La DPA irlandaise (DPC) a condamné Twitter International Company à une amende de 450 000 euros pour violation de l'art. 33 (1) RGPD et art. 33 (5) du RGPD pour avoir omis de notifier à temps la DPA d'une violation de données et de ne pas documenter de manière adéquate cette violation. La violation de données concernait les paramètres de confidentialité des publications des utilisateurs sur la plate-forme de médias sociaux Twitter. Là, les utilisateurs ont la possibilité de définir la visibilité de leurs publications sur privé ou public. Les publications privées ne peuvent être vues que par les abonnés du profil utilisateur respectif, tandis que les publications publiques sont visibles par le public. Un bogue de programmation dans l'application Android de Twitter a rendu certaines publications privées visibles par le public. La DPA a constaté que Twitter n'avait pas correctement rempli ses obligations en matière de rapports et de documentation. L'équipe juridique de Twitter a pris connaissance de l'erreur le 2 janvier 2019 et ce n'est que le 8 janvier que la société a informé la DPC. En conséquence, la société n'a pas informé la DPC dans le délai de 72 heures requis par l'art. 33 (1) du RGPD. En outre, il n'avait pas correctement documenté l'incident conformément à l'art. 33 (5) du RGPD.