Twitter tendrá que pagar una multa de 150 millones de dólares para resolver una demanda interpuesta por la Comisión Federal de Comercio (FTC) y el Departamento de Justicia estadounidenses por haber facilitado datos privados de sus usuarios a anunciantes de la red social.
Estas dos instituciones acusaron a la red social de haber recopilado información de sus usuarios, como números telefónicos y direcciones de correo electrónico, y permitir a los anunciantes utilizarla para monetizar sus servicios.
“Twitter solicitó información personal a los usuarios con el propósito expreso de proteger sus cuentas, pero también la utilizó después para publicar anuncios dirigidos y obtener un beneficio financiero”, se puede leer en un comunicado publicado por la FTC.
El origen de esta denuncia se sitúa en 2010, cuando la FTC interpuso una demanda contra Twitter por no garantizar a los usuarios la privacidad de sus datos.
Entonces, la compañía prometió a sus usuarios que solo ellos podían controlar quién tenía acceso a sus publicaciones y que solo los destinatarios finales de los mensajes privados podían acceder a la información transmitida a través de este medio.
Sin embargo, Twitter no tenía la potestad para garantizar el cumplimiento de esta privacidad, ya que la FTC expuso una serie de casos en los que la red social había accedido a la información personal de los usuarios sin su consentimiento.
Para solucionar este problema, Twitter accedió a cumplir una orden impuesta por esta comisión, que se oficializó en 2011, en la que se determinaba que la FTC impondría multas financieras sustanciales si manipulaba de nuevo las medidas destinadas a la protección de la seguridad de los usuarios.
En la nueva demanda, en la que se condena a Twitter al pago de una multa de 150 millones de dólares, el Departamento de Justicia, en nombre de la FTC, alega que la red social violó la orden impuesta en el caso anterior al recopilar información personal con el propósito declarado de seguridad para explotarla comercialmente después.
En esta denuncia, ambos organismos determinan que desde mayo de 2013 hasta septiembre de 2019 Twitter solicitó a sus usuarios los números de teléfono así como las direcciones de correo electrónico por supuestos motivos de seguridad.
Estos datos suelen ser los requeridos en los sistemas de autenticación en dos pasos, o de dos factores, una de las medidas de protección más populares para evitar que las credenciales queden expuestas a merced de los cibercriminales, sobre todo en ataques de ‘phishing’.
Entonces, la red social aseguró a los usuarios que utilizaría sus datos personales para ayudarlos recuperar su cuenta en el caso de haber perdido su contraseña o de haberse detectado una actividad sospechosa en ella, como un intento de acceso no autorizado.
Sin embargo, a pesar de haber recopilado estos datos para dichos fines, Twitter los habría utilizado para mostrar anuncios personalizados a estos usuarios, una actividad que habría beneficiado económicamente a la red social, según esta denuncia.
El texto indica que más de 140 millones de usuarios ofrecieron su información a Twitter durante dicho período de tiempo, que habrían ofrecido sus teléfonos y direcciones de correo como sistemas de autenticación en dos pasos.
Además de imponer una sanción civil de 150 millones de dólares por violar la orden establecida en 2011, la FTC integró una serie de disposiciones en su nueva orden para proteger a los usuarios en el futuro.
Así, ha señalado que Twitter tiene prohibido utilizar los números de teléfono y las direcciones de correo electrónico que recopiló ilegalmente durante esos años para publicar anuncios.
Por otra parte, la red social deberá notificar a todos los miembros de su comunidad que indebidamente estos datos, informarles de que ha recibido una sanción por parte de estas instituciones, y explicarles cómo pueden desactivar los anuncios personalizados.
Asimismo, deberá proporcionar opciones de autenticación de múltiples factores que no requieran que los usuarios proporcionen un número de teléfono.
Finalmente, el comunicado puntualiza que Twitter está en la obligación de implementar un programa de privacidad mejorado y un programa de seguridad de la información reforzado.
Este deberá incluir varias disposiciones nuevas detalladas en la nueva orden, que sustituye a la de 2011, así como obtener evaluaciones de privacidad y seguridad por parte de un tercero independiente y probado por la FTC e informar de los posibles incidentes en un plazo máximo de 30 días.