La Commissione per la Protezione dei Dati irlandese (DPC) ha multato Meta per 91 milioni di euro. L’indagine era stata avviata nel 2019 dopo che la Meta Platforms Ireland Limited (MPIL), l’entità responsabile dei servizi di Meta all’interno dell’UE, aveva annunciato di aver archiviato inavvertitamente le password di centinaia di milioni di utenti (tra Facebook, Facebook Lite e Instagram) in formato non crittografato sui propri server.
I commissari per la protezione dei dati, Dr. Des Hogan e Dale Sunderland hanno registrato diverse violazioni del violazione del GDPR:
- Articolo 33, comma 1, GDPR: MPIL non ha notificato al DPC una violazione dei dati personali relativa alla memorizzazione delle password degli utenti in chiaro;
- Articolo 33, paragrafo 5, GDPR: MPIL non ha documentato le violazioni dei dati personali relative alla memorizzazione delle password degli utenti in testo non crittografato;
- Articolo 5, paragrafo 1, lettera f), GDPR: MPIL non ha utilizzato misure tecniche o organizzative adeguate per garantire un’adeguata sicurezza delle password degli utenti contro il trattamento non autorizzato;
- Articolo 32, paragrafo 1, GDPR: MPIL non ha implementato misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, inclusa la capacità di garantire la riservatezza continua delle password degli utenti.
Per questi motivi hanno deciso di multare Meta Platforms Ireland Limited (MPIL) per 91 milioni di euro, comminandole anche una reprimenda.
Il vice commissario del DPC, Graham Doyle, ha commentato: “È ampiamente accettato che le password degli utenti non dovrebbero essere archiviate in chiaro, considerando i rischi di abuso che derivano dall’accesso di persone a tali dati. Va tenuto presente che le password in questione sono particolarmente sensibili, poiché consentirebbero l’accesso agli account dei social media degli utenti.“