Meta, compania-mamă a Facebook, a primit o amendă de 251 de milioane de euro din partea Comisiei irlandeze pentru Protecția Datelor (DPC), pentru o breșă de securitate care a expus datele a aproximativ trei milioane de utilizatori din Uniunea Europeană. Breșa, identificată în septembrie 2018, a fost exploatată de hackeri prin intermediul funcției „vizualizare ca”, vulnerabilitate ce a permis accesul la informații sensibile ale utilizatorilor, cum ar fi numele complet, adresele de e-mail și numerele de telefon.
Care este reacția Meta
Problema a apărut din cauza unor erori în funcționalitatea platformei Facebook. Funcția „vizualizare ca”, care permite utilizatorilor să vadă cum arată profilul lor din perspectiva altor utilizatori, a generat accidental chei digitale de conexiune (access tokens). Aceste chei, destinate menținerii conectării fără a reintroduce parola, au fost interceptate de hackeri, care au obținut astfel acces neautorizat la conturile utilizatorilor.
Potrivit DPC, vulnerabilitatea a persistat timp de 14 zile, între 14 și 28 septembrie 2018. Deși Meta a intervenit rapid pentru a remedia problema și a notificat utilizatorii afectați, autoritatea de reglementare a considerat că măsurile implementate nu au fost suficiente pentru a respecta cerințele stricte impuse de Regulamentul General privind Protecția Datelor (GDPR).
Un purtător de cuvânt al Meta a transmis că firma va contesta decizia: „Am luat măsuri imediate pentru a rezolva această problemă și am informat proactiv atât utilizatorii afectați, cât și autoritățile de reglementare.”
Facebook owner Meta hit with fine for 2018 data breachhttps://t.co/v7JvyJLUAV pic.twitter.com/OUxl1GXp8Q
— The Washington Times (@WashTimes) December 17, 2024
Meta, amenzi de peste 1,2 miliarde de euro în ultimii ani
Amenda totală de 251 de milioane de euro reflectă severitatea incidentului, fiind structurată pe două componente:
- 240 de milioane de euro pentru deficiențele în protejarea datelor utilizatorilor în faza de proiectare și dezvoltare a platformei.
- 11 milioane de euro pentru nerespectarea obligației de notificare și documentare a breșei în timp util, conform GDPR.
Acest caz evidențiază încă o dată dificultățile Meta în respectarea reglementărilor europene privind confidențialitatea datelor. Compania a fost sancționată în mod repetat în ultimii ani:
- 225 milioane de euro în 2021 pentru lipsa de transparență.
- 405 milioane de euro în 2022 pentru gestionarea necorespunzătoare a datelor minorilor.
- 265 milioane de euro în 2022 pentru încălcarea măsurilor de protecție a datelor.
- 390 milioane de euro în 2023 pentru alte nereguli în procesarea datelor personale.
Amenda a fost aplicată de Comisia irlandeză pentru Protecția Datelor (DPC), care acționează în numele Uniunii Europene, deoarece sediul european al Meta se află la Dublin. Potrivit Euractiv, aceasta este a treia sancțiune semnificativă impusă sub conducerea lui Des Hogan, numit Comisar pentru Protecția Datelor în februarie 2024.
În trecut, DPC a fost criticată pentru o aplicare prea laxă a regulilor GDPR, însă noile decizii sugerează o abordare mai fermă a autorității irlandeze. Recent, DPC a aplicat și alte sancțiuni majore, inclusiv o amendă de 91 de milioane de euro pentru Meta, în septembrie, și una de 310 milioane de euro pentru LinkedIn, în octombrie.
Avertisment pentru companiile care operează în Uniunea Europeană
Amenda record aplicată Meta servește drept avertisment pentru toate companiile care operează în Uniunea Europeană. Graham Doyle, reprezentant al DPC, a subliniat importanța integrării cerințelor de protecție a datelor încă din faza de concepere a platformelor digitale. „Neîndeplinirea acestor cerințe expune utilizatorii la riscuri grave și prejudicii majore.”
Pentru utilizatori, acest incident scoate în evidență vulnerabilitatea datelor personale în mediul online și necesitatea de a fi vigilenți în utilizarea rețelelor sociale. De asemenea, evidențiază importanța existenței unor autorități puternice care să impună respectarea normelor de protecție a datelor la nivel global.