O Twitter foi multado em € 450.000 por não notificar a Comissão Irlandesa de Proteção de Dados (DPC) sobre uma violação de segurança no prazo de 72 horas, além de não documentá-la adequadamente. As infrações são contra o Regulamento Geral de Proteção de Dados (GDPR).
A comissão disse que investigava o Twitter desde janeiro de 2019. De acordo com o DPC, o Twitter violou o Artigo 33 (1) e 33 (5) do GDPR, ou seja: falha em notificar a violação a tempo e não documentar adequadamente a violação. “A DPC impôs uma multa administrativa de € 450.000 no Twitter como uma medida eficaz, proporcional e dissuasiva”, disse a comissão em um comunicado à imprensa.
O GDPR é a regulamentação da política de dados na Europa que entrou em vigor em maio de 2018, após os escândalos envolvendo Facebook, Cambridge Analytica e a eleição do ex-presidente Donald Trump nos Estados Unidos. De acordo com o regulamento, reguladores, como a DPC da Irlanda, podem impor multas de até € 20 milhões ou um valor equivalente a 4% da receita anual da empresa.
O caso
O vazamento que fez com que o Twitter fosse multado foi causado por um bug no aplicativo de rede social para Android de pelo menos seis anos atrás. O bug permitiu que tweets privados de contas protegidas fossem expostos.
De acordo com o Bleepingcomputer, o Twitter disse que não percebeu a gravidade do problema até 3 de janeiro de 2019, mas o bug foi descoberto em 26 de dezembro de 2018, pelo programa de bounty bug da empresa. Mesmo assim, a empresa deixou de denunciar o caso a tempo, alertando apenas a DPC no dia 8 de janeiro.
No Twitter, a empresa lamenta que isso tenha acontecido, se responsabiliza pelo erro e garante trabalhar para proteger a privacidade de seus usuários. Ele também disse que colaborou de perto com o DPC irlandês durante a investigação.
Twitter worked closely with the Irish Data Protection Commission (@DPCIreland) to support their investigation. We have a shared commitment to online security and privacy, and we respect their decision, which reports to a failure in our incident response process.
– Twitter Comms (@TwitterComms) 15 de dezembro de 2020
“O Twitter trabalhou em estreita colaboração com a Comissão Irlandesa de Proteção de Dados para apoiar sua investigação. Temos um compromisso compartilhado com a segurança e privacidade online e respeitamos sua decisão, que está relacionada a uma falha em nosso processo de resposta a incidentes”, diz o Tweet.