La Comisión de Protección de Datos de Irlanda multó a Twitter con 450.000 euros por no notificar a la DPC de una infracción dentro del plazo de 72 horas impuesto por el Reglamento General de Protección de Datos de la Unión Europea (GDPR) y no documentarlo adecuadamente.

El RGPD es un reglamento de privacidad de datos y usuarios que entró en vigor en la UE el 25 de mayo de 2018 y se puso en práctica rápidamente tras cuatro quejas distintas contra Google, Facebook, Instagram y WhatsApp el mismo día por el uso de ” consentimiento forzado “.

Según las reglas de GDPR, los reguladores de datos de la UE pueden imponer multas máximas de hasta € 20 millones (aproximadamente $ 24,3 millones) o el 4% de la facturación global anual de la empresa infractora, lo que sea mayor, por violaciones.

“La investigación del DPC comenzó en enero de 2019 luego de recibir una notificación de incumplimiento de Twitter y el DPC descubrió que Twitter infringió el Artículo 33 (1) y 33 (5) del GDPR en términos de no notificar el incumplimiento a tiempo al DPC y la falta de documentación adecuada de la infracción “, dijo el DPC irlandés.

“La DPC ha impuesto una multa administrativa de 450.000 € en Twitter como medida efectiva, proporcionada y disuasoria”.

Incumplimiento causado por un error en la aplicación de Android

La violación que llevó a que Twitter fuera multado hoy fue causada por un error de cuatro años en la aplicación de Twitter para Android responsable de la exposición inadvertida de los tweets privados de las cuentas protegidas.

“El 26 de diciembre de 2018, recibimos un informe de error a través de nuestro programa de recompensas de errores que si un usuario de Twitter con una cuenta protegida, usando Twitter para Android, cambiaba su dirección de correo electrónico, el error daría como resultado que su cuenta no estuviera protegida”, se envió la notificación de infracción. al DPC en enero de 2019, dijo.

“Esto haría que sus Tweets previamente protegidos (que solo puedan ver los seguidores aprobados de la cuenta) sean públicos y visibles para cualquier persona. El error en el código se remonta a un cambio de código realizado el 4 de noviembre de 2014”.

Twitter dijo que no se dio cuenta de la gravedad del problema y la infracción hasta el 3 de enero de 2019, que es cuando se activó el proceso de respuesta a incidentes.

Sin embargo, como subrayó el organismo de control de la UE, incluso después de esto, Twitter no informó la violación a tiempo, dentro del plazo de 72 horas, dado que solo se envió a la Comisión el 8 de enero.

En su sitio web [PDF].

Twitter apoyó plenamente la investigación

Twitter dijo hoy que colaboró estrechamente con el DPC irlandés durante la investigación, lo que probablemente sea una de las razones por las que el regulador de datos consideró la multa de 450.000 euros como “efectiva, proporcionada y disuasoria”.

“Twitter trabajó en estrecha colaboración con la Comisión de Protección de Datos de Irlanda para apoyar su investigación”, dijo hoy la compañía. “Tenemos un compromiso compartido con la seguridad y la privacidad en línea, y respetamos su decisión, que se relaciona con una falla en nuestro proceso de respuesta a incidentes”.

“Apreciamos la claridad que esta decisión brinda a las empresas y al público en torno a los requisitos de notificación de incumplimiento del RGPD. Como siempre, nuestro enfoque de estos incidentes seguirá siendo uno de transparencia y apertura comprometidas”.

En contraste con la decisión de hoy, Google fue multado la semana pasada con 100 millones de euros por la autoridad francesa de protección de datos (CNIL) por “cookies publicitarias en los equipos de los usuarios del motor de búsqueda google.fr, sin obtener el consentimiento previo y sin proporcionar la información adecuada. ”

Google también fue multado con 50 millones de euros en enero de 2019 por “falta de transparencia, información inadecuada y falta de consentimiento válido con respecto a la personalización de anuncios”.