El organismo irlandés de control de la privacidad de datos multa a Meta con 251 millones de euros por incumplimiento del GDPR
"Tomamos medidas inmediatas para solucionar el problema", dijo un portavoz de Meta, que se espera que recurra.
La Comisión de Protección de Datos (CPD) de Irlanda impuso el martes 17 de diciembre a Meta una multa de 251 millones de euros por incumplir el Reglamento de protección de datos de la UE (GDPR), según un comunicado de prensa.
La multa se impuso por una brecha de seguridad en la red social Facebook que comenzó en julio de 2017 y afectó a cerca de tres millones de cuentas en el Espacio Económico Europeo.
«Esta medida coercitiva pone de relieve cómo el hecho de no incorporar los requisitos de protección de datos […] puede exponer a las personas a […] riesgos para los derechos y libertades fundamentales de las personas», declaró el comisario adjunto irlandés del CPD, Graham Doyle.
La infracción se debió a un fallo en el diseño de Facebook que permitió a personas no autorizadas utilizar scripts para explotar una vulnerabilidad en un código de Facebook, lo que les permitió ver perfiles de usuarios que no deberían haber podido ver de otro modo.
Se espera que Meta recurra la decisión. «Hemos tomado medidas inmediatas para solucionar el problema», declaró un portavoz de Meta en un correo electrónico.
Meta descubrió el problema de seguridad en septiembre de 2018, corrigió la vulnerabilidad e informó a las autoridades policiales.
Aun así, según el CPD, Meta no notificó ni documentó completamente la brecha a las autoridades reguladoras. Esto significaba que Meta había infringido el GDPR, por lo que se le impuso una multa de 11 millones de euros.
Pero la mayor parte de la multa impuesta por el Departamento de Protección de Datos -240 millones de euros de los 251 millones- se debe a la naturaleza de la violación de los datos personales en sí, que, según Doyle, constituyó un «fallo en la incorporación de los requisitos de protección de datos en todo el diseño» del sistema afectado.
Los datos personales afectados incluían el nombre completo, el sexo, la religión, el número de teléfono, la ubicación y el lugar de trabajo de los usuarios.
El CPD ha sido criticado por su laxa aplicación del RGPD, desde su entrada en vigor en 2018.
Sin embargo, esta es la tercera multa emitida por el CPD en virtud del GDPR desde el nombramiento de Des Hogan como Comisario de Protección de Datos y Presidente del CPD en febrero de 2024.
La decisión final se produce después de que el CPD presentara su proyecto de resolución para su revisión en el marco del mecanismo de cooperación del GDPR en el que participan otras autoridades de protección de datos de la UE.
Cabe destacar que tanto el proyecto de decisión como la decisión final se emitieron durante el mandato de Hogan y, según el comunicado de prensa, el proyecto de decisión no recibió objeciones de autoridades homólogas.
El CPD impuso a Meta una multa de 91 millones de euros por un fallo en la gestión de contraseñas en septiembre. También multó a Linkedin con 310 millones de euros por publicidad dirigida en octubre.
[Editado por Owen Morgan]
