Twitter, la FTC y las prácticas engañosas, nueva normativa

El 25 de mayo de 2022, la Comisión Federal de Comercio de EE.UU. (FTC, por sus siglas en inglés) impuso a la empresa de comunicaciones y redes sociales Twitter una multa de 150 millones de dólares en concepto de sanciones civiles por “infracciones del artículo 5(a) de la Ley de la Comisión Federal de Comercio de 1914 (“Ley de la FTC”) y de una orden de 2011 emitida previamente por la FTC, por el uso engañoso de datos de seguridad de cuentas para publicidad dirigida”. En virtud de la Ley de la FTC, las empresas y organizaciones de Estados Unidos tienen prohibido vender productos o servicios, u obtener información personal de los consumidores mediante el uso de prácticas engañosas, desleales o ilegales. Hasta este punto, las empresas que incumplen la ley están sujetas a numerosas sanciones.

¿Qué hizo Twitter para infringir la ley?

Las infracciones que se impusieron a Twitter en mayo de 2012 tienen su origen en una serie de demandas que la FTC interpuso contra la empresa desde 2010. En 2010, la FTC alegó que Twitter no protegía eficazmente la información personal de los distintos usuarios de su sitio, ya que los piratas informáticos habían podido hacerse con el control administrativo no autorizado de la plataforma de medios sociales. A su vez, estos piratas informáticos pudieron acceder a cuentas e información no públicas de los usuarios, así como a tuits que habían sido designados como privados. Es más, los piratas informáticos también llegaron a enviar tuits falsos de usuarios legítimos, incluido el entonces presidente Barack Obama, así como la importante cadena de noticias estadounidense Fox News, entre otros.

Para lograr todo esto, la FTC afirmó que los hackers en cuestión utilizaron un diccionario débil y extremadamente común en minúsculas, que no contenía ni mayúsculas ni caracteres especiales, dos características básicas de las contraseñas seguras. Según la FTC, estos piratas informáticos pudieron acceder tan fácilmente a la red social debido a varios fallos de la empresa en lo que respecta a la protección de la información y los datos de sus usuarios. En particular, la FTC alegó que Twitter había engañado a sus usuarios sobre los pasos y medidas que la empresa había tomado para proteger sus datos. Al final, la empresa de redes sociales llegó a un acuerdo con la FTC, que incluía el establecimiento obligatorio de un programa integral de seguridad de la información, entre otras disposiciones.

A pesar de ello, la FTC ha informado de que Twitter incumplió las estipulaciones establecidas en su acuerdo de 2011 con la FTC, ya que la empresa acumuló una letanía de nuevas infracciones entre 2013 y 2019. Durante este período de tiempo, la FTC alega que la empresa solicitó una amplia gama de información personal de sus usuarios, incluidos números de teléfono y direcciones de correo electrónico, con el pretexto de proporcionar a dichos usuarios autenticación de dos factores para proteger mejor sus cuentas. Sin embargo, la FTC afirma que esta información se utilizó en su lugar con el fin de realizar publicidad dirigida, una clara violación de la Ley FTC. Estos anuncios dirigidos supusieron millones de dólares en ingresos para la empresa.

¿Cuáles son las disposiciones del nuevo acuerdo de Twitter con la FTC?

Además de pagar 0 millones en sanciones civiles por violar la Ley de la FTC, la empresa de medios sociales también está obligada a aplicar una serie de procedimientos destinados a garantizar que la información de sus usuarios permanezca protegida contra el acceso o la divulgación no autorizados. Estas disposiciones incluyen:

• Se prohíbe a Twitter utilizar la información que recopiló ilegalmente entre 2013 y 2019 con el fin de realizar nuevas campañas de publicidad dirigida.
• Se exige a Twitter que notifique a todos sus usuarios las medidas de aplicación de la ley impuestas por la FTC, que proporcione detalles sobre cómo el uso indebido de números de teléfono y direcciones de correo electrónico por parte de la empresa condujo a tal decisión, y que describa la forma en que sus usuarios pueden desactivar la publicidad personalizada, así como revisar su configuración de autenticación multifactor.
• Twitter debe proporcionar a sus usuarios configuraciones de autenticación multifactor que no requieran que dichos usuarios proporcionen sus números de teléfono.
• Twitter debe implantar un nuevo programa mejorado de privacidad y seguridad de la información, junto con los requisitos establecidos por la FTC, así como informar de cualquier nuevo incidente de privacidad o seguridad a la FTC en un plazo de 30 días desde que se produzca.

Mientras que muchos consumidores estadounidenses pueden ver la privacidad en el contexto de piratas informáticos individuales o malos actores que buscan robar su información personal, el aumento del acceso a Internet y la comunicación en los últimos 20 años ha alterado completamente el panorama de la privacidad y la protección de datos. Como tales, los consumidores también deben estar atentos a las formas de información personal que envían cuando utilizan los principales sitios web y aplicaciones en línea como Twitter, ya que esta información también puede utilizarse con fines nefastos. Dicho esto, las diversas infracciones que se han cometido contra Twitter en nombre de la FTC muestran los peligros potenciales que pueden producirse cuando las grandes empresas no están reguladas en lo que respecta a su recogida de información personal.