La Comisión Federal de Comercio (FTC) confirmó hoy oficialmente que Facebook acordó pagar una multa récord de $ 5 mil millones por violaciones de privacidad relacionadas con el escándalo de Cambridge Analytica.
Además de la multa multimillonaria, la compañía también aceptó un acuerdo de 20 años que la obliga a implementar un nuevo marco organizacional diseñado para fortalecer sus prácticas y políticas de privacidad de datos.
El acuerdo requiere que Facebook realice algunos cambios estructurales importantes, como se explica a continuación, que responsabilizarán a la empresa por las decisiones que tome sobre la privacidad de sus usuarios y la información que recopila sobre ellos.
«La orden requiere que Facebook reestructure su enfoque de la privacidad desde el nivel de la junta corporativa hacia abajo, y establece nuevos mecanismos sólidos para garantizar que los ejecutivos de Facebook sean responsables de las decisiones que toman sobre la privacidad y que esas decisiones estén sujetas a una supervisión significativa», dijo la orden. dijo la FTC en un comunicado de prensa.
Según la FTC, Facebook ha utilizado repetidamente revelaciones y configuraciones engañosas para socavar las preferencias de privacidad de sus usuarios en violación de su orden de la FTC de 2012 que requería que las redes sociales obtuvieran el consentimiento explícito de los usuarios para compartir sus datos personales.
El marco organizativo recientemente propuesto también cubrirá no solo la red social masiva de Facebook, sino también los servicios propiedad de la empresa, incluidos WhatsApp e Instagram.
“Acordamos pagar una multa histórica, pero lo que es más importante, vamos a hacer algunos cambios estructurales importantes en la forma en que construimos productos y dirigimos esta empresa”, dijo el presidente ejecutivo de Facebook, Mark Zuckerberg, en un comunicado.
«Como parte de este acuerdo, estamos alineando más nuestros controles de privacidad con nuestros controles financieros bajo la legislación Sarbanes-Oxley. Nuestros ejecutivos, incluyéndome a mí, tendrán que certificar que todo el trabajo que supervisamos cumple con nuestras obligaciones de privacidad. «
«La razón por la que los apoyo es porque creo que reducirán la cantidad de errores que cometemos y nos ayudarán a brindar protecciones de privacidad más sólidas para todos».
El nuevo programa de privacidad de Facebook
Los principales cambios incluirán:
1. Comité de privacidad independiente – La empresa deberá establecer un comité de privacidad independiente de la junta directiva de Facebook, que será designado por un comité de nominación independiente.
Según la FTC, esta medida creará una mayor responsabilidad a nivel de la junta directiva, eliminando el control ilimitado del director ejecutivo de Facebook, Mark Zuckerberg, sobre las decisiones que afectan la privacidad del usuario.
2. Oficiales de cumplimiento – Se requerirá que la compañía designe oficiales de cumplimiento que trabajarán bajo el nuevo comité de privacidad independiente y cuyo trabajo será monitorear todo el programa de privacidad de Facebook. El CEO de Facebook o sus empleados no pueden controlar, nombrar o destituir a los oficiales de cumplimiento.
Será obligatorio que los oficiales de cumplimiento presenten certificados de cumplimiento cada trimestre y cada año a la FTC, asegurándose de que la empresa esté ejecutando el programa de privacidad según lo dispuesto por la orden.
Los oficiales de cumplimiento también deberán generar un informe de revisión de privacidad trimestral, que deben compartir con el director ejecutivo y el asesor independiente, así como con la FTC.
La FTC también advirtió que cualquier certificación falsa sometería a los oficiales de cumplimiento a sanciones civiles y penales individuales.
3. Fortalecimiento de la supervisión externa de Facebook – La orden también fortalece el papel de los asesores externos independientes que realizarán evaluaciones del programa de privacidad de Facebook cada dos años para identificar brechas.
Los asesores independientes informarán directamente al nuevo comité de la junta de privacidad cada trimestre.
4. Revisiones de privacidad – La orden también obliga a la empresa a realizar una revisión exhaustiva de cada nuevo producto o servicio que desarrolle. Estas revisiones deben enviarse al director general de la empresa ya un asesor externo cada trimestre.
5. Incidente de seguridad del documento – Facebook deberá documentar cualquier incidente que comprometa los datos de 500 o más usuarios y sus esfuerzos para abordar dichos incidentes. Se requiere entregar esta documentación a la FTC y al evaluador dentro de los 30 días posteriores al descubrimiento del incidente por parte de la empresa.
6. Reglas estrictas para aplicaciones de terceros – Luego de una investigación de un año, la FTC determina que las malas prácticas de privacidad de Facebook permitieron que la plataforma compartiera información personal de los usuarios con aplicaciones de terceros sin su consentimiento explícito, y la empresa tomó medidas inadecuadas para abordar cualquier incidente que violara la privacidad de los usuarios. .
Para solucionar esto, la FTC también ha pedido a Facebook que controle de cerca las aplicaciones de terceros y cómo utilizan los datos recopilados de los usuarios, sugiriendo que cancele cualquier cuenta de desarrollador de aplicaciones que no cumpla con su política de privacidad o no justifique su necesidad de información específica. datos del usuario.
Además de estos cambios significativos, la orden también destaca algunos requisitos menores, que incluyen:
- Facebook no puede usar números de teléfono para anuncios que los usuarios proporcionan para activar funciones de seguridad como la autenticación de dos factores en su plataforma.
- Según las nuevas reglas, Facebook también deberá obtener el consentimiento afirmativo de sus usuarios antes de utilizar la tecnología de reconocimiento facial para cualquier característica nueva.
- Luego del incidente de marzo de 2019 en el que Facebook almacenó por error contraseñas de texto sin formato para cientos de millones de sus usuarios y millones de usuarios de Instagram, la FTC ordenó a Facebook que encriptara las contraseñas de los usuarios y escaneara regularmente para detectar si alguna contraseña está almacenada en texto sin formato.
- En abril de este año, Facebook también fue sorprendido pidiendo a algunos usuarios recién registrados que proporcionaran a la empresa las contraseñas de sus cuentas de correo electrónico. Entonces, la orden ahora prohíbe que Facebook solicite contraseñas para otros servicios.
En una publicación de blog publicada hoy, Facebook dijo que está creando un nuevo programa de privacidad de conformidad con los últimos requisitos de la FTC que cambiará la forma en que Facebook maneja los datos de sus usuarios y ayudará a «reconstruir la confianza con las personas».
“Adoptaremos nuevos enfoques para documentar más a fondo las decisiones que tomamos y monitorear su impacto. E introduciremos más controles técnicos para automatizar mejor las salvaguardias de privacidad”, dice Facebook.
Además del acuerdo de la FTC, Facebook también resolvió una investigación en curso de la Comisión de Bolsa y Valores (SEC) por los cargos de hacer «divulgaciones engañosas» sobre el riesgo de abusar de los datos de los usuarios y acordó pagar una multa de $ 100 millones como parte del acuerdo. .
