Komisioneri Irlandez për Mbrojtjen e të Dhënave (DPC) është një nga autoritetet kryesore rregullatore të BE-së, përgjegjëse për mbrojtjen e privatësisë së individëve në Internet. Komisioneri ka fuqinë të vendosë edhe gjoba të rënda (2018). DPC po heton nëse Facebook ka një bazë ligjore për përpunimin e informacionit personal në lidhje me fëmijët dhe nëse zbaton masa mbrojtëse dhe kufizime të përshtatshme në Instagram për fëmijët, pasi fëmijët në Irlandë dhe në të gjithë Evropën përdorin këto platforma. DPC po heton nëse Facebook ka përmbushur kërkesat e GDPR në lidhje me profilin e Instagram dhe cilësimet e llogarisë.
Shkencëtari amerikan i të dhënave David Stier analizoi profilet e 200,000 përdoruesve të Instagram në të gjithë botën për më shumë se një vit dhe raportoi se të paktën 60 milion përdorues nën moshën 18 vjeç mund të konvertojnë me lehtësi profilet e tyre në llogari biznesi, ku përdoruesit duhet të shfaqin publikisht numrat e tyre të telefonit dhe adresat e postës elektronike. Si rezultat, informacioni i tyre personal është i dukshëm për përdoruesit e tjerë të Instagram dhe përmbahet në kodin burimor HTML të faqeve të internetit të aksesuara kur përdorni Instagram në një kompjuter, që do të thotë se ata mund të "gërvishen" nga hakerat.
Në përgjigje të këtyre raporteve dhe ankesave, një zëdhënës i Facebook tha se ata kanë bërë disa azhurnime në llogaritë e biznesit dhe se tani përdoruesit mund të mos i shfaqnin publikisht këto të dhëna. Sidoqoftë, z. Stier beson se hakerat mund të kenë arritur të vjedhin informacione personale nga faqja e internetit në Instagram, siç ndodhi në 2019 kur detajet e kontaktit të 49 milion përdoruesve u ruajtën në internet në një bazë të dhënash të pambrojtur në pronësi të një kompanie në Indi.