Meta Multada em €251 Milhões Após Violação de Dados que Afetou Milhões

A Comissão Irlandesa de Proteção de Dados (DPC) impôs uma multa de €251 milhões à Meta Platforms Ireland Limited (MPIL) após duas investigações sobre uma grande violação de dados que ocorreu em 2018, conforme relatado em um comunicado de imprensa da DPC.

A violação, que afetou cerca de 29 milhões de contas do Facebook globalmente, expôs dados pessoais sensíveis, incluindo nomes, endereços de e-mail, números de telefone e mais. Dentre os impactados, aproximadamente 3 milhões de contas eram baseadas na União Europeia e no Espaço Econômico Europeu (UE/EEE), disse o DPC.

A violação ocorreu quando terceiros não autorizados exploraram tokens de usuários na plataforma do Facebook, obtendo acesso aos dados do usuário. A MPIL relatou o incidente em setembro de 2018, e a violação foi prontamente corrigida pela MPIL e sua empresa matriz nos EUA.

The Record destaca que um porta-voz da Meta emitiu uma declaração ressaltando que a multa decorre de um incidente que ocorreu há seis anos.

“Tomamos medidas imediatas para corrigir o problema assim que foi identificado, e informamos proativamente as pessoas impactadas, bem como a Comissão Irlandesa de Proteção de Dados”, disse a declaração, conforme relatado pelo The Record. “Temos uma ampla gama de medidas líderes da indústria para proteger as pessoas em nossas plataformas.”

Em suas decisões finais, a DPC citou várias violações ao Regulamento Geral de Proteção de Dados (GDPR), resultando em multas substanciais. As investigações da Comissão identificaram duas áreas-chave de não conformidade.

A primeira decisão concentrou-se na falha da Meta em incluir todas as informações necessárias em sua notificação de violação. Especificamente, a empresa não forneceu detalhes suficientes sobre a violação. Além disso, a Meta foi repreendida por não documentar os fatos da violação. Como resultado, a DPC aplicou multas de €8 milhões e €3 milhões, respectivamente.

A segunda decisão dizia respeito à falha da Meta em cumprir os princípios de proteção de dados em seu design de sistema, uma vez que foi constatado que ela não havia integrado adequadamente as salvaguardas de proteção de dados em seus sistemas de processamento.

Além disso, a Meta foi penalizada por não garantir que apenas os dados pessoais necessários fossem processados. As multas por essas violações totalizaram €130 milhões e €110 milhões, disse o DPC.

Graham Doyle, Comissário Adjunto do DPC, enfatizou a gravidade da violação, destacando como medidas inadequadas de proteção de dados podem expor os indivíduos a riscos significativos.

“Perfis do Facebook podem, e muitas vezes contêm, informações sobre questões como crenças religiosas ou políticas, vida sexual ou orientação, e assuntos semelhantes que um usuário pode desejar revelar apenas em circunstâncias específicas.” Doyle disse no comunicado de imprensa.

“Ao permitir a exposição não autorizada de informações do perfil, as vulnerabilidades por trás dessa violação causaram um grande risco de uso indevido desses tipos de dados”, acrescentou Doyle.

A investigação da DPC seguiu o processo padrão do GDPR, com uma decisão preliminar submetida para revisão por pares em setembro de 2024. A Comissão não recebeu objeções às suas conclusões, e agradeceu às outras autoridades supervisoras da UE/EEE pela sua cooperação.

Essa ação de fiscalização serve como um lembrete contundente da importância de medidas robustas de proteção de dados para empresas que operam dentro da UE.

A multa anunciada na terça-feira marca a mais recente penalidade financeira que a Meta enfrentou por violar as leis europeias de proteção de dados. Em setembro, o DPC impôs uma multa de $101,5 milhões à Meta por não proteger adequadamente os dados de senha dos usuários.