La Comisión de Protección de Datos (DPC) de Irlanda ha culminado una exhaustiva investigación sobre Meta Platforms Ireland Limited (MPIL) con una decisión final que impone una multa de 91 millones de euros y una reprimenda a la empresa.
En marzo de 2019, MPIL notificó a la DPC que había almacenado accidentalmente ciertas contraseñas de usuarios de redes sociales en «texto plano» en sus sistemas internos, es decir, sin protección criptográfica ni cifrado. Aunque estas contraseñas no estuvieron accesibles para partes externas, el incidente representó un riesgo significativo para la seguridad de los datos de los usuarios.
La Comisión ha identificado varias infracciones del Reglamento General de Protección de Datos (RGPD). La empresa no notificó a la DPC una violación de datos personales relativa al almacenamiento de contraseñas en texto plano, incumpliendo así el artículo 33(1) del RGPD. Además, fallaron en documentar las violaciones de datos conforme al artículo 33(5) y no implementaron medidas técnicas u organizativas apropiadas, contraviniendo el artículo 5(1)(f) del reglamento. Asimismo, no aseguraron un nivel de seguridad adecuado al riesgo, violando el artículo 32(1).
Graham Doyle, Comisario Adjunto de la DPC, señaló: “Es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Debe tenerse en cuenta que las contraseñas objeto de consideración en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios”.
La Comisión ha dictado las siguientes medidas correctivas: una reprimenda conforme al artículo 58(2)(b) del RGPD y multas administrativas que suman un total de 91 millones de euros, de acuerdo con los artículos 58(2)(i) y 83 del RGPD.
Este incidente subraya la vital importancia de implementar medidas de seguridad apropiadas al procesar datos personales, especialmente información sensible como las contraseñas de los usuarios. También enfatiza la necesidad de documentar y notificar adecuadamente las violaciones de datos personales a las autoridades competentes.
La DPC ha anunciado que próximamente publicará la decisión completa y más información relacionada en su página oficial.