A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma multa de €91 milhões à Meta Platforms Ireland Limited (MPIL) após concluir uma investigação de cinco anos sobre o manuseio de dados de usuários pela empresa. A investigação, iniciada em abril de 2019, foi motivada por um relatório da própria MPIL, que revelou o armazenamento inadvertido de senhas de usuários em texto simples, sem a devida criptografia, nos sistemas internos da empresa.
Conclusões principais e violações do GDPR
A decisão da DPC destacou várias infrações ao Regulamento Geral de Proteção de Dados (GDPR). A decisão foi aprovada sem objeção pelas autoridades do Espaço Econômico Europeu (EEE), após a apresentação de um rascunho em junho de 2024, conforme o Artigo 60 do GDPR. Os comissários Dr. Des Hogan e Dale Sunderland, responsáveis pela investigação, concluíram que as práticas da MPIL violaram várias obrigações do GDPR, incluindo:
Artigo 33(1) GDPR – A Meta falhou em notificar a DPC sobre a violação de dados pessoais relacionada ao armazenamento de senhas de usuários em texto simples.
Artigo 33(5) GDPR – A Meta não documentou adequadamente a violação em relação ao armazenamento não criptografado dessas senhas.
Artigo 5(1)(f) GDPR – A empresa não implementou medidas técnicas ou organizacionais suficientes para garantir a segurança das senhas dos usuários contra processamento não autorizado.
Artigo 32(1) GDPR – A Meta não manteve padrões de segurança adequados para proteger a confidencialidade e integridade das senhas dos usuários.
O vice-comissário Graham Doyle destacou a importância crítica da segurança das senhas dos usuários, afirmando: “É amplamente aceito que senhas de usuários não devem ser armazenadas em texto simples, considerando os riscos de abuso associados ao acesso indevido a esses dados. É importante lembrar que as senhas em questão são particularmente sensíveis, pois permitem acesso a contas de redes sociais dos usuários.”
Falha de segurança da Meta no armazenamento de senhas
Em março de 2019, a Meta informou à DPC que certas senhas de usuários foram erroneamente armazenadas em texto simples, sem criptografia ou proteção adequada, em seus sistemas internos. O incidente não envolveu o acesso externo a essas senhas. A investigação, iniciada em abril de 2019, focou em avaliar a conformidade da Meta com as obrigações do GDPR, incluindo se a empresa tomou medidas adequadas para proteger as senhas dos usuários, documentou corretamente a violação e notificou a DPC conforme exigido.
A decisão da DPC está centrada nos princípios do GDPR de integridade e confidencialidade, que exigem que controladores de dados, como a Meta, implementem medidas de segurança robustas proporcionais aos riscos envolvidos no processamento de dados. Isso inclui a obrigação de avaliar e mitigar riscos para garantir a segurança de dados pessoais, como senhas.
A DPC impôs duas ações corretivas principais:
Advertência conforme o Artigo 58(2)(b) do GDPR, pela falha em manter padrões adequados de proteção de dados.
Multa administrativa de €91 milhões conforme os Artigos 58(2)(i) e 83 do GDPR.
Visão geral da investigação e da ação da DPC
As conclusões da DPC reforçam a obrigação fundamental dos controladores de dados de proteger adequadamente os dados pessoais, documentar rapidamente qualquer violação e notificar as autoridades regulatórias sem demora. Dado o risco potencial associado ao armazenamento não criptografado de senhas — incluindo acesso não autorizado e abuso de dados —, essa decisão serve como um sério alerta para organizações que processam dados sensíveis em toda a UE.
A DPC prometeu divulgar em breve o texto completo da decisão e detalhes adicionais.
Via - CI
Comentarios