FACUA.org Versión sólo texto  
Imprimir
Imprimir
FACUA.org - España - 15 de mayo de 2020

FACUA denuncia a Facebook ante la AEPD por almacenar millones de contraseñas en archivos sin encriptar

Se trata de la sexta denuncia que presenta la asociación contra la multinacional norteamericana por infringir la normativa de protección de datos.

FACUA-Consumidores en Acción ha presentado una nueva denuncia contra Facebook ante la Agencia Española de Protección de Datos (AEPD), en este caso por almacenar millones de contraseñas de usuarios de la red social y de Instagram en archivos sin encriptar, lo que puede haber supuesto el acceso no autorizado a las cuentas de los afectados.

Según han publicado diferentes medios de comunicación, la propia Facebook reconoció el pasado mes de abril haber guardado la información de las contraseñas en documentos de texto plano, sin ningún tipo de encriptación que las protegiera, y había descubierto también "registros adicionales de contraseñas de Instagram almacenados en un formato legible".

En este sentido, FACUA recuerda que el Reglamento Europeo 2016/679, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos, recoge en su artículo 32 que "el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo", entre otras, "la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento".

De igual forma, la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD) indica que los responsables de los ficheros, Facebook en este caso, "deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado".

Además, tanto el Reglamento 2016/679 como la LOPD prohíbe el tratamiento de datos personales que revelen "el origen étnico y racial", "las opiniones políticas" y "las convicciones religiosas o filosóficas", entre otras, salvo "consentimiento expreso y por escrito del interesado". FACUA entiende que, dado el carácter de Facebook e Instagram, caben muchas posibilidades de que los datos personales que fueron filtrados entren en esta categoría de datos especialmente protegidos, teniendo en cuenta el tipo de información que suelen subir los usuarios a las redes sociales (fotografías, información personal e íntima, etc.).

La asociación manifiesta que, teniendo en cuenta la gran cantidad de usuarios a nivel mundial que posee esta red, la infracción de la normativa de protección de datos posee una gran envergadura, que la AEPD debería tener en cuenta a la hora de fijar una sanción. Así, el Reglamento 2016/679 establece que las multas se impondran, entre otros factores, teniendo en cuenta "la naturaleza, gravedad y duración de la infracción, tenienco en cuenta la naturaleza, alcance o propósito de la operación de tratamiento de que se trate así como el número de interesados afectados y el nivel de los daños y perjuicios que hayan sufrido".

Por último, FACUA también recuerda que esta es la sexta ocasión en la que presenta una denuncia contra Facebook por vulnerar la normativa de protección de datos. En concreto, por los casos de Cambridge Analytica, la filtración de datos personales de usuarios que usaban una app de encuestas y el hackeo de información por una vulnerabilidad detectada en los tokens de la red social. También por haber compartido sin autorización datos sensibles de sus usuarios con apps de terceros y por un incumplimiento de la LOPD en el procedimiento recogido para que los usuarios hagan ejercicio de sus derechos.