O Twitter  foi multado em mais de meio milhão de dólares por violar GDPR

O Twitter  foi multado em mais de meio milhão de dólares por violar GDPR,  leis de proteção de dados da União Europeia, no primeiro caso de privacidade na UE. 

O chefe de vigilância de dados da UE anunciou ontem, dia 15 de dezembro, que emitiu uma multa administrativa de 450.000 euros (US $ 547.000) ao titã da mídia social por ser muito lento para notificar usuários de telefones Android localizados em toda a UE sobre uma violação de dados que ameaçou sua privacidade.

Uma outra conclusão da investigação sobre a violação pela Comissão de Proteção de Dados da Irlanda (DPC) foi que o Twitter não documentou adequadamente o incidente de segurança.

A investigação da DPC sobre o incidente começou em janeiro de 2019 após o recebimento de uma notificação de violação do Twitter. Na terça-feira, a DPC afirmou que o Twitter “infringiu o Artigo 33 (1) e 33 (5) do Regulamento Geral de Proteção de Dados (GDPR) em termos de uma falha em notificar a violação a tempo para a DPC e uma falha em documentar adequadamente o violação.” 

De acordo com as regras de proteção de dados da UE, é obrigatório relatar uma violação dentro de 72 horas após a descoberta. 

A comissão descreveu a penalidade financeira não desprezível aplicada à empresa americana como “uma medida eficaz, proporcional e dissuasiva“.

 

A Comissão de Proteção de Dados (DPC) anunciou hoje (15/12) a conclusão de uma investigação GDPR conduzida na Twitter International Company. A investigação da DPC começou em janeiro de 2019 após o recebimento de uma notificação de violação do Twitter e a DPC concluiu que o Twitter infringiu o Artigo 33 (1) e 33 (5) do GDPR em termos de falha em notificar a violação a tempo para DPC e falha em documentar adequadamente a violação. A DPC aplicou uma multa administrativa de € 450.000 no Twitter como medida eficaz, proporcionada e dissuasiva.
O projeto de decisão neste inquérito, tendo sido submetido a outras Autoridades de Supervisão Interessadas nos termos do Artigo 60 do GDPR em maio deste ano, foi o primeiro a passar pelo processo do Artigo 65 (“resolução de litígios”) desde a introdução do GDPR e foi o primeiro projeto de decisão num caso de “grande tecnologia” em que todas as autoridades de supervisão da UE foram consultadas como autoridades de supervisão interessadas.
O Conselho Europeu para a Proteção de Dados publicou a decisão do Artigo 65 e a decisão final no seu site aqui .

De acordo com a  decisão vinculativa do Conselho, a violação de dados surgiu de um bug no design do Twitter que fez com que os tweets protegidos de usuários de dispositivos Android ficassem desprotegidos sem seu consentimento se os usuários mudassem o endereço de e-mail associado à sua conta do Twitter. 

O bug, que afetou 88.726 usuários da UE e do EEE entre setembro de 2017 e janeiro de 2019, foi rastreado até uma alteração de código feita em 4 de novembro de 2014. Foi descoberto em 26 de dezembro de 2018, pelo contratante externo que gerencia o programa de recompensa por bug do Twitter.

 

Fonte: Infosecurity Magazine & EU Data Protection Comission

 

Veja também:

Sobre mindsecblog 1772 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Entenda o ataque hacker da SolarWinds que assombrou o mundo

Deixe sua opinião!