Meta multada con 251 millones de euros tras violación de datos que afectó a millones

La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 251 millones de euros a Meta Platforms Ireland Limited (MPIL) tras dos investigaciones sobre una importante violación de datos que ocurrió en 2018, según se informó en un comunicado de prensa de la DPC.

La brecha, que afectó a alrededor de 29 millones de cuentas de Facebook en todo el mundo, expuso datos personales sensibles, incluyendo nombres, direcciones de correo electrónico, números de teléfono y más. De los afectados, aproximadamente 3 millones de cuentas estaban basadas en la Unión Europea y el Área Económica Europea (UE/AEE), dijo la DPC.

La violación ocurrió cuando terceros no autorizados explotaron tokens de usuario en la plataforma de Facebook, obteniendo acceso a los datos del usuario. MPIL informó del incidente en septiembre de 2018, y la violación fue solucionada rápidamente por MPIL y su empresa matriz en los Estados Unidos.

The Record señala que un portavoz de Meta emitió una declaración destacando que la multa se deriva de un incidente que ocurrió hace seis años.

“Tomamos medidas inmediatas para solucionar el problema tan pronto como fue identificado, e informamos proactivamente a las personas afectadas así como a la Comisión de Protección de Datos de Irlanda”, dijo el comunicado, según informó The Record. “Tenemos una amplia gama de medidas líderes en la industria para proteger a las personas en nuestras plataformas”.

En sus decisiones finales, la DPC citó múltiples violaciones al Reglamento General de Protección de Datos (GDPR), resultando en multas sustanciales. Las consultas de la Comisión identificaron dos áreas clave de incumplimiento.

La primera decisión se centró en el fracaso de Meta al no incluir toda la información requerida en su notificación de violación. Específicamente, la compañía no proporcionó detalles suficientes sobre la violación. Además, Meta fue reprendida por no documentar los hechos de la violación. Como resultado, la DPC impuso multas de €8 millones y €3 millones, respectivamente.

La segunda decisión se refirió al fracaso de Meta en mantener los principios de protección de datos en su diseño de sistema, ya que se encontró que había integrado de manera insuficiente las salvaguardas de protección de datos en sus sistemas de procesamiento.

Además, Meta fue penalizada por no garantizar que solo se procesaran los datos personales necesarios. Las multas por estas violaciones ascendieron a 130 millones de euros y 110 millones de euros, dijo la DPC.

Graham Doyle, Subcomisionado de la DPC, enfatizó la gravedad de la violación, destacando cómo las medidas de protección de datos insuficientes pueden exponer a las personas a riesgos significativos.

“Los perfiles de Facebook pueden, y a menudo lo hacen, contener información sobre temas como creencias religiosas o políticas, vida sexual u orientación, y asuntos similares que un usuario puede desear revelar solo en circunstancias particulares”, dijo Doyle en el comunicado de prensa.

“Al permitir la exposición no autorizada de la información del perfil, las vulnerabilidades detrás de esta violación causaron un grave riesgo de mal uso de estos tipos de datos”, agregó Doyle.

La investigación de la DPC siguió el proceso estándar de la GDPR, con un borrador de decisión presentado para revisión por pares en septiembre de 2024. La Comisión no recibió objeciones a sus hallazgos, y agradeció a otras autoridades supervisoras de la UE/EEE por su cooperación.

Esta acción de cumplimiento sirve como un fuerte recordatorio de la importancia de medidas robustas de protección de datos para las empresas que operan dentro de la UE.

La multa anunciada el martes marca la última sanción financiera que Meta ha enfrentado por violar las leyes europeas de protección de datos. En septiembre, la DPC impuso una multa de $101.5 millones a Meta por no proteger adecuadamente los datos de contraseñas de los usuarios.