La Comissió de Protecció de Dades irlandesa (DPC) ha imposat una multa de 251 milions d’euros a Meta, la matriu de Facebook, WhatsApp i Instagram, per una fuita de dades personals comunicada el setembre de 2018 que es calcula que va afectar uns tres milions d’usuaris europeus. La DPC argumenta que la multinacional nord-americana, que té la seu europea a Irlanda, no va protegir com calia la informació personal dels seus usuaris i no va comunicar correctament la bretxa a les autoritats, dos fets que incompleixen el Reglament General de Protecció de Dades (RGPD, o GPDR en anglès) europeu.

L’origen del cas es remunta fins al 2017, any en què Facebook va implementar una nova funcionalitat que permetia previsualitzar als usuaris com les altres persones veien el seu perfil, una mena de vista pública que diferia de la que cadascú té de la seva pròpia pàgina. El problema d’aquesta característica era que, combinada amb l’eina de pujada de vídeos i la de crear felicitacions d’aniversari, els usuaris podien aconseguir generar un token d'aquell perfil que els permetia accedir a dades privades penjades a la plataforma. Aquesta tàctica va ser explotada per certes persones el setembre de 2018 per iniciar sessió en uns 29 milions de comptes d’arreu del món, dels quals tres milions eren europeus.

Els gestors de Facebook van adonar-se de la situació en detectar un increment anòmal de la funcionalitat de pujada de vídeos, i ràpidament van eliminar l’eina que permetia aquesta vulnerabilitat. Tanmateix, això no va evitar que els atacants extraguessin informacions com els noms complets, adreces de correu electrònic, números de telèfon, localitzacions, llocs de treball, dates de naixement, religió, gènere, publicacions, grups de què es forma part o fins i tot dades personals d’infants. “Els perfils de Facebook poden contenir, i sovint ho fan, informacions sobre temàtiques com les creences religioses o polítiques, la vida o orientació sexual i qüestions similars que un usuari pot voler revelar en circumstàncies particulars. Permetent una exposició no autoritzada de la informació dels perfils, les vulnerabilitats que hi ha darrere d’aquesta bretxa han causat un greu risc de mal ús d’aquesta classe de dades”, ha alertat el vicepresident de la DPC, Graham Doyle.

Després d’analitzar el cas, la DPC ha imposat sancions a Meta per quatre incompliments. Per una banda, els articles 33(3) i 33(5) de l’RGPD, considerant que l’empresa no va notificar tota la informació necessària de les bretxes a les autoritats de protecció de dades ni els casos específics de cadascuna d’elles, raons per les quals s’imposen multes de vuit i tres milions d’euros, respectivament. Per l’altra, els articles 25(1) i 25(2), per no dissenyar proteccions adequades en els sistemes de processament d’informació que blindessin les dades personals i per errar com a responsables de controlar que les dades personals només es processessin per procediments específics en què fossin necessàries, raons que han suposat les multes més elevades, de 130 i 110 milions, respectivament.