Multa de 17 millones de euros a Meta por su incapacidad de demostrar cumplimiento tras numerosas brechas de seguridad.
La autoridad de control de Irlanda ha impuesto una multa de 17 millones de euros a Meta Platforms Ireland Limited (Meta). Se determinó que la empresa, anteriormente Facebook Ireland Limited, había infringido los artículos 5 (2) y 4 (1) del RGPD. En el período de seis meses entre junio y diciembre de 2018, la autoridad de control de Irlanda recibió un total de doce notificaciones de brecha de seguridad de la compañía, e inició las respectivas investigaciones, que revelaron que Meta no había implementado las medidas técnicas y organizativas ni demostrado las medidas de seguridad aplicadas para proteger los datos de los usuarios europeos, en relación a cada una de las brechas de seguridad.
La multa de 17 millones de euros con la que ha sido sancionada Meta se deriva del artículo 5 (2) del RGPD.
El artículo 5 (2) establece que el responsable del tratamiento será responsable del cumplimiento con los principios dispuestos en el artículo 5 (1). En concreto, cuando la autoridad de control de Irlanda emitió una consulta a la empresa, la principal finalidad era examinar el grado de cumplimiento con el artículo 5 (1)(f) del RGPD, que indica que “los datos personales serán tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)”). El responsable del tratamiento no es sólo responsable de cumplir con estos principios, sino que también debe poder demostrar las medidas de seguridad implementadas.
La autoridad de control de Irlanda concluyó que aunque Meta proporcionó información y prueba documental que podría considerarse análogo a las mejores prácticas de la industria y estado del arte, Meta no contaba con medidas técnicas y organizativas apropiadas que le permitieran demostrar de manera efectiva las medidas de seguridad implementadas en la práctica para proteger los datos de los usuarios europeos, en el contexto de las doce brechas de seguridad.
Todas las autoridades de control europeas participaron en la decisión como partes interesadas, pues se trató de una investigación transfronteriza.
El tratamiento era transfronterizo, de manera que, conforme al Artículo 60, la decisión debía tomarse de manera conjunta, con la participación de todas las autoridades de control europeas. El Artículo 60 del RGPD regula el proceso de cooperación mediante el que se llevan a cabo las decisiones transfronterizas. El borrador de la decisión fue impugnado por dos autoridades de control europeas, pero mediante negociaciones posteriores se alcanzó un acuerdo común. La semana pasada, la autoridad de control de Irlanda publicó un informe estadístico sobre su gestión de quejas transfronterizas bajo el mecanismo One-Stop-Shop (OSS) del RGPD. El informe reflejó que el 86% de sus casos transfronterizos hasta la fecha estaban relacionados con 10 empresas. Hasta el momento, el 38% de las quejas transferidas por la autoridad de control de Irlanda a otras autoridades de control de la UE/EEE (excluido Reino Unido) se han concluido.
¿Has implementado todas las medidas para cumplir con el RGPD, la LOPDGDD, la LSSI y la directiva ePrivacy? Nuestros servicios integrales abarcan, entre otras áreas, Evaluaciones de Impacto de Protección de Datos, Evaluaciones de la Ética de la IA, implementación del RGPD, la LOPDGDD y la LSSI y subcontratación del Delegado de Protección de Datos. Infórmate aquí.