La Comisión Irlandesa de Protección de Datos impuso una millonaria multa a Instagram por no proteger los datos personales de usuarios menores de edad. La empresa no hizo nada por evitar que la información se filtrara por meses.
Instagram ha sido multada por violaciones al Reglamento General de Protección de Datos (GDPR). De acuerdo con Político, la Comisión Irlandesa de Protección de Datos (DPC) impuso una multa de 405 millones de euros a la red social tras descubrir que mostraba los datos personales de menores de edad. La sanción es la tercera que recibe Meta y una de las más altas otorgadas por el regulador irlandés.
La multa a Instagram llega tras una investigación de casi dos años efectuada por la DPC. En octubre de 2020, el órgano de control irlandés abrió dos investigaciones contra la red social tras enterarse que que Instagram dejó al descubierto datos de contacto de millones de menores. David Stier, científico de datos, publicó los resultados de un análisis que realizó a más de 200.000 cuentas en diversos países, incluidos aquellos que se rigen por el GDPR.
Stier fue capaz de extraer información personal de menores de edad, como teléfonos o direcciones de correo. El científico aprovechó una vulnerabilidad de Instagram que expone la información personal cuando una cuenta cambia de perfil personal a profesional. Tras anunciarse que la red social dejaría de mostrar los likes, los usuarios cambiaban a la cuenta profesional para acceder a las herramientas de analíticas.
Instagram filtró los datos de menores por meses y no hizo nada para evitarlo
El experto indicó que los datos se filtraron durante meses y reportó el incidente a Instagram. Pese a la gravedad de la situación, la empresa no tomó acciones para evitarlo y solo se limitó a eliminar la información de contacto del código HTML de la página de perfil.
Desde mi informe a fines de febrero, Instagram aún no ha tomado ninguna medida para dejar de mostrar la información de contacto de estos niños dentro de la aplicación. De hecho, afirmaron específicamente que mostrar esta información de contacto a simple vista dentro de la aplicación era una característica que no tenían la intención de cambiar, independientemente de si el correo electrónico personal y los números de teléfono de los menores estaban visibles.
Tras los hallazgos, Stier presentó una queja ante la DPC argumentando que Instagram podría haber expuesto los datos personales de más de 5 millones de usuarios menores de edad . Según el artículo 8 del GDPR, el tratamiento de datos personales se considera lícito a partir de los 16 años, mientras que los menores necesitan la autorización de sus padres o tutores. El mínimo de edad para tener una cuenta de Instagram es de 13 años.