O Twitter foi multado em € 450 mil por não notificar a Comissão de Proteção de Dados irlandesa (DPC) sobre uma violação de segurança dentro do prazo, que é de 72 horas, além de não documentá-la adequadamente. As infrações vão contra o Regulamento Geral de Proteção de Dados (GDPR).
- Pesquisadores descobrem como roubar dados via WiFi de computadores que… Não têm WiFi
- Signal lança vídeo chamada em grupo e criptografada
- Agências dos EUA são atacadas pelo mesmo grupo que invadiu a FireEye
A comissão informou que já estava investigando o Twitter desde janeiro de 2019. Segundo a DPC, o Twitter infringiu o Artigo 33 (1) e o 33 (5) do GDPR, ou seja: falha em notificar a violação a tempo, além de falha em documentar a violação de forma adequada. “A DPC aplicou uma multa administrativa de € 450 mil ao Twitter como medida eficaz, proporcionada e dissuasiva”, diz a comissão em nota à imprensa.
O GDPR é o regulamento de política de dados na Europa que entrou em vigor em maio de 2018, após os escândalos envolvendo o Facebook, a Cambridge Analytica e a eleição do ex-presidente Donald Trump nos Estados Unidos. Segundo o regulamento, os órgãos reguladores, como a DPC da Irlanda, podem impor multas de até € 20 milhões ou valor equivalente a 4% do faturamento anual da empresa.
O caso
O vazamento que fez o Twitter ser multado foi causado por um bug no app da rede social para Android de pelo menos seis anos atrás. O bug permitia que fossem expostos tweets privados, de contas protegidas.
De acordo com a Bleepingcomputer, o Twitter disse que não percebeu a gravidade do problema até o dia 3 de janeiro de 2019, mas a descoberta do bug foi feita no dia 26 de dezembro de 2018, pelo programa de bug bounty da empresa. Mesmo assim, a empresa falhou em relatar o caso dentro do prazo, só avisando à DPC no dia 8 de janeiro.
No Twitter, a empresa lamenta que isso tenha acontecido, assume a responsabilidade pelo erro e garante trabalhar para proteger a privacidade de seus usuários. Também disse ter colaborado de perto com a DPC irlandesa durante a investigação.
Twitter worked closely with the Irish Data Protection Commission (@DPCIreland) to support their investigation. We have a shared commitment to online security and privacy, and we respect their decision, which relates to a failure in our incident response process.
— Twitter Comms (@TwitterComms) December 15, 2020
"O Twitter trabalhou em estreita colaboração com a Comissão Irlandesa de Proteção de Dados para apoiar sua investigação. Temos um compromisso compartilhado com a segurança e privacidade online e respeitamos a decisão deles, que está relacionada a uma falha em nosso processo de resposta a incidentes”, diz o Tweet.
Fontes: Data Protection Commission (DPC); Bleepingcomputer; Twitter.