Tras una investigación sobre Meta Platforms Ireland Limited (MPIL), la Comisión de Protección de Datos (DPC) de Irlanda multó a la empresa con 91 millones de euros (102 millones de dólares) por mal manejo de las contraseñas de los usuarios de redes sociales e infracción del RGPD. La DPC inició la investigación inicial en abril de 2019 después de que MPIL notificara a la DPC que había almacenado inadvertidamente ciertas contraseñas de usuarios de redes sociales en «texto sin formato» en sus sistemas internos (es decir, sin protección criptográfica ni cifrado). El comisionado adjunto del DPC, Graham Doyle, comentó: «Está ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos». Doyle también señaló que las contraseñas objeto de consideración en este caso son particularmente sensibles ya que permitirían el acceso a las cuentas de redes sociales de los usuarios. En una declaración enviada a Infosecurity, un portavoz de Meta dijo: «Como parte de una revisión de seguridad en 2019, descubrimos que un subconjunto de contraseñas de usuarios de Facebook se registraron temporalmente en un formato legible dentro de nuestros sistemas de datos internos. Tomamos medidas inmediatas para corrija este error y no hay evidencia de que se haya abusado de estas contraseñas o se haya accedido a ellas de manera inadecuada. Señalamos este problema de manera proactiva a nuestro regulador principal, la Comisión Irlandesa de Protección de Datos, y nos hemos comprometido de manera constructiva con ellos a lo largo de esta investigación”. A día de hoy no está claro si Meta disputará la multa. En 2019, Facebook emitió un comunicado diciendo que había solucionado los problemas y, como medida de precaución, notificaría a todos cuyas contraseñas encontrara almacenadas en texto sin formato. visible para cualquier persona fuera de Facebook y no hay evidencia que sugiera que alguien haya abusado de ellas internamente o haya accedido indebidamente a ellas. “Meta afirma que no se accedió a las contraseñas, pero eso no niega los deficientes controles de seguridad existentes. Si esas contraseñas hubieran sido violadas, estoy seguro de que se aplicaría la multa. sería de un valor mucho mayor”, comentó Brian Honan, director ejecutivo de BH Consulting y ex asesor especial en ciberseguridad de Europol. Honan agregó: “La multa es un mensaje claro a las organizaciones de que deben garantizar que existan medidas y controles de seguridad adecuados. lugar para proteger los datos personales de los interesados ​​y que cuenten con procesos adecuados para detectar e informar violaciones al regulador correspondiente de manera oportuna”. Meta acusada de violar el RGPD La DPC presentó un proyecto de decisión a las demás autoridades de supervisión interesadas en toda la UE/EEE en junio de 2024, según lo exige el artículo 60 del RGPD. Las otras autoridades no plantearon objeciones al proyecto de decisión. la multa se emitió el 26 de septiembre. Una declaración de la DPC dijo que Meta presentó una solicitud para notificar a la DPC sobre una violación de datos personales relacionada con el almacenamiento de contraseñas de usuarios en texto plano. También dijo que MPIL no utilizó medidas técnicas u organizativas apropiadas para garantizar que fueran apropiadas. seguridad de las contraseñas de los usuarios contra el procesamiento no autorizado. Finalmente, Meta también violó el RGPD porque no implementó medidas apropiadas para garantizar un nivel de seguridad apropiado al riesgo, incluida la capacidad de garantizar la confidencialidad continua de las contraseñas de los usuarios. La decisión se refiere a los principios de integridad y confidencialidad del RGPD requiere que los controladores de datos implementen medidas de seguridad adecuadas al procesar datos personales, teniendo en cuenta factores como los riesgos para los usuarios del servicio y la naturaleza del procesamiento de datos. Para mantener la seguridad, los responsables del tratamiento deben evaluar los riesgos inherentes al procesamiento e implementar medidas para mitigarlos. Esta decisión enfatiza la necesidad de tomar tales medidas al almacenar las contraseñas de los usuarios, dijo la DPC.