Nesta sexta-feira (27), a Comissão de Proteção de Dados (DPC) da Irlanda impôs uma multa de mais de R$ 554 milhões (€ 91 milhões) à Meta.
O valor refere-se a uma violação de segurança ocorrida em 2019, onde senhas de centenas de milhões de usuários foram armazenadas em texto simples nos servidores da empresa.
O DPC investigou o incidente por vários anos, chegando à conclusão de que a Meta não cumpriu com as exigências do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
O GDPR exige que todas as informações pessoais sejam adequadamente protegidas, e o armazenamento de senhas em texto simples, sem qualquer forma de criptografia, foi considerado uma grave falha de segurança.
Além disso, a Meta não notificou o incidente ao DPC no prazo máximo de 72 horas, conforme exigido pelo regulamento, e falhou em documentar a violação adequadamente.
Como resultado, a empresa sofreu mais uma penalidade significativa por suas recorrentes violações de privacidade.
Meta reage, minimizando a violação de segurança de 2019
Em resposta à multa, a Meta enviou uma declaração por e-mail através de seu porta-voz, Matthew Pollard, alegando que a empresa tomou “medidas imediatas” após descobrir o problema.
Segundo a Meta, o erro foi identificado durante uma revisão de segurança em 2019, e a empresa afirmou que não há evidências de que as senhas tenham sido acessadas ou abusadas indevidamente.
No entanto, o DPC não aceitou essa justificativa, aplicando uma das maiores penalidades já impostas sob o GDPR.
Graham Doyle, comissário adjunto do DPC, em uma declaração oficial, destacou a gravidade do problema e ressaltou que senhas em texto simples são extremamente vulneráveis, permitindo que terceiros acessem dados sensíveis de usuários, como contas de redes sociais.
A Meta já enfrentou multas anteriores por violar as regras de proteção de dados da União Europeia, acumulando algumas das maiores penalidades aplicadas a gigantes da tecnologia.
O valor desta multa supera uma penalidade de R$ 103,5 milhões (€ 17 milhões) aplicada em março de 2022 por um incidente de segurança de 2018 que afetou cerca de 30 milhões de usuários.
No entanto, o incidente de 2019 envolveu um número muito maior de contas, potencialmente expondo centenas de milhões de senhas.
Embora o valor da multa pareça alto, ele representa apenas uma pequena fração do que poderia ter sido aplicado, já que o GDPR autoriza sanções de até 4% da receita anual global, o que poderia passar de R$ 29,3 bilhões, considerando que em 2023 a receita anual da Meta foi de aproximadamente R$ 735 bilhões.
