Meta: maxi sanzione per gestione inappropriata delle password degli utenti

Meta Platforms Ireland Ltd – operatore europeo dei social media Facebook e Instagram – è stata multata per 91 milioni di euro a causa della gestione non adeguata delle password degli utenti.

La sanzione è stata imposta dal Garante per la privacy irlandese, in quanto Meta è stata ritenuta colpevole di non aver adeguatamente protetto i dati personali dei propri utenti.

 

La vicenda: prime indagini

Le prime indagini sono iniziate nell’aprile 2019: Meta aveva segnalato al Garante irlandese che quasi 600 milioni di password degli utenti erano conservate in chiaro, senza l’uso di algoritmi di hashing, mettendo così a rischio la sicurezza di milioni di persone.

Meta aveva reso pubblica questa grave vulnerabilità, assicurando che solo i dipendenti dell’azienda avevano avuto accesso alle password e che non c’erano prove di usi impropri o accessi non autorizzati alle credenziali degli utenti.

Tuttavia, la notifica inviata al Garante irlandese è avvenuta in violazione dell’art. 33 del GDPR, che richiede la comunicazione entro 72 ore dal momento in cui si viene a conoscenza di una violazione. Inoltre, Meta non ha fornito documentazione adeguata né ha valutato l’impatto della violazione o le misure correttive adottate.

 

Le falle di sicurezza e le conseguenze

Questa negligenza da parte di Meta ha comportato una violazione significativa dei principi di integrità e riservatezza sanciti dal GDPR, che richiede elevati standard di sicurezza per la protezione dei dati personali. La conservazione delle password in formato non criptato rappresenta un rischio considerevole, poiché potrebbe facilitare accessi non autorizzati agli account degli utenti.

Graham Doyle – vicecommissario del Garante irlandese per la privacy – ha sottolineato che è universalmente accettato che le password non dovrebbero mai essere conservate in chiaro, data la gravità dei rischi legati a un potenziale abuso di tali dati. Le password coinvolte in questo caso sono particolarmente sensibili, poiché permettono l’accesso diretto agli account social degli utenti.

A seguito delle violazioni rilevate, il Garante Irlandese ha imposto una maxi sanzione alla suddetta società.

 

Violazioni rilevate e GDPR

Rispetto alla vicenda in questione, le violazioni del GDPR da parte di Meta sono diverse, tra cui:

  • Violazione dell’art. 32 del GDPR – Sicurezza del trattamento:
    Meta ha conservato le password degli utenti in chiaro, senza l’uso di algoritmi di hashing o altre misure di sicurezza adeguate.Questo è in violazione dell’articolo 32, che impone alle aziende di garantire la protezione dei dati personali con adeguate misure tecniche e organizzative per garantire la riservatezza e l’integrità delle informazioni;

 

  • Violazione dell’art. 33 del GDPR – Notifica di una violazione dei dati personali:
    Meta ha notificato la violazione al Garante della privacy irlandese, ma non ha rispettato il requisito di segnalare la violazione entro le 72 ore dalla scoperta, come prescritto dall’articolo 33 del GDPR. Questo ritardo costituisce una violazione delle tempistiche previste dal regolamento;

 

  • Mancanza di documentazione e analisi delle conseguenze (Art. 33 e Art. 34):
    Meta non ha documentato adeguatamente la violazione e non ha condotto una valutazione approfondita delle sue conseguenze o delle misure adottate per mitigare i danni. L’articolo 33 richiede che le aziende non solo notifichino le violazioni, ma anche che mantengano una documentazione accurata e valutino l’impatto per adottare adeguati provvedimenti;

 

  • Violazione del principio di integrità e riservatezza (Art. 5, par. 1, lett. f):
    Conservare le password degli utenti in chiaro rappresenta una grave violazione del principio di integrità e riservatezza dei dati personali, sancito dall’articolo 5 del GDPR. Questo principio richiede che i dati personali siano trattati in modo sicuro e che siano protetti da accessi non autorizzati e da trattamenti illeciti.

Condividi