La Comisión Federal de Comercio ha multado a Twitter con 150 millones de dólares por usar números de teléfono y direcciones de correo electrónico recopilados para habilitar la autenticación de dos factores para publicidad dirigida.
Según documentos judiciales [ PDF ], Twitter solicitó esta información a más de 140 millones de usuarios para proteger sus cuentas a partir de 2013, pero no les informó que los datos también se usarían para permitir que los anunciantes los orientaran con anuncios.
Esta es una violación directa de la Ley de la FTC y una orden administrativa de la Comisión de 2011 que prohibía a la empresa tergiversar sus prácticas de seguridad y privacidad y beneficiarse de los datos recopilados de manera engañosa.
La orden se emitió luego de un acuerdo por no salvaguardar la información personal de sus usuarios después de que los piratas informáticos obtuvieran el control administrativo de Twitter entre enero y mayo de 2009.
«Como señala la denuncia, Twitter obtuvo datos de los usuarios con el pretexto de aprovecharlos con fines de seguridad, pero luego terminó usando los datos para orientar a los usuarios con anuncios. Esta práctica afectó a más de 140 millones de usuarios de Twitter, al tiempo que impulsó la principal fuente de Twitter de ingresos», dijo la presidenta de la FTC, Lina M. Khan.
«La sanción de 150 millones de dólares refleja la gravedad de las acusaciones contra Twitter, y las nuevas medidas sustanciales de cumplimiento que se impondrán como resultado del acuerdo propuesto hoy ayudarán a evitar más tácticas engañosas que amenacen la privacidad de los usuarios», agregó la fiscal federal Stephanie M. Hinds. .
Las disposiciones adicionales de la orden propuesta por la FTC también:
- prohibir que Twitter se beneficie de los datos recopilados de manera engañosa;
- permitir que los usuarios utilicen otros métodos de autenticación de múltiples factores, como aplicaciones de autenticación móvil o claves de seguridad que no requieren que los usuarios proporcionen sus números de teléfono;
- notificar a los usuarios que hizo mal uso de los números de teléfono y las direcciones de correo electrónico recopilados para la seguridad de la cuenta para dirigirles anuncios y brindarles información sobre los controles de privacidad y seguridad de Twitter;
- implementar y mantener un programa integral de privacidad y seguridad de la información que requiera que la empresa, entre otras cosas, examine y aborde los posibles riesgos de privacidad y seguridad de los nuevos productos;
- limitar el acceso de los empleados a los datos personales de los usuarios; y
- notificar a la FTC si la empresa experimenta una violación de datos.
Twitter acordó resolver las acusaciones de la FTC pagando una multa civil de $150 millones e implementando nuevas medidas de cumplimiento significativas para mejorar sus prácticas de privacidad de datos después de que un tribunal federal apruebe el acuerdo.
Mantener los datos seguros y respetar la privacidad es algo que nos tomamos muy en serio y hemos cooperado con la FTC en cada paso del camino. Al llegar a este acuerdo, hemos pagado una multa de $150 millones de dólares y nos hemos alineado con la agencia en las actualizaciones operativas y las mejoras del programa para garantizar que los datos personales de las personas permanezcan seguros y su privacidad protegida. — Damien Kieran, director de privacidad de Twitter
En octubre de 2019, Twitter se disculpó por usar los números de teléfono y las direcciones de correo electrónico proporcionados para la seguridad de la cuenta, como la autenticación de dos factores para la publicidad, y dijo que «pueden haberse usado accidentalmente para la orientación de anuncios».
«Recientemente descubrimos que cuando proporcionó una dirección de correo electrónico o un número de teléfono por motivos de seguridad (por ejemplo, autenticación de dos factores), estos datos pueden haberse utilizado sin darse cuenta con fines publicitarios, específicamente en nuestro sistema de publicidad Audiencias personalizadas y Audiencias de socios, «, dijo la compañía en ese momento.
Audiencias personalizadas de Twitter es un producto publicitario que permite a los anunciantes enviar anuncios dirigidos a clientes en sus listas de marketing en función de información como direcciones de correo electrónico y números de teléfono.
El sistema de publicidad Partner Audiences permite a los anunciantes dirigirse a los usuarios de las listas proporcionadas por sus socios externos.
Twitter se disculpó por este error y dijo que tomaría medidas para garantizar que no vuelva a ocurrir un error similar.
Algo muy similar sucedió en 2018 cuando Facebook creó perfiles publicitarios complejos para todos sus usuarios con todo, desde sus números de teléfono 2FA hasta información recopilada de los perfiles de sus amigos.
Posteriormente, Facebook usó los números de teléfono 2FA de los usuarios como un vector adicional para ofrecer anuncios dirigidos.
