Matéria traduzida e adaptada do inglês, publicada pela matriz americana do Epoch Times.
As operações da Meta, empresa controladora do Facebook, na Irlanda, foram atingidas por uma multa de US$ 102 milhões e uma repreensão formal por falhar em proteger as senhas dos usuários, anunciou a Comissão de Proteção de Dados da Irlanda (DPC) ao concluir uma investigação de quatro anos sobre o manuseio de dados sensíveis de usuários pela gigante das redes sociais.
A DPC informou, em um anúncio de 27 de setembro, que a Meta não implementou medidas de segurança adequadas para as senhas dos usuários, resultando no armazenamento inadvertido desses dados sensíveis em texto simples — em vez de criptograficamente protegidos — nos sistemas internos da empresa.
“É amplamente aceito que as senhas dos usuários não devem ser armazenadas em texto simples, considerando os riscos de abuso decorrentes do acesso a esses dados“, disse Graham Doyle, vice-comissário da DPC, em um comunicado. “Deve-se ter em mente que as senhas consideradas neste caso são particularmente sensíveis, pois permitiriam o acesso às contas de mídia social dos usuários.”
A investigação, iniciada em abril de 2019, ocorreu após a Meta notificar a DPC sobre o problema. Na época, a Meta relatou que senhas pertencentes a centenas de milhões de seus usuários, incluindo aqueles no Facebook, Facebook Lite e Instagram, haviam sido armazenadas sem proteção criptográfica ou criptografia dentro dos sistemas internos de armazenamento de dados da empresa.
“Para deixar claro, essas senhas nunca foram visíveis para ninguém fora do Facebook, e até o momento não encontramos nenhuma evidência de que alguém internamente abusou ou acessou esses dados de forma imprópria”, disse Pedro Canahuati, vice-presidente de engenharia, segurança e privacidade da Meta, em um comunicado em março de 2019. Canahuati afirmou que, em resposta à descoberta, a Meta fez várias mudanças para melhorar suas práticas de segurança.
Embora a Meta tenha afirmado que não havia evidências de uso indevido das senhas armazenadas incorretamente, a investigação da DPC concluiu que a empresa violou várias disposições-chave do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia em relação ao incidente.
A decisão final da DPC — tomada em 26 de setembro pelos comissários de proteção de dados, Des Hogan e Dale Sunderland — identificou quatro áreas nas quais as práticas da Meta foram consideradas em desacordo com várias disposições do GDPR.
A Meta falhou, por exemplo, em notificar a DPC de maneira oportuna sobre a violação de dados pessoais envolvendo o armazenamento de senhas em texto simples, nem documentou adequadamente o incidente. Além disso, a Meta não implementou medidas técnicas e organizacionais apropriadas para proteger as senhas dos usuários contra acesso não autorizado e não garantiu um nível de segurança adequado aos riscos associados ao armazenamento de senhas em texto simples.
Os reguladores irlandeses informaram que publicarão os detalhes completos de sua decisão nas próximas semanas.
Não está claro se a Meta, que não respondeu a um pedido de comentário sobre a decisão da DPC de emitir uma repreensão e multa, pretende recorrer. No entanto, a empresa indicou anteriormente que levou a violação de segurança de senhas “a sério” e reforçou suas práticas de segurança em resposta.
A multa de US$ 102 milhões da DPC é a mais recente de uma série de penalidades aplicadas à Meta pelos reguladores irlandeses.
Em maio de 2023, a DPC impôs uma multa recorde de US$ 1,34 bilhão à Meta por transferir ilegalmente dados de usuários da União Europeia para os Estados Unidos. Isso foi seguido por duas multas totalizando US$ 414 milhões por violações do GDPR relacionadas ao Facebook e Instagram.
O GDPR, implementado em 2018, concede aos cidadãos da UE amplos direitos sobre seus dados e impõe obrigações rigorosas às empresas para garantir sua proteção. A regulamentação é descrita como uma das estruturas de proteção de dados mais fortes do mundo, proporcionando aos reguladores significativos poderes de execução, incluindo a capacidade de impor grandes multas.
Uma revisão do impacto do GDPR, dois anos após sua introdução, realizada pelo Regulatory Studies Center da Universidade George Washington em 2020, concluiu que a regulamentação não apenas fortaleceu os direitos individuais, mas também teve a consequência não intencional de beneficiar as Big Tech, uma vez que empresas menores não conseguiram arcar com os custos relacionados aos muitos requisitos da regulamentação.