Metronomy – Things will be fine (Video oficial)
El CPD inició una investigación de oficio, derivada de la recepción de una serie de doce notificaciones de violación de datos en el período de seis meses comprendido entre el 7 de junio de 2018 y el 4 de diciembre de 2018. El objetivo de la investigación era examinar en qué medida Meta Platforms Ireland Limited (“Meta Platforms”) logró cumplir con los requisitos del artículo 5, apartado 1, letra f), el artículo 5, apartado 2, el artículo 24, apartado 1, y el artículo 32, apartado 1, del GDPR en relación con el tratamiento de los datos personales pertinentes para las doce notificaciones de violación.
El CPD consideró que Meta Platforms había infringido el artículo 5, apartado 2, y el artículo 24, apartado 1, del RGPD. Si bien el CPD consideró que la información y las pruebas documentales de apoyo proporcionadas por Meta Platforms durante el curso de la investigación podían considerarse análogas a las mejores prácticas del sector y al estado de la técnica, Meta Platforms no dispuso de medidas técnicas y organizativas adecuadas que le permitieran demostrar fácilmente las medidas de seguridad que aplicaba en la práctica para proteger los datos de los usuarios de la UE, en el contexto de las doce violaciones de datos personales.
El primer ministro Boris Johnson visita el Memorial del Genocidio de Kigali mientras
“El DPC encontró que Meta Platforms no tenía medidas técnicas y organizativas apropiadas que le permitieran demostrar fácilmente las medidas de seguridad que implementó en la práctica para proteger los datos de los usuarios de la UE, en el contexto de las doce violaciones de datos personales”, dijo el organismo de control en un comunicado de prensa.
“Esta multa tiene que ver con las prácticas de mantenimiento de registros de 2018 que hemos actualizado desde entonces, no con un fallo en la protección de la información de las personas”, dijo Meta en un comunicado compartido con Associated Press. “Nos tomamos en serio nuestras obligaciones bajo el GDPR, y consideraremos cuidadosamente esta decisión mientras nuestros procesos continúan evolucionando”.
El desarrollo sigue a una sanción similar que el CPD impuso a WhatsApp, multando al servicio de mensajería con 225 millones de euros en septiembre de 2021 por no cumplir con sus obligaciones de transparencia del GDPR. Tras la sentencia, WhatsApp modificó su política de privacidad en lo que respecta a la forma en que maneja los datos de los usuarios europeos y comparte esa información con su empresa matriz, Meta.
Qué significa realmente para Facebook la multa de 5.000 millones de dólares de la FTC
“Como resultado de su investigación, el CPD determinó que Meta Platforms infringió los artículos 5(2) y 24(1) del RGPD. El CPD determinó que Meta Platforms no había implantado las medidas técnicas y organizativas adecuadas que le permitieran demostrar fácilmente las medidas de seguridad que aplicaba en la práctica para proteger los datos de los usuarios de la UE, en el contexto de las doce violaciones de datos personales.”
Esta multa se refiere a las prácticas de mantenimiento de registros de 2018 que hemos actualizado desde entonces, no a un fallo en la protección de la información de las personas. Nos tomamos muy en serio nuestras obligaciones bajo el GDPR, y consideraremos cuidadosamente esta decisión mientras nuestros procesos continúan evolucionando.
Si bien es probable que haya variaciones en lo que salió mal en cada caso, está bastante claro que las violaciones de seguridad que son evaluadas por las autoridades de la UE como no intencionales probablemente atraigan sanciones más bajas que las violaciones sistémicas o flagrantes de las reglas.
El fallo, que se remonta a julio de 2017, había permitido a los hackers obtener tokens de acceso a las cuentas, que se utilizan para mantener a los usuarios conectados cuando introducen su nombre de usuario y contraseña, lo que significa que los tokens robados pueden permitir a los hackers entrar en las cuentas.
Multado con 122 millones de dólares por “mentir” durante la adquisición de WhatsApp
Para cualquiera que esté especialmente interesado en los detalles de la regulación europea de Internet (pobres tontos), el caso también es interesante en el sentido de que la CNIL está actuando bajo la autoridad de un trozo de legislación de la UE conocido como la Directiva de privacidad electrónica, en lugar del más recientemente introducido Reglamento General de Protección de Datos (GDPR).
En TechCrunch, Natasha Lomas ofrece una gran explicación de por qué esto es así, que haré lo posible por condensar. El problema es que la aplicación del GDPR se canaliza a través del organismo de control de datos de Irlanda, donde muchas empresas tecnológicas estadounidenses tienen su sede europea. Esta agencia en particular ha demostrado ser un poco lenta a la hora de tramitar dichas quejas, lo que -sólo un cínico podría sugerir- forma parte del entorno normativo amistoso cultivado por el Estado irlandés para atraer el dinero de las empresas tecnológicas estadounidenses en primer lugar.
