La Comisión de Protección de Datos (DPC) de Irlanda ha impuesto una nueva multa de 91 millones de euros a Meta (prohibido en la Federación Rusa) por no proteger adecuadamente las contraseñas de sus usuarios. Este fallo se suma a una serie de sanciones que la compañía ha enfrentado en los últimos años por violar las normativas del Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
La multa fue el resultado de una investigación iniciada hace cinco años, cuando Meta informó a la DPC que algunas contraseñas de usuarios se estaban almacenando sin cifrado, en lo que se conoce como "fuente abierta". Esto significa que las contraseñas no estaban protegidas con las medidas de seguridad adecuadas, lo que las dejaba expuestas a posibles riesgos de abuso.
¿Qué ocurrió con las contraseñas de los usuarios?
El almacenamiento de contraseñas sin cifrar es una práctica que la industria tecnológica considera inaceptable debido a los graves riesgos de seguridad que esto implica. Las contraseñas en texto plano son especialmente vulnerables, ya que permiten que cualquier persona con acceso no autorizado pueda leerlas y utilizarlas. En este caso, la DPC de Irlanda descubrió que Meta había estado almacenando algunas contraseñas en este formato, lo que contravenía los estándares de seguridad establecidos por el GDPR.
Según el comisionado adjunto del DPC, Graham Doyle, “está ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto claro, dado el riesgo de abuso que surge del acceso a dichos datos”. Aunque la DPC aseguró que no hubo indicios de que las contraseñas hayan sido accedidas por terceros, la violación de los principios de seguridad de la información es suficiente para justificar la sanción.
La respuesta de Meta ante la multa
Meta, la empresa matriz de plataformas como Facebook e Instagram, actuó rápidamente después de detectar el problema. Un portavoz de la compañía señaló que, tras identificar el fallo en 2019 durante una auditoría interna de seguridad, Meta corrigió inmediatamente la situación. Además, afirmó que no se encontró evidencia de que las contraseñas hayan sido utilizadas indebidamente o accedidas de forma inadecuada.
La empresa también destacó que ha trabajado de manera constructiva con la DPC a lo largo de toda la investigación, lo que muestra su disposición a corregir los errores y cooperar con las autoridades regulatorias de la Unión Europea.
Multas recurrentes para Meta bajo el GDPR
Esta nueva multa de 91 millones de euros se suma a un historial de sanciones impuestas a Meta por infracciones relacionadas con la privacidad de los usuarios en la Unión Europea. Desde la introducción del Reglamento General de Protección de Datos (GDPR) en 2018, Meta ha acumulado multas que superan los 2.500 millones de euros.
Una de las multas más destacadas fue la sanción récord de 1.200 millones de euros impuesta en 2023 por la transferencia inadecuada de datos de usuarios europeos a servidores en Estados Unidos, una decisión que Meta ha apelado. Este caso subraya la preocupación de los reguladores europeos por el manejo de la privacidad de los datos por parte de las grandes empresas tecnológicas, en especial cuando se trata de información sensible de los usuarios.
Consecuencias para Meta y el futuro de la protección de datos
Las continuas sanciones contra Meta reflejan la rigurosidad de la Unión Europea en la aplicación del GDPR, que tiene como objetivo proteger la privacidad y los derechos de los usuarios en el entorno digital. Con cada multa impuesta, las autoridades buscan enviar un mensaje claro a las grandes corporaciones tecnológicas: la seguridad de los datos personales debe ser una prioridad, y cualquier descuido será sancionado de manera contundente.
A pesar de los esfuerzos de Meta por mejorar su seguridad y cumplir con las normativas, la compañía enfrenta un panorama complejo en el ámbito de la protección de datos. A medida que la tecnología avanza y el volumen de información compartida en línea crece, es fundamental que las empresas implementen protocolos de seguridad sólidos y respeten las normativas vigentes para evitar posibles infracciones y sanciones.
Conclusión
La reciente multa de 91 millones de euros a Meta por almacenar contraseñas de usuarios sin la protección adecuada es un recordatorio de la importancia de la seguridad de la información en la era digital. A pesar de las medidas correctivas tomadas por la compañía, el incidente destaca la necesidad de un enfoque más riguroso y proactivo en la protección de los datos personales.
Con un historial de sanciones cada vez mayor, Meta debe redoblar sus esfuerzos para garantizar el cumplimiento total del GDPR y evitar futuras infracciones que no solo afectan su reputación, sino que también conllevan costosas consecuencias financieras. Las empresas tecnológicas, grandes o pequeñas, deben estar preparadas para enfrentar un entorno regulatorio cada vez más estricto en lo que respecta a la privacidad y protección de datos en la Unión Europea.
