É o FTC 101. As empresas não podem dizer aos consumidores que usarão suas informações pessoais para uma finalidade e depois as usarão para outra. Mas, de acordo com a FTC, esse é o tipo de isca digital que o Twitter aplica aos consumidores desavisados. O Twitter solicitou informações pessoais aos usuários com o propósito expresso de proteger suas contas, mas também as utilizou para veicular anúncios direcionados para benefício financeiro do Twitter. Não foi a primeira alegada violação da Lei FTC pelo Twitter, mas esta custará à empresa US$ 150 milhões em penalidades civis.
A história começa com a reclamação da FTC contra o Twitter em 2010. Nesse caso, o Twitter disse aos usuários que eles poderiam controlar quem tinha acesso aos seus tweets e que suas mensagens privadas poderiam ser visualizadas apenas pelos destinatários. Mas de acordo com a FTC, o Twitter não tinha salvaguardas razoáveis para garantir que as escolhas dos utilizadores fossem respeitadas. A reclamação de 2010 citou vários casos em que as ações – e omissões – do Twitter levaram ao acesso não autorizado às informações pessoais dos usuários. Para resolver esse caso, a empresa concordou com uma ordem que se tornou definitiva em 2011, que imporia penalidades financeiras substanciais caso deturpasse ainda mais “a medida em que (o Twitter) mantém e protege a segurança, privacidade, confidencialidade ou integridade de qualquer consumidor não público”. Informação.”
A recém-anunciada multa civil de US$ 150 milhões decorre de uma nova queixa apresentada pelo Departamento de Justiça em nome da FTC, alegando que o Twitter violou a ordem no caso anterior ao coletar informações pessoais dos clientes para o propósito declarado de segurança e depois explorar isso comercialmente. Você vai querer ler a reclamação para obter detalhes, mas veja como a FTC diz que o Twitter enganou seus clientes.
De maio de 2013 a setembro de 2019, o Twitter solicitou aos usuários que fornecessem seus números de telefone ou endereços de e-mail para fins de segurança, como para ativar a autenticação multifator. (A autenticação multifatorial é uma camada adicional de segurança que requer formas separadas de identificação para acessar uma conta – por exemplo, uma senha e um código enviado para o endereço de e-mail verificado de um usuário.) O Twitter também disse às pessoas que usaria seus dados pessoais para ajudar na recuperação de conta (por exemplo, se os usuários esquecerem suas senhas) ou para reativar o acesso total se o Twitter detectar atividades suspeitas na conta de uma pessoa. A FTC afirma que o Twitter induziu as pessoas a fornecerem os seus números de telefone e endereços de e-mail, alegando que o objetivo da empresa era, por exemplo, “proteger a sua conta”. O Twitter incentivou ainda os usuários a fornecer essas informações porque “uma camada extra de segurança ajuda a garantir que você, e somente você, possa acessar sua conta do Twitter”.
Mas, de acordo com a FTC, muito mais estava acontecendo nos bastidores. Na verdade, além de usar os números de telefone e endereços de e-mail das pessoas para os fins de proteção alegados pela empresa, o Twitter também usou as informações para veicular anúncios direcionados às pessoas – anúncios que enriqueceram o Twitter aos milhões.
Quão persuasivo foi o discurso de segurança do Twitter? Durante o período coberto pela reclamação, mais de 140 milhões de usuários forneceram ao Twitter seus endereços de e-mail ou números de telefone por motivos de segurança. Será que esse mesmo número de pessoas teria fornecido essas informações ao Twitter se soubessem de que outra forma o Twitter iria usá-las? Nós não pensamos assim. Se você se surpreende com a ironia de uma empresa que explora as preocupações de privacidade dos consumidores de uma forma que facilita novas invasões de conconsumidores privacidade, é uma ironia que a FTC não perdeu.
Além de impor uma multa civil de US$ 150 milhões por violação da ordem de 2011, a nova ordem acrescenta mais disposições para proteger os consumidores no futuro:
- O Twitter está proibido de usar números de telefone e endereços de e-mail coletados ilegalmente para veicular anúncios.
- O Twitter deve notificar os usuários sobre o uso indevido de números de telefone e endereços de e-mail, informá-los sobre a ação policial da FTC e explicar como eles podem desativar anúncios personalizados e revisar suas configurações de autenticação multifatorial.
- O Twitter deve fornecer opções de autenticação multifatorial que não exijam que as pessoas forneçam um número de telefone.
- Twitter deve implementar um programa de privacidade aprimorado e um programa reforçado de segurança da informação que inclui várias novas disposições enunciadas no pedido, obter avaliações de privacidade e segurança por um terceiro independente aprovado pela FTC e relatar incidentes de privacidade ou segurança à FTC no prazo de 30 dias.
O que outras empresas podem tirar das últimas ações contra o Twitter?
O que o texto oferece, uma política de privacidade ou uma declaração de responsabilidade enterrada não pode tirar. Os consumidores têm o direito de confiar no que você diz no momento em que solicita informações. Tentar retirar isso de uma declaração contraditória enterrada em outro lugar do seu site provavelmente não corrigirá uma deturpação.
Manter as informações dos clientes seguras é uma situação em que todos ganham. Os consumidores beneficiam quando as empresas tomam medidas adicionais para proteger os seus dados pessoais. Portanto, sejamos claros: a autenticação multifator pode ser uma maneira eficaz de fazer isso. Não desencoraje as pessoas de concordarem com a autenticação multifatorial, fazendo-as abrir mão de sua privacidade para usá-la.
A violação das ordens da FTC resultará em penalidades substanciais. A FTC leva a sério a aplicação da ordem e usará todos os meios legais para responsabilizar os reincidentes por futuras violações.
Procurando mais sobre o caso do Twitter? Leia o blog de tecnologia da FTC.
