Acerte seus relógios: Meta foi atingido por mais uma penalidade de privacidade na Europa. Na sexta-feira, a Comissão de Proteção de Dados da Irlanda (DPC) anunciou uma repreensão e uma multa de 91 milhões de euros – cerca de 101,5 milhões de dólares às taxas de câmbio atuais – após concluir uma investigação de vários anos sobre uma violação de segurança de 2019 pela empresa-mãe do Facebook.
A DPC abriu um inquérito legal sobre o incidente em questão em abril de 2019, de acordo com o Regulamento Geral de Proteção de Dados (GDPR) do bloco, depois que a Meta, ou Facebook, como a empresa ainda era chamada na época, notificou-a de que “centenas de milhões” de senhas de usuários foi armazenado em texto simples em seus servidores.
O incidente de segurança é uma questão legal na União Europeia porque o GDPR exige que os dados pessoais sejam devidamente protegidos.
Após investigação, a DPC concluiu que o Meta não cumpriu os padrões legais do bloco, uma vez que as senhas não eram protegidas com criptografia. Criou um risco, uma vez que terceiros poderiam potencialmente aceder às informações sensíveis das pessoas armazenadas nas suas contas de redes sociais.
O regulador, que lidera a supervisão da conformidade do GDPR da Meta, também descobriu que a Meta violou as regras ao não notificá-la sobre a violação dentro do prazo exigido (o regulamento geralmente estipula que o relatório da violação deve ocorrer no máximo 72 horas após tomar conhecimento dela ). A Meta também não conseguiu documentar adequadamente a violação, de acordo com o DPC.
Comentando em comunicado, o vice-comissário Graham Doyle escreveu: “É amplamente aceito que as senhas dos usuários não devem ser armazenadas em texto simples, considerando os riscos de abuso que surgem quando as pessoas acessam esses dados. Deve-se ter em mente que as senhas objeto de consideração neste caso são particularmente sensíveis, pois permitiriam o acesso às contas dos usuários nas redes sociais.”
Solicitado uma resposta à sua última sanção do GDPR, o porta-voz da Meta, Matthew Pollard, enviou por e-mail uma declaração na qual a empresa procurava minimizar a descoberta, alegando que tomou “medidas imediatas” sobre o que havia sido um “erro” em seus processos de gerenciamento de senhas.
“Como parte de uma análise de segurança em 2019, descobrimos que um subconjunto de senhas de usuários do FB (Facebook) foi registrado temporariamente em um formato legível em nossos sistemas de dados internos. Tomamos medidas imediatas para corrigir esse erro e não há evidências de que essas senhas tenham sido abusadas ou acessadas indevidamente”, escreveu Meta. “Sinalizamos proativamente esta questão ao nosso principal regulador, a Comissão Irlandesa de Proteção de Dados, e nos envolvemos de forma construtiva com eles durante esta investigação.”
A Meta já havia acumulado a maioria das maiores penalidades do GDPR aplicadas a gigantes da tecnologia, então a última sanção apenas ressalta a escala de seus problemas com a conformidade com a privacidade.
A pena é notavelmente mais severa do que uma multa de 17 milhões de euros que a DPC aplicou à Meta em março de 2022 por uma violação de segurança em 2018. O regulador irlandês mudou de gestão desde então. No entanto, os dois incidentes também são diferentes: as falhas de segurança anteriores do Meta afectaram até 30 milhões de utilizadores do Facebook, em comparação com as centenas de milhões cujas palavras-passe teriam sido expostas como resultado da sua falha em proteger as palavras-passe em 2019.
O RGPD habilita as autoridades de proteção de dados a emitir multas por violações, quando o montante de quaisquer sanções é calculado com base em fatores como a natureza, a gravidade e a duração da violação; o âmbito ou finalidade do tratamento; e o número de titulares de dados afetados e o nível de danos sofridos, entre outras considerações.
A penalidade mais alta possível sob o GDPR é de 4% do faturamento anual global. Assim, no caso da Meta, uma multa de 91 milhões de euros pode parecer um troco significativo – mas continua a ser uma pequena fração dos milhares de milhões que a empresa poderia teoricamente enfrentar, dado que a sua receita anual para 2023 foi de espantosos 134,90 mil milhões de dólares.