Además de la multa multimillonaria, la compañía también ha aceptado un acuerdo de 20 años que lo obliga a implementar un nuevo marco organizativo diseñado para fortalecer sus prácticas y políticas de privacidad de datos.
El acuerdo requiere que Facebook realice algunos cambios estructurales importantes, como se explica a continuación, que harán que la empresa sea responsable de las decisiones que tome sobre la privacidad de los usuarios y la información que recopila sobre ellos.
«La orden requiere que Facebook reestructure su enfoque de la privacidad desde el nivel de la junta corporativa hacia abajo, y establece nuevos mecanismos sólidos para garantizar que los ejecutivos de Facebook sean responsables de las decisiones que tomen sobre la privacidad y que esas decisiones estén sujetas a una supervisión significativa», agregó. FTC dijo en un comunicado de prensa .
Según la FTC, Facebook ha usado repetidamente divulgaciones y configuraciones para socavar las preferencias de privacidad de sus usuarios en violación de su orden de 2012 de la FTC que requería que las redes sociales obtuvieran el consentimiento explícito de los usuarios para compartir sus datos personales.
El nuevo marco organizativo propuesto también cubrirá no solo la red masiva de redes sociales de Facebook, sino también los servicios propiedad de la compañía, incluidos WhatsApp e Instagram.
«Hemos acordado pagar una multa histórica, pero aún más importante, haremos algunos cambios estructurales importantes en la forma en que construimos los productos y dirigimos esta empresa», dijo el gerente general de Facebook, Mark Zuckerberg, en un comunicado .
«Como parte de este acuerdo, estamos poniendo nuestros controles de privacidad más en línea con nuestros controles financieros bajo la legislación de Sarbanes-Oxley. Nuestros ejecutivos, incluyéndome a mí, deberán certificar que todo el trabajo que supervisamos cumple con nuestros compromisos de privacidad. »
«La razón por la que los apoyo es porque creo que reducirán la cantidad de errores que cometemos y nos ayudarán a ofrecer protecciones de privacidad más sólidas para todos».
Nuevo programa de privacidad de Facebook
Los cambios importantes incluirán:
1. Comité de privacidad independiente : la compañía deberá configurar un comité de privacidad independiente de la junta directiva de Facebook, que será nombrado por un comité de nominación independiente.
Según la FTC, esta medida creará una mayor responsabilidad a nivel de la junta directiva, eliminando el control sin restricciones del CEO de Facebook, Mark Zuckerberg, sobre las decisiones que afectan la privacidad del usuario.
2. Funcionarios de cumplimiento : la compañía deberá designar a funcionarios de cumplimiento que trabajarán bajo el nuevo comité de privacidad independiente y cuyo trabajo será supervisar todo el programa de privacidad de Facebook. El CEO de Facebook o sus empleados no pueden controlar, nombrar o remover a los oficiales de cumplimiento.
Será obligatorio que los oficiales de cumplimiento presenten certificados de cumplimiento cada trimestre y año a la FTC, asegurando que la compañía esté ejecutando el programa de privacidad según lo exige el pedido.
Los oficiales de cumplimiento también deberán generar un informe de revisión de privacidad trimestral, que deben compartir con el CEO y el asesor independiente, así como con la FTC.
La FTC también advirtió que cualquier certificación falsa sometería a los oficiales de cumplimiento a sanciones civiles y penales individuales.
3. Fortalecimiento de la supervisión externa de Facebook : la orden también fortalece el rol de los asesores externos independientes que realizarán evaluaciones del programa de privacidad de Facebook cada dos años para identificar las brechas.
Los asesores independientes informarán directamente al nuevo comité de la junta de privacidad cada trimestre.
4. Revisiones de privacidad : la orden también obliga a la empresa a realizar una revisión exhaustiva de cada nuevo producto o servicio que desarrolla. Estas revisiones deben enviarse al director general de la compañía y a un asesor externo cada trimestre.
5. Incidente de seguridad de documentos : Facebook deberá documentar cualquier incidente que comprometa datos de 500 o más usuarios y sus esfuerzos para abordar dichos incidentes. Se requiere entregar esta documentación a la FTC y al asesor dentro de los 30 días posteriores al descubrimiento de la empresa del incidente.
6. Reglas estrictas para aplicaciones de terceros : después de una investigación de un año, FTC considera que las malas prácticas de privacidad de Facebook permitieron a la plataforma compartir la información personal de los usuarios con terceros aplicaciones sin su consentimiento explícito, y la compañía tomó medidas inadecuadas para hacer frente a cualquier incidente que viole la privacidad de los usuarios.
Para solucionar este problema, la FTC también le solicitó a Facebook que monitoree de cerca las aplicaciones de terceros y cómo utilizan los datos recopilados por los usuarios, sugiriéndole que cancele cualquier cuenta de desarrollador de aplicaciones que no cumpla con su política de privacidad o que no justifique su necesidad de datos del usuario.
Además de estos cambios significativos, el orden también destaca algunos requisitos menores, que incluyen:
- Facebook no puede usar los números de teléfono para los anuncios que los usuarios proporcionan para activar funciones de seguridad como la autenticación de dos factores en su plataforma.
- Bajo las nuevas reglas, también se requerirá que Facebook obtenga el consentimiento afirmativo de sus usuarios antes de usar la tecnología de reconocimiento facial para cualquier característica nueva.
- Después del incidente de marzo de 2019 en el que Facebook almacenó por error las contraseñas de texto sin formato para cientos de millones de usuarios y millones de usuarios de Instagram , la FTC ordenó a Facebook que cifrara las contraseñas de los usuarios y las escanea regularmente para detectar si alguna contraseña está almacenada en texto sin formato.
- En abril de este año, también sorprendieron a Facebook pidiéndole a algunos usuarios recién registrados que le proporcionen a la empresa las contraseñas de sus cuentas de correo electrónico. Por lo tanto, la orden ahora prohíbe a Facebook pedir contraseñas a otros servicios.
En una publicación de blog publicada hoy, Facebook dijo que está construyendo un nuevo programa de privacidad en cumplimiento de los últimos requisitos de la FTC que cambiará la forma en que Facebook maneja los datos de sus usuarios y es útil para «reconstruir la confianza con la gente».
«Adoptaremos nuevos enfoques para documentar más detalladamente las decisiones que tomamos y monitorearemos su impacto. E introduciremos más controles técnicos para automatizar mejor las garantías de privacidad», dice Facebook.
Además del acuerdo de la FTC, Facebook también resolvió una investigación en curso por parte de la Comisión de Bolsa y Valores (SEC) sobre los cargos de hacer «revelaciones engañosas» con respecto al riesgo de abusar de los datos de los usuarios y acordó pagar una multa de $ 100 millones como parte del acuerdo.
Fuente: thehackernews.com