Irlanda îl plesnește pe Meta cu o amendă de 251 milioane EUR pentru încălcarea GDPR în 2018

Meta Platforms, compania-mamă a Facebook, a fost amendată cu 251 de milioane de euro (264 de milioane de dolari) de către Comisia irlandeză pentru protecția datelor (DPC) pentru o încălcare a datelor în 2018 care a expus informații sensibile ale utilizatorilor.

Încălcarea, care a exploatat o defecțiune a funcției „Vizualizare ca” a Facebook, a afectat 29 de milioane de conturi din întreaga lume, inclusiv 3 milioane în Uniunea Europeană. Sancțiunea arată importanța tot mai mare a reglementărilor privind protecția datelor în conformitate cu prevederile generale ale UE. Regulamentul privind protecția datelor (GDPR).

Ce s-a întâmplat în încălcarea din 2018

Încălcarea provine din Funcția „Vizualizare ca” a Facebook, un instrument conceput pentru a le permite utilizatorilor să previzualizeze modul în care le-au apărut profilurile altora. Atacatorii au combinat această caracteristică cu un instrument de încărcare video, creând din neatenție token-uri de utilizator-chei digitale care oferă acces deplin la contul unui utilizator.

Aceste jetoane sunt activate acces neautorizat la informații personale, inclusiv nume, numere de telefon, adrese de e-mail și date sensibile, cum ar fi credințele religioase și afilierile politice.

Permițând instrumentului de încărcare video să genereze jetoane de utilizator cu permisiunea totală, sistemul Facebook a creat din neatenție o vulnerabilitate în cascadă. Astfel de jetoane, concepute ca mecanisme de autentificare securizate, au devenit poarta de acces pentru atacatori pentru a accesa milioane de profiluri.

Între 14 și 28 septembrie 2018, atacatorii au exploatat vulnerabilitatea, accesând milioane de conturi de utilizatori. Echipa de securitate a Facebook a descoperit problema după ce a observat o activitate neobișnuită de încărcare a videoclipurilor. Compania a dezactivat prompt funcțiile afectate, a notificat autoritățile de reglementare și a contactat utilizatorii ale căror conturi au fost compromise.

Această defecțiune tehnică reflectă critici mai ample la adresa abordării Meta privind proiectarea sistemului. Autoritățile de reglementare au cerut în mod constant companiilor să acorde prioritate confidențialității și securității încă de la început, în loc să abordeze problemele în mod reactiv după ce au loc încălcări.

Legate: LinkedIn, deținut de Microsoft, a amendat cu 310 milioane EUR pentru încălcarea confidențialității în UE.

Concluziile și sancțiunile DPC

După o investigație amănunțită, DPC a găsit pe Meta încălcând mai multe articole GDPR. Cele mai mari amenzi au fost emise pentru neimplementarea măsurilor adecvate de protecție a datelor în timpul proiectării sistemului și al setărilor implicite:

Articolul 25( 1): O amendă de 130 de milioane EUR pentru că nu a integrat suficiente măsuri de protecție în arhitectura sistemului Facebook. Articolul 25 alineatul (2): O amendă de 110 milioane EUR pentru măsuri insuficiente care asigură procesarea minimă a datelor în mod implicit. Articolele 33(3) și 33(5): încă 11 milioane EUR pentru furnizarea de notificări de încălcare incomplete și inadecvate documentarea acțiunilor de remediere.

Într-o declarație, comisarul adjunct Graham Doyle a explicat: „Această acțiune de punere în aplicare evidențiază modul în care eșecul de a construi cerințe de protecție a datelor pe parcursul ciclului de proiectare și dezvoltare poate expune persoanele la riscuri și vătămări foarte grave, inclusiv un risc pentru drepturile fundamentale. și libertățile indivizilor.

Profilurile Facebook pot, și deseori au, să conțină informații despre chestiuni precum convingerile religioase sau politice, viața sau orientarea sexuală și chestiuni similare pe care un utilizator ar putea dori să le dezvăluie numai în anumite circumstanțe. Permițând expunerea neautorizată a informațiilor de profil, vulnerabilitățile din spatele acestei încălcări au cauzat un risc grav de utilizare greșită a acestor tipuri de date.”

Legate: Grupul austriac NOYB acuză Microsoft de încălcări ale GDPR. în Educație

Meta și-a anunțat intenția de a contesta decizia Un purtător de cuvânt al companiei a declarat: „Am luat măsuri imediate pentru a remedia problema de îndată ce a fost identificată și am proactiv. a informat atât utilizatorii afectați, cât și Comisia Irlandeză pentru Protecția Datelor.”

În timp ce Meta subliniază măsurile pe care le-a luat ca răspuns la încălcare, autoritățile de reglementare susțin că aceste acțiuni nu absolvă compania de defecte sistemice în practicile sale de protecție a datelor..

Istoria Meta privind eșecurile privind confidențialitatea datelor și practicile anticoncurențiale

Amenda de 251 de milioane EUR face parte dintr-un model mai larg de acțiuni de reglementare împotriva Meta. Unul dintre cele mai infame scandaluri de confidențialitate ale companiei, cazul Cambridge Analytica, a implicat recoltarea neautorizată de date de la 87 de milioane de utilizatori Facebook.

Datele au fost folosite pentru a influența alegerile, ducând la o înțelegere de 725 de milioane de dolari într-o țară din S.U.A. proces colectiv. Consecințele de la Cambridge Analytica au schimbat permanent percepția publicului cu privire la angajamentul Facebook față de confidențialitatea utilizatorilor.

Amenzile ulterioare ale GDPR au ilustrat și mai mult dificultățile Meta pentru conformitate. Acestea includ o penalizare de 390 de milioane de euro pentru manipularea greșită a conturilor de Instagram ale copiilor și o amendă record de 1,2 miliarde de euro în 2023 pentru transferuri necorespunzătoare de date între UE și Statele Unite. În mod colectiv, aceste cazuri evidențiază slăbiciunile recurente în abordarea Meta privind confidențialitatea și securitatea.

Scandal
/FineYearAmountDetailsImpactAnticompetitive Integrarea Facebook Marketplace2024800 de milioane EUR Decizia Meta de a-și combina serviciul de anunțuri clasificate cu platforma de socializare a creat o situație nedreaptă. avantaj de piață, restrângând concurența în sectorul pieței digitale. Pe 12 noiembrie, 2024, Meta a lansat un nou format de anunț în toată Europa, menit să îndeplinească cerințele de conformitate cu UE. Utilizatorii au acum opțiunea de a vizualiza reclame mai puțin personalizate care folosesc doar date bazate pe sesiuni Scandal Cambridge Analytica2018 725 milioane USDDate de la 87 de milioane de utilizatori Facebook achiziționate și exploatate fără consimțământ. Erodarea încrederii utilizatorilor, control sporit al practicilor de confidențialitate a datelor, modificări ale politicilor platformei.GDPR încălcare (reclame personalizate)2023390 milioane EUR (414 milioane USD)Meta interzisă să solicite utilizatorilor să accepte personalizate reclamele ca o condiție de serviciu.Stabiliți un precedent pentru utilizarea datelor pentru publicitate, impact potențial asupra modelului de venituri al Meta. Încălcări GDPR Instagram2023390 milioane EUR (414 milioane USD)Conturile copiilor setate automat la public, adolescenții cu conturi de afaceri ar putea face publice informațiile de contact. A subliniat necesitatea unei mai mari protecție a datelor copiilor pe rețelele sociale. Încălcarea GDPR WhatsApp2023 267 milioane USDLipsa de transparență în procesarea și utilizarea datelor. A subliniat importanța comunicării clare cu utilizatorii despre practicile de date. Investigație de preluare Giphy 2020-2021 50,5 milioane GBP Amenda pentru nerespectarea CMA în timpul investigației. S-a demonstrat un control sporit al achizițiilor Big Tech și impactul lor potențial asupra concurenței. Încălcarea datelor în 20182018 251 milioane EUR (263 milioane USD) Încălcarea datelor care afectează 29 milioane de conturi Facebook. A afectat reputația Meta, controlul sporit al practicilor sale de securitate. Caz de încălcare a confidențialității în Australia 2023 50 de milioane de dolari Meta a publicat anunțuri înșelătorii cu persoane publice fără consimțământul acestora. A evidențiat responsabilitatea companiilor de rețele sociale de a preveni conținutul înșelător.

GDPR, adoptat în 2018, a devenit un etalon global pentru legislația privind confidențialitatea, influențând legile în jurisdicții precum California. Conform GDPR, companiile se pot confrunta cu amenzi de până la 4% din veniturile lor globale pentru neconformitate. Pentru Meta, care până acum a fost amendată cu aproape 3 miliarde EUR în temeiul aplicării GDPR, regulamentul a creat provocări financiare și reputaționale semnificative.

Dincolo de UE, problemele de reglementare ale Meta se extind și în alte regiuni. În Australia, compania a plătit 50 de milioane de dolari pentru difuzarea de anunțuri înșelătorie cu persoane publice. În Marea Britanie, s-a confruntat cu o amendă de 50,5 milioane de lire sterline pentru încălcarea regulilor în timpul achiziției Giphy. Aceste cazuri reflectă un impuls global tot mai mare de a trage Big Tech la răspundere pentru încălcarea confidențialității și a concurenței.

Legate: Google nu reușește să răstoarne amenda antitrust din UE de 2,4 miliarde EUR

Implicații pentru industria tehnologică mai largă

Amenzile repetate ale Meta servesc ca o poveste de avertizare pentru industria tehnologică. Pe măsură ce autoritățile de reglementare din întreaga lume adoptă legi mai stricte privind protecția datelor, companiile sunt supuse unei presiuni din ce în ce mai mari pentru a acorda prioritate confidențialității utilizatorilor. Mecanismele de aplicare ale GDPR sunt probabil să inspire cadre similare la nivel global, obligând firmele de tehnologie să adopte măsuri proactive de conformare.

Cu toate acestea, deficiențele recurente ale Meta sugerează probleme mai profunde de guvernare care trebuie abordate. Criticii susțin că concentrarea companiei pe creștere și monetizare vine adesea în detrimentul securității utilizatorilor – un echilibru pe care autoritățile de reglementare și consumatorii nu sunt din ce în ce mai dispuși să-l accepte.

În timp ce Meta a depus eforturi pentru a-și îmbunătăți infrastructura de securitate, istoria amenzilor și scandalurilor ridică semne de întrebare cu privire la eficacitatea acestor măsuri.