Assim como o Ministério Público brasileiro, o Irish Data Protection Commission (DPC)  abriu uma investigação sobre a violação de dados no Facebook que expôs as informações pessoais de mais de 50 milhões de contas da rede social.

No Brasil, a investigação foi motivada pela proximidade do vazamento com o primeiro turno das eleições, segundo promotor de Justiça Frederico Meinberg Ceroy, coordenador da Comissão de Proteção dos Dados Pessoais do MPDFT, responsável pela investigação da atuação da Cambridge Analytica no Brasil. Já, na Irlanda, a investigação examinará a conformidade do Facebook com suas obrigações de conformidade com o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. Os reguladores europeus querem saber se o Facebook implementou as medidas técnicas e organizacionais para garantir a segurança e a proteção dos dados pessoais que processa.

Embora o Facebook tenha cumprido sua obrigação de notificar os usuários dentro de 72 horas após a descoberta de uma violação, os reguladores europeus ainda podem multar a empresa em até US $ 1,6 bilhão, ou 4% da receita global, por ausência de proteções de segurança adequadas que impedissem a violação.

Desde a saída do seu CSO, o Facebook reorganizou alguns de seus esforços para ser mais rápido e mais organizado quando se trata de esforços de segurança e privacidade. Pedro Canahuati, vice-presidente de engenharia da rede social,  passou a gerir os grupos encarregados de evitar intrusões nos sistemas do Facebook, como a divulgada na semana passada.

Especula-se que a violação foi possível graças a vários bugs nos sistemas do Facebook, que foram explorados por hackers. A rede social informou à comissão de proteção de dados da Irlanda que sua investigação interna ainda está em andamento e que a empresa continua a tomar ações corretivas para mitigar o risco potencial para os usuários.

Segundo o Facebook, a investigação ainda não encontrou evidências de que os atacantes acessaram qualquer aplicativo usando o Login do Facebook. Ainda assim a rede social está trabalhando em uma ferramenta para permitir aos desenvolvedores identificar manualmente os usuários de seus aplicativos que possam ter sido afetados, para que então possam desconecta-los e exigir novas credenciais para login.

Não não foi detectada nenhuma atividade suspeita nas contas de marcas, mas a investigação continua.

Para os defensores da privacidade, a desconfiança do Facebook não provém de violações de segurança, mas principalmente de seu modelo de negócio, que depende muito do uso de dados pessoais para direcionar a publicidade aos usuários.

"No cerne de tudo isso, como o Facebook vai responder à pergunta de como uma empresa que vive de monetizar e explorar dados de usuários protege tão mal esses dados, mas também de si mesma",  pergunta Gennie Gebhart, diretor associado de pesquisa sobre questões de privacidade e segurança da Electronic Frontier Foundation.

Ah! Em tempo… No Brasil, a Lei Geral de Proteção de Dados ainda não pode ser aplicada para punição à rede social. A LGPD só entra em vigor em meados de 2020.