La Comisión de Protección de Datos (DPC) de Irlanda ha impuesto una considerable multa de 91 millones de euros a la tecnológica Meta, propietaria de redes sociales como Instagram, Facebook y WhatsApp, por haber almacenado contraseñas de usuarios en texto plano en sus sistemas internos, sin aplicar las debidas medidas de seguridad criptográfica.
Esta práctica, que la compañía liderada por Mark Zuckerberg notificó a la DPC en marzo de 2019, suponía un grave riesgo de seguridad para los datos personales de los usuarios afectados. Si bien las contraseñas no llegaron a filtrarse, la investigación llevada a cabo por la DPC concluyó que Meta incumplió el Reglamento General de Protección de Datos (RGPD) al no disponer de las medidas de seguridad apropiadas para el tratamiento de información sensible, como son las credenciales de acceso a las cuentas.
Incumplimiento del deber de notificación de violaciones de datos
Además, la DPC también determinó que Meta no documentó adecuadamente las violaciones de datos personales relacionadas con el almacenamiento de contraseñas sin cifrar, incumpliendo así otra de las exigencias del RGPD sobre la obligación de notificar a los usuarios afectados por brechas de seguridad que comprometan sus datos.
Multa récord y relevancia del caso
Esta sanción histórica, la más alta impuesta hasta la fecha por la DPC, refleja la gravedad del incumplimiento por parte de Meta y su falta de diligencia en la protección de datos personales sensibles como son las contraseñas de sus usuarios. El Comisionado Adjunto de la DPC, Graham Doyle, ha resaltado que el almacenamiento de contraseñas en texto plano es una práctica ampliamente inaceptable que conlleva serios riesgos de abuso.
Este caso pone de manifiesto la importancia del RGPD y la firme postura que las autoridades de protección de datos están adoptando para garantizar el cumplimiento de la normativa y salvaguardar los derechos de los usuarios en el entorno digital. La multa a Meta sirve como un contundente mensaje a las empresas tecnológicas sobre la necesidad de implementar medidas de seguridad adecuadas y respetar escrupulosamente las obligaciones legales en materia de protección de datos.
