Meta multada con 91 millones por brecha de seguridad

Introducción a la nueva sanción de Meta

Recientemente, Meta, la empresa matriz de Facebook, ha enfrentado otra dura sanción relacionada con la privacidad en Europa. La Comisión de Protección de Datos de Irlanda (DPC) ha impuesto una multa de 91 millones de euros, aproximadamente 101,5 millones de dólares, tras una investigación que se prolongó durante varios años sobre una brecha de seguridad ocurrida en 2019. Este incidente ha puesto de relieve la continua lucha de la empresa por cumplir con las normativas de protección de datos establecidas por la Unión Europea.

Contexto de la brecha de seguridad

La investigación del DPC se inició en abril de 2019, cuando Meta notificó que “cientos de millones” de contraseñas de usuarios habían sido almacenadas en texto plano en sus servidores. Esta violación de seguridad se convirtió en un problema legal en la Unión Europea, ya que el Reglamento General de Protección de Datos (GDPR) exige que los datos personales estén adecuadamente protegidos. La falta de encriptación de estas contraseñas significó que terceros pudieran potencialmente acceder a información sensible de los usuarios almacenada en sus cuentas de redes sociales.

La falta de medidas de seguridad adecuadas es un aspecto crítico que ha llevado a la DPC a concluir que Meta no cumplió con los estándares legales del bloque. Además, la empresa no notificó a la DPC sobre la brecha en el plazo requerido, lo que generó más problemas. Según el GDPR, las notificaciones sobre brechas de seguridad deben realizarse en un plazo de 72 horas desde que se toma conocimiento de la situación.

Reacción de la DPC

Graham Doyle, el comisionado adjunto de la DPC, enfatizó en un comunicado que “es ampliamente aceptado que las contraseñas de los usuarios no deben ser almacenadas en texto plano, considerando los riesgos de abuso que surgen de que personas accedan a tales datos.” Este comentario resalta la gravedad de la situación y la responsabilidad que tienen las empresas de proteger la información de sus usuarios.

La DPC ha sido muy clara en su postura, y esta sanción refuerza la idea de que la protección de datos personales es una prioridad en la regulación europea. La gestión inadecuada de las contraseñas y la falta de respuesta oportuna por parte de Meta han sido factores determinantes para la imposición de esta multa.

Respuesta de Meta

En respuesta a esta nueva sanción, un portavoz de Meta, Matthew Pollard, envió un comunicado donde intentó minimizar la gravedad de la situación, argumentando que la empresa había tomado “medidas inmediatas” para corregir lo que describió como un “error” en sus procesos de gestión de contraseñas. “Como parte de una revisión de seguridad en 2019, descubrimos que un subconjunto de contraseñas de usuarios de FB había sido registrado temporalmente en un formato legible dentro de nuestros sistemas de datos internos.”

Meta afirmó que no había evidencia de que estas contraseñas hubieran sido abusadas o accedidas de manera inapropiada, lo que parece un intento de tranquilizar a los usuarios y a los reguladores sobre la falta de consecuencias negativas derivadas de esta brecha.

Historial de sanciones de Meta

Es importante destacar que Meta ya había acumulado una cantidad significativa de las multas más grandes impuestas a las grandes tecnológicas en virtud del GDPR. Esta nueva sanción subraya la magnitud de los problemas de la empresa en materia de cumplimiento de la privacidad. La multa de 91 millones de euros es considerablemente mayor que los 17 millones de euros que la DPC impuso a Meta en marzo de 2022 por otra brecha de seguridad en 2018. A pesar de los cambios en la dirección de la DPC desde entonces, la diferencia en la magnitud de las brechas es notable.

La GDPR permite a las autoridades de protección de datos imponer multas por infracciones, calculando el monto de cualquier sanción en función de varios factores, como la naturaleza y gravedad de la infracción, la duración del incumplimiento y el número de sujetos de datos afectados. En este contexto, el hecho de que cientos de millones de contraseñas estuvieran expuestas en lugar de unos pocos millones, como en el caso anterior, es un factor que ha influido en la severidad de la multa.

Implicaciones para Meta y el futuro de la privacidad

A pesar de que la multa de 91 millones de euros puede parecer un monto significativo, representa solo una pequeña fracción de los miles de millones que Meta podría enfrentar teóricamente, dado que su ingreso anual para 2023 alcanzó la asombrosa cifra de 134,90 mil millones de dólares. Esto pone de relieve la necesidad de que las empresas tecnológicas adopten medidas más robustas para proteger los datos de los usuarios y cumplir con las normativas de privacidad.

La presión regulatoria sobre empresas como Meta está aumentando, y la tendencia sugiere que las sanciones podrían volverse más severas a medida que las autoridades buscan garantizar la protección de los datos en un entorno digital cada vez más complejo. La capacidad de las empresas para adaptarse a estas regulaciones será crucial para su éxito a largo plazo en el mercado europeo y global.