0
0
O Twitter foi multado em mais de meio milhão de dólares por violar as leis de proteção de dados da União Europeia no primeiro caso de privacidade em toda a UE.
O principal cão de guarda de dados da UE anunciou hoje que emitiu uma multa administrativa de 450.000 euros (US$ 547.000) ao titã das mídias sociais por ser muito lento para notificar os usuários de telefones Android localizados em toda a UE de uma violação de dados que ameaçava sua privacidade.
Uma outra constatação da investigação sobre a violação pela Comissão de Proteção de Dados da Irlanda (DPC) foi que o Twitter não documentou adequadamente o incidente de segurança.
A investigação do DPC sobre o incidente começou em janeiro de 2019 após o recebimento de uma notificação de violação do Twitter. Na terça-feira, o DPC afirmou que o Twitter “infringiu os artigos 33(1) e 33(5) do Regulamento Geral de Proteção de Dados (GDPR) em termos de falha em notificar a violação a tempo para o DPC e uma falha em documentar adequadamente a violação”.
De acordo com as regras de proteção de dados da UE, é necessário relatar uma violação dentro de 72 horas após a descoberta.
A comissão descreveu a não insignificante penalidade financeira imposta à empresa americana como “uma medida eficaz, proporcional e dissuasiva”.
De acordo com a Decisão Vinculante do Conselho, a violação de dados surgiu de um bug no design do Twitter que fez com que os tweets protegidos de usuários de dispositivos Android ficassem desprotegidos sem o seu consentimento se os usuários mudassem o endereço de e-mail associado à sua conta no Twitter.
O bug, que afetou 88.726 usuários da UE e da EEE entre setembro de 2017 e janeiro de 2019, foi rastreado até uma mudança de código feita em 4 de novembro de 2014. Foi descoberto em 26 de dezembro de 2018, pelo contratante externo que gerencia o programa de recompensa de bugs do Twitter.
Referindo-se à importância do inquérito do Twitter, o DPC afirmou: “A minuta de decisão neste inquérito, tendo sido submetida a outras Autoridades De Supervisão Em causa nos termos do artigo 60 do GDPR em maio deste ano, foi a primeira a passar pelo processo do artigo 65º (‘resolução de controvérsias’) desde a introdução do GDPR e foi a primeira Decisão preliminar em um caso de ‘grande tecnologia’ no qual todas as autoridades supervisoras da UE foram consultadas como Supervisores de Supervisão da UE.”
FONTE: INFOSECURITY MAGAZINE