O site de rede social Myspace prometeu aos usuários que não compartilharia suas informações de identificação pessoal de uma forma que fosse inconsistente com o motivo pelo qual as pessoas forneceram as informações, sem primeiro notificá-los e obter sua aprovação. A empresa também disse que as informações usadas para personalizar anúncios não identificariam pessoas para terceiros e que o MySpace não compartilharia atividades de navegação que não fossem anônimas. Mas de acordo com um ação judicial arquivado pela FTC, o Myspace fornecia aos anunciantes o “ID de amigo” dos usuários que visualizavam páginas específicas do site. Depois que os anunciantes tivessem o Friend ID, eles poderiam somar dois mais dois para acessar muitas outras informações pessoais – incluindo os nomes completos dos usuários. Isso significava que as promessas da empresa sobre aviso, permissão e dados anônimos eram falsas e enganosas. Para resolver as acusações da FTC, o Myspace concordou em mudar as suas práticas para proteger a privacidade dos utilizadores no futuro. Parte I da proposta ordem proíbe o MySpace de deturpar a privacidade e confidencialidade de qualquer “informação coberta”. O pedido define essa frase amplamente como informações de ou sobre um consumidor individual, incluindo, mas não se limitando a, nome e sobrenome; endereço residencial ou outro endereço físico, incluindo nome da rua e cidade; endereço de e-mail ou outras informações de contato on-line, como identificador de usuário de mensagens instantâneas ou nome de tela; número de celular ou outro número de telefone; fotos e vídeos; Endereço IP, ID do usuário, ID do dispositivo ou outro identificador persistente; lista de contatos; ou localização física. Essa disposição também torna ilegal para o Myspace deturpar sua adesão a qualquer programa de privacidade, segurança ou outro programa de conformidade. Isso inclui o Quadro Safe Harbor EUA-UE. (Além de violar as suas próprias promessas de privacidade, a alegação do MySpace de que cumpria os Princípios de Safe Harbor também era falsa, disse a FTC.) De acordo com a FTC. Parte II do pedido, o Myspace deve implementar um programa de privacidade abrangente projetado para lidar com os riscos de privacidade relacionados ao desenvolvimento e gerenciamento de produtos e serviços existentes e novos e para proteger a privacidade e confidencialidade das informações cobertas. O pedido especifica os recursos necessários do programa. Especificamente, o Myspace irá:
- designar o responsável pelo programa;
- identificar riscos materiais razoavelmente previsíveis — de dentro e de fora da empresa — que possam resultar na coleta ou divulgação não autorizada de informações cobertas;
- avaliar a suficiência das salvaguardas em vigor para controlar esses riscos;
- estabelecer e manter controles e procedimentos razoáveis para lidar com os riscos identificados através da avaliação de riscos de privacidade;
- testar regularmente a eficácia das salvaguardas;
- tomar medidas razoáveis para garantir que os prestadores de serviços protejam a privacidade das informações cobertas que obtêm do Myspace, incluindo a inclusão de disposições de privacidade nos seus contratos; e
- ajustar seu programa de privacidade à luz de testes, mudanças na forma como faz negócios e qualquer outra circunstância que o MySpace tenha motivos para saber que pode ter um impacto material na eficácia do programa.
Parte III implementa uma característica comum em ordens recentes da FTC: a exigência de que a cada dois anos, durante os próximos 20 anos, o MySpace tenha seu programa de privacidade avaliado por um profissional qualificado, objetivo e independente. Essa pessoa terá que certificar que o MySpace oferece proteções que atendem ou vão além das proteções exigidas pelo pedido. Próximo: O que o caso do MySpace significa para sua empresa
