Instagram ha sido multada por violaciones al Reglamento General de Protección de Datos (GDPR). De acuerdo con Político, la Comisión Irlandesa de Protección de Datos (DPC) impuso una multa de 405 millones de euros a la red social tras descubrir que mostraba los datos personales de menores de edad. La sanción es la tercera que recibe Meta y una de las más altas otorgadas por el regulador irlandés.
La multa a Instagram llega tras una investigación de casi dos años efectuada por la DPC. En octubre de 2020, el órgano de control irlandés abrió dos investigaciones contra la red social tras enterarse que que Instagram dejó al descubierto datos de contacto de millones de menores. David Stier, científico de datos, publicó los resultados de un análisis que realizó a más de 200.000 cuentas en diversos países, incluidos aquellos que se rigen por el GDPR.
Stier fue capaz de extraer información personal de menores de edad, como teléfonos o direcciones de correo. El científico aprovechó una vulnerabilidad de Instagram que expone la información personal cuando una cuenta cambia de perfil personal a profesional. Tras anunciarse que la red social dejaría de mostrar los likes, los usuarios cambiaban a la cuenta profesional para acceder a las herramientas de analíticas.
Instagram filtró los datos de menores por meses y no hizo nada para evitarlo
El experto indicó que los datos se filtraron durante meses y reportó el incidente a Instagram. Pese a la gravedad de la situación, la empresa no tomó acciones para evitarlo y solo se limitó a eliminar la información de contacto del código HTML de la página de perfil.
Desde mi informe a fines de febrero, Instagram aún no ha tomado ninguna medida para dejar de mostrar la información de contacto de estos niños dentro de la aplicación. De hecho, afirmaron específicamente que mostrar esta información de contacto a simple vista dentro de la aplicación era una característica que no tenían la intención de cambiar, independientemente de si el correo electrónico personal y los números de teléfono de los menores estaban visibles.
Tras los hallazgos, Stier presentó una queja ante la DPC argumentando que Instagram podría haber expuesto los datos personales de más de 5 millones de usuarios menores de edad . Según el artículo 8 del GDPR, el tratamiento de datos personales se considera lícito a partir de los 16 años, mientras que los menores necesitan la autorización de sus padres o tutores. El mínimo de edad para tener una cuenta de Instagram es de 13 años.
Meta, en el ojo de los reguladores europeos
Si bien la DPC no hizo comentarios al respecto, el reporte indica que el regulador impuso la multa tras recibir aportaciones de otras autoridades europeas de protección de datos. La sanción se suma a una multa de 225 millones de euros a WhatsApp por no explicar lo que hace con la información personal de sus usuarios. Facebook también deberá pagar 17 millones de euros por no implentar medidas para proteger los datos de las personas.
Luego de anunciarse la multa de 405 millones de euros, la empresa dijo que revisarán la decisión final. Instagram acusó que la investigación se centró en configuraciones antiguas que actualizaron hace más de un año. "Cualquier persona menor de 18 años automáticamente tiene su cuenta configurada para privado cuando se unen a Instagram, por lo que solo las personas que conocen pueden ver lo que publican, y los adultos no pueden enviar mensajes a los adolescentes que no los siguen", dijo un portavoz de Meta.
Lo interesante aquí es que Facebook trabajó en una versión de Instagram para menores de 13 años al mismo tiempo que no hacía nada para evitar que su aplicación principal dejara de filtrar la información sensible de estos usuarios.