenar millones de contraseñas de Facebook e Instagram en texto plano

Related posts

horario, canal de TV, dónde y cómo ver el ATP de Beijing

‘Actuar como víctima’: Diego Simeone critica a Thibaut Courtois tras los disturbios del público en el derbi de Madrid

Steam lanza 4 nuevos juegos gratuitos que puedes reclamar a partir de octubre

“Haciendo todo lo posible para resolver la situación”