Irlanda impõe multa de € 251 milhões à Meta por violações do GDPR em violação de 2018

A Meta Platforms, empresa controladora do Facebook, foi multada em 251 milhões de euros (US$ 264 milhões) pela Comissão de Proteção de Dados da Irlanda (DPC) por uma violação de dados em 2018 que expôs informações confidenciais de usuários.

A violação, que explorou uma falha no recurso “Ver como” do Facebook, afetou 29 milhões de contas em todo o mundo, incluindo 3 milhões na União Europeia. Regulamento de Proteção de Dados (GDPR).

O que aconteceu na violação de 2018

A violação originou-se do recurso “Ver como” do Facebook, uma ferramenta projetada para permitir os usuários visualizam como seus perfis apareceram para outras pessoas. Os invasores combinaram esse recurso com uma ferramenta de upload de vídeo, criando inadvertidamente tokens de usuário – chaves digitais que concedem acesso total à conta de um usuário.

Esses tokens habilitados acesso não autorizado a informações pessoais, incluindo nomes, números de telefone, endereços de e-mail e dados confidenciais, como crenças religiosas e afiliações políticas.

Ao permitir que a ferramenta de upload de vídeo gere usuários com permissão total tokens, o sistema do Facebook criou inadvertidamente uma vulnerabilidade em cascata. Esses tokens, concebidos como mecanismos de autenticação seguros, tornaram-se a porta de entrada para os invasores acessarem milhões de perfis.

Entre 14 e 28 de setembro de 2018, os invasores exploraram a vulnerabilidade, acessando milhões de contas de usuários. A equipe de segurança do Facebook descobriu o problema depois de perceber atividades incomuns de upload de vídeos. A empresa desativou imediatamente os recursos afetados, notificou os reguladores e contatou os usuários cujas contas foram comprometidas.

Esta falha técnica reflete críticas mais amplas à abordagem da Meta ao design do sistema. Os reguladores têm pedido consistentemente que as empresas priorizem a privacidade e a segurança desde o início, em vez de abordar os problemas de forma reativa após a ocorrência das violações.

Relacionado: LinkedIn, propriedade da Microsoft, multado em 310 milhões de euros por violações de privacidade na UE

As conclusões e penalidades da DPC

Após uma investigação completa, a DPC concluiu que o Meta violava vários artigos do GDPR. As maiores multas foram emitidas por não implementação de medidas adequadas de proteção de dados durante o projeto do sistema e configurações padrão:

Artigo 25( 1): Uma multa de 130 milhões de euros por não integrar salvaguardas suficientes na arquitetura do sistema do Facebook. Artigo 25(2): Uma multa de 110 milhões de euros por medidas insuficientes que garantam o processamento mínimo de dados por defeito. Artigos 33(3) e 33(5): Um adicional de 11 milhões de euros para fornecer notificações de violação incompletas e inadequadas documentação de ações corretivas.

Numa declaração, o Comissário Adjunto Graham Doyle explicou: “Esta ação de fiscalização destaca como a falha na incorporação de requisitos de proteção de dados ao longo do ciclo de concepção e desenvolvimento pode expor os indivíduos a riscos e danos muito graves, incluindo um risco para os direitos fundamentais. e liberdades dos indivíduos.

Os perfis do Facebook podem conter, e muitas vezes contêm, informações sobre assuntos como crenças religiosas ou políticas, vida ou orientação sexual e assuntos semelhantes que um usuário pode querer divulgar apenas em circunstâncias específicas. Ao permitir a exposição não autorizada de informações de perfil, as vulnerabilidades por trás dessa violação causaram um grave risco de uso indevido desses tipos de dados.”

Relacionado: Grupo austríaco NOYB acusa Microsoft de violações do GDPR na Educação

A Meta anunciou sua intenção de apelar da decisão. Um porta-voz da empresa declarou: “Tomamos medidas imediatas para corrigir o problema assim que ele foi identificado e informamos proativamente os usuários afetados e os irlandeses. Proteção de Dados Comissão.”

Embora a Meta enfatize as medidas que tomou em resposta à violação, os reguladores argumentam que essas ações não isentam a empresa de falhas sistêmicas em suas práticas de proteção de dados.

Histórico de falhas de privacidade de dados e práticas anticompetitivas da Meta

A multa de 251 milhões de euros faz parte de um padrão mais amplo de ações regulatórias contra a Meta. Um dos escândalos de privacidade mais infames da empresa, o caso Cambridge Analytica, envolveu a coleta não autorizada de dados de 87 milhões de usuários do Facebook.

Os dados foram usados ​​para influenciar eleições, levando a um acordo de US$ 725 milhões em um acordo nos EUA. ação coletiva. As consequências da Cambridge Analytica mudaram permanentemente a percepção do público sobre o compromisso do Facebook com a privacidade do usuário.

As multas subsequentes do GDPR ilustraram ainda mais as dificuldades de conformidade da Meta. Estas incluem uma multa de 390 milhões de euros pelo uso indevido de contas infantis no Instagram e uma multa recorde de 1,2 mil milhões de euros em 2023 por transferências indevidas de dados entre a UE e os Estados Unidos. Coletivamente, esses casos destacam fraquezas recorrentes na abordagem da Meta em relação à privacidade e segurança.

Escândalo
/FineYearAmountDetailsImpactIntegração anticompetitiva do Facebook Marketplace2024800 milhões de euros A decisão da Meta de agrupar seu serviço de anúncios classificados com a plataforma de mídia social criou uma situação injusta vantagem de mercado, restringindo a concorrência no setor de mercado digital. Em 12 de novembro de 2024, Meta lançou um novo formato de anúncio em toda a Europa com o objetivo de atendendo aos requisitos de conformidade da UE. Os usuários agora têm a opção de visualizar anúncios menos personalizados que usam apenas dados baseados em sessãoEscândalo Cambridge Analytica2018US$ 725 milhõesDados de 87 milhões de usuários do Facebook adquiridos e explorados sem consentimento.Erosão da confiança do usuário, maior escrutínio das práticas de privacidade de dados, mudanças nas políticas da plataforma.GDPR violação (anúncios personalizados)2023390 milhões de euros (US$414 milhões)Meta proibida de exigir que os usuários aceitem anúncios personalizados como condição de serviço.Estabelecer um precedente para dados uso para publicidade, impacto potencial no modelo de receita da Meta.Violações do GDPR do Instagram2023390 milhões de euros (US$ 414 milhões)Contas de crianças definidas automaticamente como públicas, adolescentes com contas empresariais podem tornar públicas as informações de contato.Destacou a necessidade de maior proteção dos dados das crianças nas redes sociais.Violação do GDPR do WhatsApp2023$ 267 milhõesFalta de transparência no processamento e uso de dados.Enfatizou a importância de uma comunicação clara com os usuários sobre as práticas de dados.Giphy investigação de aquisição 2020-2021 £ 50,5 milhões Multa por não conformidade com a CMA durante a investigação. Demonstrou maior escrutínio das aquisições de Big Tech e seu impacto potencial na concorrência. reputação, maior escrutínio de suas práticas de segurança.Violação de privacidade australiana case2023US$ 50 milhõesMeta publicou anúncios fraudulentos apresentando figuras públicas sem seu consentimento. Destacou a responsabilidade das empresas de mídia social em evitar conteúdo enganoso.

O GDPR, promulgado em 2018, tornou-se uma referência global para legislação de privacidade, influenciando leis em jurisdições como a Califórnia. De acordo com o GDPR, as empresas podem enfrentar multas de até 4% de sua receita global por não conformidade. Para a Meta, que até agora foi multada em quase 3 mil milhões de euros ao abrigo da aplicação do RGPD, o regulamento criou desafios financeiros e de reputação significativos.

Fora da UE, os problemas regulamentares da Meta estendem-se a outras regiões. Na Austrália, a empresa pagou US$ 50 milhões por veicular anúncios fraudulentos com figuras públicas. No Reino Unido, enfrentou uma multa de £ 50,5 milhões por violar regras durante a aquisição da Giphy. Esses casos refletem o crescente impulso global para responsabilizar as grandes empresas de tecnologia por violações de privacidade e concorrência.

Relacionado: Google não anula multa antitruste da UE de € 2,4 bilhões

Implicações para a indústria tecnológica mais ampla

As repetidas multas da Meta servem como um alerta para a indústria tecnológica. À medida que os reguladores em todo o mundo adotam leis de proteção de dados mais rigorosas, as empresas estão sob crescente pressão para priorizar a privacidade dos utilizadores. Os mecanismos de aplicação do GDPR provavelmente inspirarão estruturas semelhantes em todo o mundo, obrigando as empresas de tecnologia a adotar medidas de conformidade proativas.

No entanto, os lapsos recorrentes do Meta sugerem questões de governança mais profundas que devem ser abordadas. Os críticos argumentam que o foco da empresa no crescimento e na monetização muitas vezes ocorre às custas da segurança do usuário – um equilíbrio que reguladores e consumidores estão cada vez mais relutantes em aceitar.

Embora a Meta tenha feito esforços para melhorar sua infraestrutura de segurança, sua o histórico de multas e escândalos levanta questões sobre a eficácia dessas medidas.