La Comisión de Protección de Datos (DPC) de Irlanda ha anunciado su decisión final tras una investigación sobre Meta Platforms Ireland Limited (MPIL). La investigación, iniciada en abril de 2019, ha concluido con una multa de 91 millones de euros y una reprimenda a la empresa.
Antecedentes de la investigación
En marzo de 2019, MPIL notificó a la DPC que había almacenado accidentalmente ciertas contraseñas de usuarios de redes sociales en «texto plano» en sus sistemas internos, es decir, sin protección criptográfica ni cifrado. Aunque estas contraseñas no se pusieron a disposición de partes externas, el incidente supuso un riesgo significativo para la seguridad de los datos de los usuarios.
Infracciones detectadas
La decisión de la DPC registra las siguientes infracciones del Reglamento General de Protección de Datos (RGPD):
- Incumplimiento del artículo 33(1) del RGPD, al no notificar a la DPC una violación de datos personales relativa al almacenamiento de contraseñas de usuarios en texto plano.
- Incumplimiento del artículo 33(5) del RGPD, al no documentar las violaciones de datos personales relacionadas con el almacenamiento de contraseñas de usuarios en texto plano.
- Incumplimiento del artículo 5(1)(f) del RGPD, al no utilizar medidas técnicas u organizativas apropiadas para garantizar la seguridad adecuada de las contraseñas de los usuarios contra el procesamiento no autorizado.
- Incumplimiento del artículo 32(1) del RGPD, al no implementar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo la capacidad de asegurar la confidencialidad continua de las contraseñas de los usuarios.
Declaraciones oficiales
Graham Doyle, Comisario Adjunto de la DPC, comentó: «Es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Debe tenerse en cuenta que las contraseñas objeto de consideración en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios».
Medidas correctivas
La decisión contiene las siguientes medidas correctivas:
- Una reprimenda de conformidad con el artículo 58(2)(b) del RGPD.
- Multas administrativas por un total de 91 millones de euros de conformidad con los artículos 58(2)(i) y 83 del RGPD.
Conclusión
Este caso subraya la importancia de implementar medidas de seguridad apropiadas al procesar datos personales, especialmente cuando se trata de información sensible como las contraseñas de los usuarios. También destaca la necesidad de documentar y notificar adecuadamente las violaciones de datos personales a las autoridades de protección de datos.
La DPC ha anunciado que publicará la decisión completa y más información relacionada en su debido momento.
vía: Data Protection