Meta Platforms Ireland riceve una multa di 91 milioni di euro dalla DPC per violazioni del GDPR dovute alla gestione non sicura delle password degli utenti.
La sanzione record imposta a Meta Platforms Ireland Limited è un chiaro segnale che la non conformità al GDPR ha un costo elevato e che la protezione dei dati personali è una priorità assoluta per i regolatori. La Data Protection Commission (DPC) irlandese ha inflitto a Meta una sanzione di 91 milioni di euro per una serie di violazioni relative alla gestione delle password degli utenti, conservate in formato non crittografato.
Tutto è iniziato nel marzo del 2019, quando Meta ha segnalato alla DPC che le password di alcuni utenti erano state accidentalmente archiviate in plaintext sui suoi sistemi interni. Anche se l’azienda ha affermato che le password non erano state esposte a terze parti, la DPC ha avviato un’indagine approfondita per capire se Meta avesse adottato le giuste misure di sicurezza e rispettato le procedure di notifica delle violazioni imposte dal GDPR.
La decisione finale, annunciata il 26 settembre 2024, ha concluso che Meta non aveva implementato misure tecniche e organizzative adeguate per proteggere le password degli utenti. Insieme alla mancata notifica tempestiva e alla carente documentazione dell’incidente, ha portato alla multa di 91 milioni di euro. Il GDPR richiede che i titolari del trattamento adottino misure di sicurezza proporzionate ai rischi, soprattutto quando si tratta di dati sensibili come le password, e che notifichino prontamente qualsiasi violazione alle autorità competenti.
La DPC ha sottolineato l’importanza di garantire che le aziende proteggano efficacemente i dati degli utenti e rispettino le rigide normative europee. La sanzione rappresenta un richiamo importante per tutte le aziende che gestiscono grandi quantità di dati personali, specialmente in un’epoca in cui le violazioni della sicurezza dei dati sono sempre più frequenti.
Nel corso dell’indagine, la DPC ha lavorato a stretto contatto con altre autorità europee, confermando l’impegno dell’Unione Europea nella protezione dei diritti digitali dei cittadini. Anche se Meta ha dichiarato che le password non erano state esposte a soggetti esterni, l’archiviazione in formato non crittografato ha sollevato preoccupazioni sulla sicurezza interna dei dati e sulla prontezza dell’azienda a gestire simili incidenti.
La decisione sarà presto pubblicata integralmente e potrebbe costituire un precedente importante per altri casi simili, con la chiara indicazione che le autorità non tollerano negligenze nella gestione della sicurezza dei dati.