La UE investiga a Twitter por la filtración de datos de 5,4 M de usuarios en 2021
La Comisión de Protección de Datos de Irlanda (DPC), que ejerce como autoridad en la materia a nivel comunitario, ha anunciado una investigación sobre Twitter en respuesta a las informaciones que apuntan que paquetes de información de hasta 5,4 millones de usuarios de todo el mundo han estado disponibles en internet. El organismo considera que en ese caso “una o más disposiciones” del Reglamento General de Protección de Datos (RGPD) habrían sido infringidas, lo que podría llegar a suponer una sanción de hasta el 4% de los ingresos anuales de la compañía.
La autoridad de protección de datos de Irlanda considera que la plataforma podría haber incumplido varios artículos del Reglamento General de Protección de Datos.
La filtración de esa información tuvo lugar en 2021, meses antes de que se supiera que Elon Musk pretendía comprar la plataforma. Y se produjo gracias a la explotación de una vulnerabilidad en la API que fue solucionada en junio de este año, después de que en enero hubiera sido publicada por el colectivo de hackers éticos hackerOne. Pero en julio varios medios se hicieron eco de que en distintos foros sobre prácticas ilegales o controvertidas estaban a la venta datos obtenidos en esa operación.
En concreto, esos paquetes incluían identificadores en la plataforma, localizaciones, estatus de verificación, números de teléfono o direcciones de correo electrónico. Según Twitter, en ese proceso no fueron intervenidas contraseñas. Uno de los factores más llamativos de lo sucedido es que también quedaron expuestos los datos de los usuarios que los tenían en privado
Esta investigación incrementa la presión de las autoridades europeas sobre Twitter, cuyo propietario, ya ha sido advertido formalmente por el comisario de Mercado Interior, Thierry Breton, acerca de la necesidad de cumplir con las nuevas normas que le atañen. La plataforma ya había sido multada por DPC en 2020 con 450.000 euros por no notificar otra filtración de datos en el plazo de 72 horas que establece el RGPD.
Twitter no es la única red social que está en el punto de mira del regulador irlandés últimamente, ya que este mismo año Meta ha sido castigada con 17 millones de euros en marzo y otros 265 en noviembre. En el segundo caso, por no proteger los datos de alrededor de 533 millones de usuarios frente a una extracción mediante la técnica conocida como scrapping que sucedió hace algunos años.