Las empresas no pueden decirles a los consumidores que usarán su información personal para un propósito y luego la usarán para otro. Pero de acuerdo con la Comisión Federal de Comercio de Estados Unidos (FTC) , ese es el tipo de cebo y cambio digital que Twitter usó para los consumidores desprevenidos. Twitter solicitó a los usuarios información personal con el propósito expreso de proteger sus cuentas, pero luego también la utilizó para publicar anuncios dirigidos para el beneficio financiero de Twitter. No fue la primera supuesta violación de la Ley de la FTC por parte de Twitter, pero esta le costará a la empresa $150 millones de dólares en sanciones civiles.
La historia comienza con la denuncia de la FTC de 2010 contra Twitter . En ese caso, Twitter les dijo a los usuarios que los usuarios podían controlar quién tenía acceso a sus tweets y que solo los destinatarios podían ver sus mensajes privados. Pero según la FTC, Twitter no contaba con garantías razonables para garantizar que se respetaran las elecciones de los usuarios. La denuncia de 2010 citó múltiples instancias en las que las acciones (y las omisiones) de Twitter llevaron al acceso no autorizado a la información personal de los usuarios. Para resolver ese caso, la empresa accedió a una orden que se hizo definitiva en 2011 y que impondría multas financieras sustanciales si tergiversaba aún más “la medida en que [Twitter] mantiene y protege la seguridad, privacidad, confidencialidad o integridad de cualquier información no pública de un consumidor.”
La sanción civil de $150 millones recién anunciada proviene de una nueva denuncia presentada por el Departamento de Justicia en nombre de la FTC, alegando que Twitter violó la orden en el caso anterior al recopilar información personal de los clientes con el propósito declarado de seguridad y luego explotarla comercialmente. Así es como la FTC dice que Twitter engañó a sus clientes:
Desde mayo de 2013 hasta septiembre de 2019, Twitter solicitó a los usuarios que proporcionaran sus números de teléfono o direcciones de correo electrónico por motivos de seguridad, como para habilitar la autenticación de múltiples factores. (La autenticación multifactor es una capa adicional de seguridad que requiere formas de identificación separadas para acceder a una cuenta; por ejemplo, una contraseña y un código enviados a la dirección de correo electrónico verificada de un usuario). Twitter también les dijo a las personas que usaría sus datos personales para ayudar con la recuperación de la cuenta (por ejemplo, si los usuarios olvidaron sus contraseñas) o para volver a habilitar el acceso completo si Twitter detectó actividad sospechosa en la cuenta de una persona. La FTC dice que Twitter indujo a las personas a proporcionar sus números de teléfono y direcciones de correo electrónico al afirmar que el propósito de la empresa era, por ejemplo, “proteger su cuenta”.
Pero según la FTC, mucho más estaba sucediendo detrás de escena. De hecho, además de usar los números de teléfono y las direcciones de correo electrónico de las personas con los fines de protección que afirmaba la compañía, Twitter también usó la información para mostrar anuncios dirigidos a las personas, anuncios que enriquecieron a Twitter por millones.
¿Qué tan persuasivo fue el argumento de seguridad de Twitter? Durante el período de tiempo cubierto por la denuncia, más de 140 millones de usuarios dieron a Twitter sus direcciones de correo electrónico o números de teléfono por motivos de seguridad. ¿Ese mismo número de personas le habría dado a Twitter esa información si supieran de qué otra forma Twitter la iba a usar? No lo creemos. Si le llama la atención la ironía de que una empresa explote las preocupaciones de privacidad de los consumidores de una manera que facilitó más invasiones de la privacidad de los consumidores, es una ironía que no pasa desapercibida para la FTC.
Además de imponer una sanción civil de $150 millones por violar la orden de 2011, la nueva orden agrega más disposiciones para proteger a los consumidores en el futuro:
- Twitter tiene prohibido usar los números de teléfono y las direcciones de correo electrónico que recopiló ilegalmente para publicar anuncios.
- Twitter debe notificar a los usuarios sobre el uso indebido de números de teléfono y direcciones de correo electrónico, informarles sobre la acción de cumplimiento de la ley de la FTC y explicarles cómo pueden desactivar los anuncios personalizados y revisar su configuración de autenticación de múltiples factores.
- Twitter debe proporcionar opciones de autenticación de múltiples factores que no requieran que las personas proporcionen un número de teléfono.
- Twitter debe implementar un programa de privacidad mejorado y un programa de seguridad de la información reforzado que incluya varias disposiciones nuevas detalladas en la orden, obtener evaluaciones de privacidad y seguridad de un tercero independiente aprobado por la FTC e informar incidentes de privacidad o seguridad a la FTC en 30 días.
¿Qué pueden sacar otras empresas de la última acción contra Twitter?
Lo que da el texto, una política de privacidad o un descargo de responsabilidad oculto no lo pueden quitar. Los consumidores tienen derecho a confiar en lo que usted dice en el momento en que solicita su información. Es poco probable que tratar de retractarse en una declaración contradictoria enterrada en otra parte de su sitio web corrija una tergiversación.
Mantener segura la información de los clientes es beneficioso para todos. Los consumidores se benefician cuando las empresas toman medidas adicionales para proteger sus datos personales. Así que seamos claros: la autenticación multifactor puede ser una forma efectiva de hacerlo. No desanime a las personas a que acepten la autenticación multifactor haciéndoles renunciar a su privacidad para usarla.
La violación de las órdenes de la FTC resultará en sanciones sustanciales. La FTC se toma muy en serio el cumplimiento de las órdenes y utilizará todos los medios legales para responsabilizar a los reincidentes por más violaciones.
Con información de: Ftc.gov
Redacción Abogado Digital.
