El motivo por el que Meta vuelve a ser blanco de multa en Europa: millones de contraseñas sin protección

La Comisión de Protección de Datos de Irlanda (CPD, por sus siglas en inglés) inició, hace cinco años, una investigación sobre Meta Platforms, Inc. porque Facebook e Instagram almacenaron por...

La Comisión de Protección de Datos de Irlanda (CPD, por sus siglas en inglés) inició, hace cinco años, una investigación sobre Meta Platforms, Inc. porque Facebook e Instagram almacenaron por error millones de contraseñas de usuarios en texto plano y a la vista de 2.000 desarrolladores e ingenieros de la compañía. Y, ahora, después de todo este tiempo, el Reglamento General de Protección de Datos (RGPD, por sus siglas en inglés) ha compartido su decisión final sobre esta brecha de seguridad.

Esta resolución, tomada por los Comisionados de Protección de Datos, Dr. Des Hogan y Dale Sunderland, y notificada a Meta Platforms el pasado 26 de septiembre, incluye una "reprimenda" y una multa de 91 millones de euros. Además, la decisión de la CPD recoge las siguientes conclusiones de infracción del RGPD:

Meta Platforms no notificó y tampoco documentó una violación de datos personales relativa al almacenamiento de contraseñas de usuarios en texto sin formato.Meta Platforms no utilizó medidas técnicas u organizativas apropiadas para garantizar la seguridad adecuada de las contraseñas de los usuarios contra el procesamiento no autorizado.Meta Platforms no implementó medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluida la capacidad de garantizar la confidencialidad permanente de las contraseñas de los usuarios.

Ante tales infracciones, Graham Doyle, Comisionado Adjunto de la CPD, argumenta en un comunicado emitido por la RGPD que "es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto simple, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Debe tenerse en cuenta que las contraseñas que se examinan en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios".

¿Por qué la CPD ha tomado esta decisión?

Esta decisión de la Comisión de Protección de Datos de Irlanda se refiere a los principios de integridad y confidencialidad del Reglamento General de Protección de Datos, que exige que los responsables del tratamiento de datos apliquen medidas de seguridad adecuadas al procesar información personal, teniendo en cuenta los riesgos para los usuarios del servicio y la naturaleza del tratamiento de datos.

No obstante, para mantener la seguridad, los responsables deben evaluar los riesgos inherentes al tratamiento e implementar medidas para mitigarlos. Asimismo, la decisión de la CPD enfatiza la necesidad de tomar tales medidas al almacenar las contraseñas de los usuarios.

Se deben notificar todas las violaciones de datos

El RGPD también exige a los responsables del tratamiento de datos que documenten adecuadamente las violaciones de datos personales y que notifiquen a las autoridades las violaciones que se produzcan, debido a que una filtración de información personal puede, si no se aborda de forma adecuada y oportuna, dar lugar a daños como la pérdida de control.

Por tanto, cuando un responsable del tratamiento tenga conocimiento de que se ha producido una violación de datos personales, deberá notificarlo a la autoridad de control sin dilación indebida, en la forma prescrita por el artículo 33 del Reglamento General de Protección de Datos.