La Comisión Irlandesa de Protección de Datos (DPC) anunció el 28 de noviembre que multó al desarrollador de Facebook Meta con 265 millones de euros por incumplimiento del Reglamento General de Protección de Datos (GDPR) de la Unión Europea. Específicamente, la comisión declaró que había multado a Meta por no diseñar Facebook de tal manera que protegiera a los usuarios de las violaciones de datos.
El anuncio siguió a una investigación de más de un año que comenzó en abril de 2021. La brecha en sí ocurrió incluso antes, a fines de 2019.
Data Protection Commission announces decision in Facebook “Data Scraping” Inquiry: https://t.co/xW9nVqiJ2Y pic.twitter.com/6iDYnyVk5R
— Data Protection Commission Ireland (@DPCIreland) November 28, 2022
La violación de datos se descubrió por primera vez cuando un informe de Tech Crunch reveló que cientos de millones de números de teléfono de usuarios de Facebook figuraban en una base de datos en línea de acceso público. Aunque la base de datos fue luego eliminada por el servidor web, su existencia reveló que los datos de Facebook habían sido violados.
En abril de 2021, el DPC comenzó a investigar la infracción. En ese momento, Meta publicó una declaración sobre la violación llamada «Los hechos en los informes de noticias sobre los datos de Facebook». Meta afirmó que un atacante había utilizado su herramienta de importación de contactos para enviar spam al servidor con números de teléfono para ver cuáles tenían cuentas de Facebook asociadas.
Cada vez que el atacante obtuvo una respuesta, pudo obtener los datos personales del usuario y compararlos con el número de teléfono de los usuarios. Como resultado, los datos personales de los usuarios se filtraron a actores malintencionados.
En el comunicado, Meta afirmó que había reparado esta vulnerabilidad del importador de contactos una vez que se descubrió la infracción y que la herramienta ahora era segura.
Según la nueva declaración de DPC, encontró «infracción de los artículos 25 (1) y 25 (2) GDPR» debido a este incidente y «ha impuesto multas administrativas por un total de 265 millones de euros».
El uso de datos personales en las aplicaciones de redes sociales se ha vuelto controvertido en los últimos años, ya que las filtraciones de datos se han convertido en un lugar común.
Varias compañías de blockchain han intentado resolver el problema mediante la creación de aplicaciones de redes sociales de blockchain que no requieren que los usuarios proporcionen sus direcciones de correo electrónico o números de teléfono. Por ejemplo, tanto Bitclout como Blockster son aplicaciones de redes sociales que permiten a los usuarios iniciar sesión solo con una billetera Ethereum.
Los desarrolladores de Ethereum también han ofrecido una propuesta, llamada «EIP-4361», para estandarizar el proceso de inicio de sesión de la billetera en todas las aplicaciones. Los partidarios creen que esto podría eliminar la necesidad de pedir a los usuarios información personal confidencial en las aplicaciones de redes sociales, lo que podría ayudar a prevenir infracciones como esta en el futuro.