O cenário das redes sociais foi agitado recentemente com a notificação de uma multa aplicada à Meta, empresa controladora do Facebook, no valor de €251 milhões (aproximadamente $263 milhões). A sanção foi imposta pela Comissão de Proteção de Dados da Irlanda (DPC) como resultado de uma violação de segurança que comprometeu os dados de milhões de usuários entre 2017 e 2018. Este incidente, que finalmente veio à tona em setembro de 2018, levantou questões preocupantes sobre a gestão e a proteção de dados na era digital, especialmente sob a vigilância rigorosa do Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR).
Embora o valor da multa de Meta não represente a maior já imposta sob as diretrizes do GDPR desde sua implementação, ainda assim é um sinal alarmante para empresas que operam em ambientes digitais, indicando que a proteção de dados dos usuários é uma prioridade indiscutível. A profundidade do problema se torna mais evidente em um momento em que o controle sobre informações pessoais é cada vez mais debatido, tanto por usuários quanto por reguladores. O caso de Meta serve como um exemplo do que pode acontecer quando a segurança não é tratada com a são seriedade que merece.
A violação de segurança em questão remonta a julho de 2017, quando o Facebook lançou uma funcionalidade de upload de vídeos que incluía uma opção chamada “Ver como”, permitindo que os usuários visualizassem suas próprias páginas da rede social sob a perspectiva de outros usuários. Um erro no design dessa funcionalidade permitiu aos usuários gerar um token de permissão total, o que lhes concedia acesso não autorizado a perfis de outros usuários. Esse token poderia então ser utilizado para explorar a mesma combinação de recursos em diversas contas. A DPC constatou que esse erro foi responsável por permitir acesso não autorizado a cerca de 29 milhões de contas do Facebook no mundo todo, das quais aproximadamente 3 milhões eram de usuários localizados na União Europeia.
As categorias de dados pessoais afetadas pela violação foram extensas e incluíam nomes completos, endereços de e-mail, números de telefone, locais, informações sobre trabalho, datas de nascimento, religião, gênero, publicações em timelines, grupos aos quais os usuários pertenciam e dados pessoais de crianças. Essa gama abrangente de dados provavelmente influenciou o tamanho da multa imposta, evidenciando a gravidade da situação e as repercussões que podem surgir da falta de proteção adequada.
Na terça-feira, a DPC emitiu suas conclusões finais em relação a duas investigações abertas sobre o incidente de 2018. A primeira decisão abrange a notificação de violação seguida pela Meta, que é um requisito do GDPR que demanda relatórios rápidos e abrangentes de incidentes de segurança. A segunda está relacionada às regras de proteção de dados por design e por padrão. Em ambas as avaliações, a DPC concluiu que a Meta infringiu as normas do GDPR, resultando em duas sanções: uma multa de €11 milhões por falhas na comunicação da violação e uma de €240 milhões por não implementar as medidas de proteção de dados adequadas desde a fase de design de seus serviços.
O comissário adjunto da DPC, Graham Doyle, comentou sobre a importância desse caso, afirmando que essa ação de enforcement destaca a necessidade de integrar os requisitos de proteção de dados em todas as etapas do ciclo de desenvolvimento e design. Ele sublinhou que a falta de atenção a esses aspectos pode expor os usuários a riscos significativos e sérios, colocando em risco seus direitos e liberdades fundamentais. A proteção dos dados de perfis do Facebook, que frequentemente contêm informações sensíveis como crenças religiosas, orientações sexuais e outras informações pessoais, é fundamental para garantir a privacidade e a segurança dos usuários.
Outro ponto notável é que a decisão da DPC não enfrentou objeções das autoridades regulatórias de outros países membros da UE, um sinal de que a cooperação entre agências reguladoras pode estar mais robusta do que no passado, onde muitas decisões da DPC enfrentavam contestações. A recente trajetória da DPC tem sido criticada, especialmente sob a liderança anterior de Helen Dixon, com alegações de subcontroles em relação a gigantes da tecnologia como a Meta. No entanto, para a DPC, esta última aplicação da lei é um indicativo de um recomeço na abordagem em relação à regulamentação do GDPR.
Em resposta à imposição da multa, a porta-voz da Meta, Emily Westcott, declarou por e-mail que a decisão diz respeito a um incidente de 2018 e destacou que a empresa tomou medidas imediatas para corrigir o problema assim que ele foi identificado. Ela também enfatizou que a Meta informou proativamente as pessoas afetadas e a DPC. Westcott reafirmou que a Meta possui uma gama de medidas de segurança líderes na indústria implementadas para proteger os usuários em suas plataformas. Este incidente não é um caso isolado, uma vez que no mês de setembro a DPC já havia infligido uma multa de €91 milhões à Meta relacionada a uma violação de segurança em 2019, onde senhas de “centenas de milhões” de usuários foram armazenadas em texto simples em seus servidores.
Com a evolução constante da tecnologia e o aumento do uso de plataformas digitais, o caso da Meta serve como um lembrete contundente da responsabilidade que as empresas têm em proteger os dados de seus usuários. O regulamento de proteção de dados continua a ser uma peça fundamental na preservação da privacidade na era digital, e o rigor na sua aplicação poderá definir o futuro das relações entre usuários e empresas de tecnologia.