Il 26 settembre 2024, la Data Protection Commission (DPC), l’autorità irlandese incaricata della protezione dei dati personali nell’Unione Europea, ha emesso una multa di 91 milioni di euro nei confronti di Meta Platforms Ireland Limited (MPIL). Questa sanzione è il risultato di un’indagine iniziata nell’aprile 2019, volta a verificare se Meta rispettasse le norme del Regolamento Generale sulla Protezione dei Dati (GDPR) dopo aver scoperto che le password di alcuni utenti erano state memorizzate in chiaro, ovvero senza essere crittografate, all’interno dei propri sistemi interni.
L’inchiesta è partita quando Meta ha informato la DPC di un problema di sicurezza relativo alla conservazione delle password degli utenti in un formato non crittografato, noto come “plaintext“. Nonostante non ci siano prove che queste informazioni siano state esposte a terze parti o utilizzate in modo improprio, il fatto che password così sensibili non fossero protette adeguatamente ha suscitato grande preoccupazione tra le autorità competenti. La DPC ha rilevato che Meta non solo aveva fallito nel garantire la sicurezza dei dati, ma non aveva nemmeno notificato l’incidente in modo tempestivo e non aveva documentato adeguatamente l’accaduto.
In base alle disposizioni del GDPR, le aziende sono tenute a implementare misure di sicurezza appropriate per proteggere i dati personali, specialmente quando si tratta di informazioni sensibili come le password. Nel caso di una violazione, l’azienda deve informare tempestivamente le autorità competenti e documentare l’incidente. Meta, però, non solo non ha garantito la sicurezza delle password degli utenti, ma ha anche omesso di rispettare gli obblighi di segnalazione e documentazione previsti dalla legge. Per queste ragioni, la DPC ha concluso che Meta aveva violato diverse sezioni del GDPR.
La sanzione inflitta a Meta non riguarda solo l’errore tecnico relativo alla mancata crittografia delle password, ma riflette anche la mancanza di prontezza e di misure organizzative adeguate per rispondere in modo appropriato a una violazione dei dati. L’autorità irlandese ha inoltre sottolineato come la protezione delle password sia cruciale per la sicurezza degli utenti, poiché l’accesso non autorizzato a tali dati potrebbe compromettere seriamente gli account personali degli utenti.
L’indagine, che si è protratta per oltre cinque anni, ha visto la collaborazione tra la DPC e altre autorità europee di vigilanza sui dati, nel rispetto delle procedure previste dal GDPR. Dopo aver esaminato attentamente la documentazione e le prove presentate, la DPC ha deciso di imporre una multa significativa a Meta, accompagnata da una reprimenda formale. Il caso Meta rappresenta un chiaro esempio di quanto sia essenziale per le aziende globali adottare standard di sicurezza elevati per proteggere i dati personali degli utenti. La decisione della DPC invia un messaggio forte a tutte le imprese che operano nell’Unione Europea, ribadendo l’importanza del rispetto delle normative sulla protezione dei dati. Il GDPR non ammette compromessi quando si tratta di garantire la riservatezza e la sicurezza delle informazioni sensibili, e le sanzioni imposte alle aziende che non si conformano a tali norme sono destinate a diventare sempre più severe.