Hace una semana y media se reveló la filtración de una gigantesca base de datos de usuarios de Facebook, conteniendo los datos de 530 millones de personas de todo el mundo, 11 de ellas en España.

Entre los datos filtrados se encuentra el número de teléfono, aunque no todas las entradas de la base de datos tienen la misma cantidad de información; en algunos casos también se ha filtrado el nombre, la fecha de nacimiento o incluso el lugar de trabajo y las relaciones personales. Podemos comprobar si se han filtrado nuestros datos personales usando servicios de terceros.

Pese al potencial para usar estos datos para ataques personales, como el 'phishing', Facebook ha decidido no avisar a los usuarios afectados, alegando entre otras cosas que los datos se obtuvieron en el 2019 y no en este año.

Facebook investigada

Sin embargo, en la Unión Europea esas excusas pueden no ser suficientes, especialmente si, tal y como Facebook admitió, la compañía ya conocía esta filtración desde hace años. Eso podría vulnerar la GDPR, la nueva normativa europea de protección de datos que es obligatoria desde 2018.

Así lo consdiera la Comisión de Protección de Datos de Irlanda (DPC) , uno de los grandes organismos europeos relacionados con la privacidad y que hoy ha lanzado una investigación contra Facebook.

Ante la publicación de la base de datos, el DPC contactó con la sede de Facebook en Irlanda con una serie de preguntas relacionadas con el posible ataque, ante las cuales la compañía presentó una "cierta cantidad" de respuestas.

Facebook Omicrono

Ante estas respuestas, el DPC considera que es necesaria una investigación para comprobar si una o varias provisiones de la GDPR han sido, o están siendo, vulneradas por la compañía.

Además, la comisión considera apropiado comprobar si Facebook ha cumplido con sus obligaciones en la gestión de datos personales de los usuarios de sus servicios, incluyendo los que permiten pasar contactos entre servicios, como Facebook Messenger con Instagram.

Qué habría incumplido

Aunque la GDPR es más famosa por obligar a las páginas web a incluir un aviso de cookies (que todo el mundo ignora), también incluye varias provisiones relacionadas con los pasos que las compañía deben dar cuando descubren que los datos de los usuarios han sido comprometidos.

En concreto, las compañías deben avisar a los organismos correspondientes en un plazo de 72 horas después del descubrimiento de la filtración. Sin embargo, en una publicación centrada en defender su inocencia, Facebook confirmó que conocía esta filtración desde 2019; este intento de quitar importancia al asunto le puede costar caro ahora, ya que la GDPR contempla multas por mantener estos problemas en secreto.

Sin embargo, Facebook no sólo no avisó a las autoridades competentes, sino que ahora se niega a informar a los usuarios afectados, alegando a Reuters que no podrían hacer nada al respecto aunque supiesen que sus datos se han hecho públicos.

Para defenderse, Facebook ha recalcado que la filtración no es resultado de un ataque hacker, sino que la base de datos se creó copiando los datos accesibles en la plataforma; afirma que ya no es posible repetir este tipo de acción y que mantiene equipos dedicados a vigilar el acceso a los datos.