A Meta, dona do Facebook e Instagram, foi multada em 91 milhões de euros (equivalente a R$ 552,52 milhões) pela Comissão de Proteção de Dados da Irlanda (DPC), principal órgão regulador de privacidade da União Europeia (UE), nesta sexta-feira (27). A penalidade foi aplicada após a descoberta de que a empresa armazenou senhas de alguns usuários em “texto simples”, sem a devida proteção ou criptografia, o que vai contra as normas de segurança de dados do bloco.

Investigação de cinco anos

A investigação que culminou na multa começou há cinco anos, depois que a Meta notificou a DPC sobre o incidente. Em 2019, a empresa reconheceu que havia identificado o problema durante uma revisão de segurança. Embora a Meta tenha informado que as senhas não foram expostas a terceiros e que não há indícios de abuso, o órgão regulador considerou a situação uma violação grave das normas de proteção de dados da UE.

Segundo Graham Doyle, vice-comissário da DPC, “é amplamente aceito que as senhas de usuários não devem ser armazenadas em texto simples, considerando os riscos de abuso”. O órgão ressaltou a importância de seguir práticas rigorosas de segurança para evitar que dados sensíveis fiquem vulneráveis a ataques.

Resposta da Meta

Um porta-voz da Meta afirmou que a empresa tomou “medidas imediatas” para corrigir o erro assim que ele foi detectado e que, durante toda a investigação, a empresa colaborou de forma construtiva com a DPC. Apesar do incidente, a Meta sustenta que não há evidências de que as senhas tenham sido usadas de maneira inadequada ou acessadas por terceiros.

A Meta, ao longo dos últimos anos, tem sido alvo frequente de penalidades relacionadas à proteção de dados. Até o momento, a empresa já acumulou multas no valor total de 2,5 bilhões de euros (R$ 15,2 bilhões) por violar o Regulamento Geral de Proteção de Dados (GDPR), introduzido pela União Europeia em 2018. A maior dessas multas, aplicada em 2023, foi de 1,2 bilhão de euros (R$ 7,3 bilhões) devido à transferência de dados de usuários europeus para os Estados Unidos, um caso que a Meta ainda está recorrendo.

Impacto do GDPR nas grandes empresas de tecnologia

A Comissão de Proteção de Dados da Irlanda é o principal regulador de privacidade para grandes empresas de tecnologia norte-americanas que operam na União Europeia, uma vez que muitas delas têm suas sedes europeias na Irlanda. O GDPR, adotado em 2018, visa garantir que as empresas lidem com os dados dos usuários de maneira segura e transparente, impondo multas rigorosas para infrações.

Desde a implementação do GDPR, grandes empresas como a Meta têm sido alvo de fiscalizações intensivas e, em consequência, multas significativas. O caso da Meta destaca a crescente pressão sobre as gigantes da tecnologia para que sigam à risca as normas de privacidade estabelecidas pela UE.

O armazenamento indevido de senhas pela Meta e a multa resultante reforçam a importância da proteção de dados na era digital. O Regulamento Geral de Proteção de Dados da União Europeia continua a estabelecer precedentes rigorosos, garantindo que grandes empresas sejam responsabilizadas por qualquer descuido em relação à segurança das informações dos usuários.