A Comissão de Proteção de Dados da Irlanda (DPC) anunciou sua decisão final sobre a investigação contra a Meta Platforms Ireland Limited (MPIL), que resultou em uma multa de €91 milhões e uma reprimenda. A investigação foi iniciada em abril de 2019, após a MPIL notificar a DPC sobre o armazenamento inadequado de senhas de usuários de redes sociais em formato "plaintext", ou seja, sem proteção criptográfica, em seus sistemas internos.

A decisão foi aprovada em setembro de 2024, após ter sido submetida, em junho de 2024, às demais autoridades de proteção de dados da União Europeia/EEE, conforme o procedimento estabelecido pelo Artigo 60 do Regulamento Geral de Proteção de Dados (GDPR). Nenhuma das autoridades levantou objeções à decisão, que foi tomada pelos comissários de proteção de dados, Dr. Des Hogan e Dale Sunderland, e comunicada à Meta em 26 de setembro de 2024.

A DPC identificou várias violações do GDPR cometidas pela Meta:

• Artigo 33(1): A empresa não notificou a DPC em tempo hábil sobre a violação de dados envolvendo o armazenamento de senhas em formato "plaintext".
• Artigo 33(5): A Meta falhou em documentar adequadamente as violações de dados pessoais relacionadas às senhas.
• Artigo 5(1)(f): A empresa não implementou medidas técnicas ou organizacionais adequadas para garantir a segurança das senhas, expondo-as ao risco de processamento não autorizado.
• Artigo 32(1): A Meta não adotou medidas de segurança apropriadas para garantir a confidencialidade das senhas, conforme exigido pelo GDPR.

Além da multa de €91 milhões, a decisão da DPC incluiu uma reprimenda formal à Meta, de acordo com o Artigo 58(2)(b) do GDPR, e destacou a gravidade das falhas de segurança na proteção das senhas. Graham Doyle, vice-comissário da DPC, afirmou que "senhas de usuários não devem ser armazenadas em plaintext, considerando os riscos de abuso e o acesso indevido que isso pode proporcionar, especialmente quando envolve contas de redes sociais."

Contexto da Investigação
A investigação teve início após a Meta notificar a DPC, em março de 2019, sobre o incidente em que senhas de usuários foram armazenadas sem criptografia em seus sistemas internos. A Meta também divulgou informações públicas sobre o incidente naquele mesmo mês. Embora as senhas não tenham sido expostas a terceiros, o armazenamento inadequado representava um risco significativo de acesso indevido e potenciais abusos.

O inquérito da DPC focou na conformidade da Meta com o GDPR, especialmente quanto às medidas de segurança adotadas para proteger os dados dos usuários e às obrigações de documentar e notificar violações de dados. O GDPR exige que controladores de dados implementem medidas técnicas e organizacionais adequadas, levando em consideração os riscos envolvidos no processamento de dados e a natureza sensível das informações, como as senhas. A falta dessas medidas pode resultar em danos significativos, como perda de controle sobre os dados pessoais.

A decisão da DPC destacou a importância de garantir a integridade e a confidencialidade dos dados dos usuários, enfatizando que as empresas são obrigadas a implementar níveis adequados de segurança para mitigar os riscos associados ao tratamento de dados sensíveis, como senhas de redes sociais. A investigação também apontou que, caso ocorra uma violação de dados, as empresas devem notificar as autoridades competentes imediatamente, conforme previsto no Artigo 33 do GDPR, para evitar possíveis danos adicionais aos usuários.

Medidas Corretivas
Além da multa, a DPC aplicou uma reprimenda à Meta por não cumprir suas obrigações de segurança de dados. A multa de €91 milhões foi aplicada com base nos poderes de sanção previstos nos Artigos 58(2)(i) e 83 do GDPR. A DPC ainda reiterou a necessidade de as empresas implementarem medidas robustas para garantir a segurança dos dados pessoais dos usuários, especialmente quando envolvem dados sensíveis.

Com informações Comissão de Proteção de Dados da Irlanda (DPC)

Este post foi traduzido e resumido a partir de sua versão original com o uso do ChatGPT versão 4o, com revisão humana.