La Comisión de Protección de Datos (DPC) de Irlanda ha hecho pública su decisión final tras concluir una exhaustiva investigación sobre Meta Platforms Ireland Limited (MPIL). Comenzada en abril de 2019, la investigación ha culminado con una multa de 91 millones de euros y una reprimenda formal a la empresa.
El caso se remonta a marzo de 2019, cuando MPIL informó a la DPC que había almacenado inadvertidamente contraseñas de usuarios de redes sociales en «texto plano» en sus sistemas internos, es decir, sin protección criptográfica ni cifrado. Aunque estas contraseñas no fueron expuestas a terceros, el incidente planteó un riesgo significativo para la seguridad de los datos de los usuarios.
La DPC identificó varias violaciones del Reglamento General de Protección de Datos (RGPD) durante su investigación. Primero, detectó que MPIL incumplió el artículo 33(1) del RGPD al no notificar a la DPC sobre la violación de datos personales vinculada al almacenamiento inadecuado de las contraseñas. En segundo lugar, la empresa no documentó las violaciones de datos de acuerdo al artículo 33(5) del RGPD. Además, MPIL incumplió el artículo 5(1)(f) del RGPD al no aplicar medidas técnicas u organizativas apropiadas para garantizar la seguridad de las contraseñas de los usuarios. Finalmente, la empresa tampoco implementó medidas adecuadas para asegurar un nivel de seguridad apropiado al riesgo, violando el artículo 32(1) del RGPD.
Graham Doyle, Comisario Adjunto de la DPC, señaló: «Es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Debe tenerse en cuenta que las contraseñas objeto de consideración en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios».
La DPC ha impuesto varias medidas correctivas a MPIL. Entre ellas, una reprimenda en conformidad con el artículo 58(2)(b) del RGPD y multas administrativas que suman un total de 91 millones de euros, de acuerdo con los artículos 58(2)(i) y 83 del RGPD.
Este caso subraya la vital importancia de implementar medidas de seguridad adecuadas al procesar datos personales, especialmente cuando se trata de información tan sensible como las contraseñas de los usuarios. También resalta la necesidad imperiosa de documentar y notificar correctamente cualquier violación de datos personales a las autoridades competentes.
La DPC ha informado que publicará la decisión completa y más información relacionada en su página web próximamente.