Facebook, Inc. pagará la penalidad récord de $5 mil millones, y se someterá a nuevas restricciones y a una estructura corporativa modificada que rendirá a la compañía responsable por las decisiones que hace con respecto a la privacidad de sus usuarios, para resolver cargos de la Comisión Federal de Comercio que la compañía violó una orden impuesta por la FTC en el 2012 al engañar a sus usuarios sobre su habilidad de controlar la privacidad de sus datos personales.
La penalidad de $5 mil millones contra Facebook es la penalidad más alta jamás impuesta contra una compañía por violar la privacidad de los consumidores y 20 veces mayor que la penalidad más grande impuesta por privacidad o seguridad de datos a nivel mundial. Es una de las penalidades más grandes impuestas por el gobierno de los Estados Unidos.
La orden del acuerdo anunciado hoy también impone nuevas restricciones sin precedente sobre las operaciones comerciales de Facebook y crea múltiples vías de cumplimiento. La orden requiere que Facebook restructure su estrategia de privacidad desde el nivel de junta corporativa hasta abajo y establece mecanismos nuevos fuertes para asegurar que los ejecutivos de Facebook sean responsables por las decisiones que tomen sobre privacidad, y que esas decisiones tengan la vigilancia que merecen.
“Aún luego de hacer repetidas promesas a sus miles de millones de usuarios en el mundo entero de que ellos mismos podían controlar la información personal que comparten, Facebook no respetó los deseos de los consumidores,” dijo Joe Simons, Chairman de la FTC. “La magnitud de esta penalidad de $5 mil millones y el remedio de conducta no tienen precedentes en la historia de la FTC. El remedio está diseñado no sólo para sancionar violaciones futuras, pero, principalmente, para cambiar la cultura completa de privacidad en Facebook y así reducir la probabilidad de que las violaciones continúen. Para la Comisión la privacidad de los consumidores es seriamente importante, y hará cumplir las órdenes que impone la FTC hasta el máximo alcance de la ley”.
Más de 185 millones de personas en los Estados Unidos y Canadá usan Facebook diariamente. Facebook monetiza la información de los usuarios al usar su información para anuncios dirigidos, lo cual generó la mayoría de los $55 mil ochocientos millones en ganancias que tuvo la compañía en el 2018. Para exhortar a los usuarios a compartir su información en la plataforma, Facebook les promete a los usuarios que ellos pueden controlar la privacidad de su información a través de los controles de privacidad de Facebook.
Luego de una investigación de la FTC de un año, el Departamento de Justicia va a radicar una demanda de parte de la Comisión alegando que Facebook repetidamente divulgó términos y configuraciones engañosas para desautorizar las preferencias de privacidad de los usuarios en violación a una orden del 2012 con la Comisión. Estas tácticas le permitieron a la compañía compartir la información personal de sus usuarios con aplicaciones de terceros que eran descargadas por los “amigos” de los usuarios en Facebook. La FTC alega que muchos usuarios no sabían que Facebook estaba compartiendo esa información y por lo tanto no tomaron los pasos necesarios para optar por no compartir.
La FTC alega además que Facebook no tomó los pasos adecuados para bregar con las aplicaciones que la compañía sabía estaban violando las políticas de la plataforma.
En un acontecimiento relacionado pero separado, la FTC anunció hoy una acción separada de cumplimiento de ley contra la compañía de analítica Cambridge Analytica, su antiguo Director Ejecutivo Alexander Nix, y Aleksandr Kogan, el desarrollador de aplicación quien trabajó con la compañía, alegando que usaron tácticas engañosas y falsas para recopilar información personal de millones de usuarios de Facebook. Kogan and Nix han llegado a un acuerdo con la FTC que restringirá cómo pueden conducir cualquier empresa en el futuro.
Requisitos de la Nueva Orden con Facebook
Para prevenir que Facebook engañe en el futuro a sus usuarios en cuando a la privacidad, la nueva orden de la FTC, la cual durará 20 años, cambia totalmente la manera en que la compañía toma decisiones de privacidad aumentando la trasparencia al tomar decisiones y haciendo a Facebook responsable.
La orden crea más responsabilidad a nivel de junta de directores. Establece un comité de privacidad independiente en la junta de directores de Facebook, removiendo así el libre control de Mark Zuckerberg, CEO de Facebook, sobre decisiones que afectan la privacidad de los usuarios. Los miembros del comité de privacidad tendrán que ser partes independientes y serán nombrados por un comité nominatario independiente. Los miembros podrán ser despedidos solamente por una súper mayoría de la junta de directores de Facebook.
La orden también mejora la responsabilidad a nivel individual. Facebook tendrá que designar a oficiales de cumplimiento quienes serán responsables por el programa de privacidad de Facebook. Estos oficiales de cumplimiento están sujetos a la aprobación del nuevo comité de privacidad y sólo podrán ser removidos por el comité —no por el CEO de Facebook o empleados de Facebook. El CEO de Facebook, Mark Zuckerberg, y los oficiales de cumplimiento designados tendrán que someter a la FTC certificaciones independientes trimestralmente de que la compañía está en cumplimiento con el programa de privacidad que manda la orden, además de una certificación anual de que la compañía está en cumplimiento con la orden. Serán sujetos a cargos criminales y civiles si mienten en alguna certificación.
La orden también fortalece la vigilancia externa de Facebook. La orden realza la habilidad de una tercera parte, el asesor independiente, a evaluar la efectividad del programa de privacidad e identificar cualquier laguna. La evaluación de cada dos años del asesor del programa de privacidad de Facebook tendrá que ser basada en los hechos que recopile el asesor independiente, las muestras, y los exámenes, y no podrá depender principalmente en las afirmaciones y declaraciones de la gerencia de Facebook. La orden prohíbe que la compañía haga representaciones falsas al asesor, quien podrá ser aprobado o removido por el FTC. De notar, el asesor independiente tendrá que reportar directamente al nuevo comité de privacidad trimestralmente. La orden también autoriza a la FTC a usar las herramientas de descubrimiento de las Reglas Federales de Procedimiento Civil para monitorear el cumplimiento de Facebook con la orden.
Como parte del programa de privacidad mandado por la orden, el cual cubre a WhatsApp y a Instagram, Facebook tendrá que conducir una revisión de privacidad de cada producto nuevo o modificado, servicio, o práctica antes de ser implementado, tiene que documentar todas sus decisiones sobre la privacidad de los usuarios. Los oficiales de cumplimiento designados tienen que generar un informe de revisión trimestral, el cual tendrá que ser compartido con el CEO y con el asesor independiente, así como con la FTC si la agencia lo solicita. La orden también requiere que Facebook documente incidentes de seguridad cuando la data de 500 o más usuarios haya sido comprometida y cuáles son sus esfuerzos para tratar ese incidente, y tiene de darle esa documentación a la FTC y al asesor independiente dentro de 30 días de la compañía haber descubierto el incidente.
Además, la orden impone nuevos requisitos de privacidad significativos, incluyendo lo siguiente:
- Facebook tiene que ejercer mayor vigilancia sobre las aplicaciones de terceros, incluyendo despachar a los desarrolladores de aplicaciones que no certifiquen que han cumplido con las políticas de la plataforma o justifican tener necesidad específica para la data de los usuarios;
- Facebook no puede usar números de teléfono obtenidos cuando los usuarios activan las herramientas de seguridad (i.e. la autenticación de dos factores) para anuncios;
- Facebook tiene que proveer notificación clara y conspicua de cómo utiliza la tecnología facial, y obtener consentimiento afirmativo expreso del usuario antes de cualquier uso que materialmente exceda la notificación antes divulgada a los usuarios;
- Facebook tiene que establecer, implementar, y mantener un programa de seguridad comprensivo;
- Facebook tiene que encriptar las contraseñas de los usuarios y regularmente escanear para detectar si algunas contraseñas han sido guardadas en texto sin formato; y
- Facebook no puede pedirles a otros servicios la contraseñas para email cuando un consumidor se inscribe para recibir ese servicio.
Alegadas Violaciones de la Orden del 2012
El acuerdo anunciado hoy surge de alegadas violaciones a una orden de acuerdo de la FTC con Facebook del 2012. Entre otras cosas, la orden del 2012 le prohibía a Facebook hacer declaraciones engañosas sobre la privacidad o seguridad de la información personal de los consumidores, y cuánto podía compartir la información personal, como nombres y fechas de nacimiento, con terceras partes. También requería que Facebook mantuviera un programa de privacidad razonable que salvaguardara la privacidad y confidencialidad de la información del usuario.
La FTC alega que Facebook violó la orden del 2012 al engañar a sus usuarios cuando la compañía compartió la data de los amigos en Facebook de usuarios con desarrolladores de aplicaciones de terceros, aunque esos amigos tuvieran configuraciones de seguridad más restrictivas.
En mayo del 2012, Facebook puso una notificación en su página central de configuraciones de privacidad informando que la información compartida con amigos de los usuarios también podría ser compartida con las aplicaciones usadas por esos amigos. La FTC alega que cuatro meses luego de finalizar la orden del 2012 en agosto del 2012, Facebook removió esa notificación de su página central de configuraciones de privacidad, aún cuando todavía estaba compartiendo data de los amigos de usuarios con las aplicaciones de terceros.
Además, Facebook lanzó varios servicios tales como “Privacy Shortcuts” a finales del 2012 y “Privacy Checkup” en 2014 que declaraban ayudar a usuarios a manejar su configuración de privacidad. Estos servicios, sin embargo, presuntamente no divulgaron que, aunque los usuarios eligieran la configuración más restrictiva, Facebook podría compartir la información del usuario con las aplicaciones de los amigos del usuario en Facebook —a menos que ellos no fueran a la página de configuración de la aplicación y optaran por no compartir. La FTC alega que la compañía no divulgó en ninguna parte de la página de configuración de privacidad o la sección de “Acerca de” en la página de perfil que Facebook podía compartir información con terceros en la plataforma de Facebook si sus amigos usaban esa aplicación.
Facebook anunció en abril del 2014 que dejaría de permitir que terceros recolectaran data de los amigos de los usuarios que usaban sus aplicaciones (“data de los amigos afectados”). Aún haciendo esa promesa, la compañía separadamente les dijo a los desarrolladores de aplicaciones que ellos podían recolectar esa data hasta abril del 2015 si ya tenían una aplicación existente en la plataforma. La FTC alega que Facebook espero hasta por lo menos junio de 2018 para dejar de compartir la información de los usuarios con aplicaciones de terceros usadas por sus amigos.
También, la demanda alega que Facebook no vigiló propiamente a los desarrolladores de aplicaciones en su plataforma. La FTC alega que, como práctica general, Facebook no monitoreó los desarrolladores de aplicaciones antes de darle acceso a una cantidad vasta de data de los usuarios. Facebook presuntamente sólo les requirió a los desarrolladores de aplicaciones a estar de acuerdo con la política y términos de Facebook al registrar sus aplicaciones en la plataforma de Facebook. La compañía dice que confió en administrar consecuencias por violaciones a su política que le llegaban a su atención después de que los desarrolladores de aplicaciones ya hubieran obtenido la data de los usuarios. La demanda alega, sin embargo, que Facebook no hizo cumplir esas políticas consistentemente, y que a menudo los cumplimientos de las políticas dependían de si Facebook se beneficiaba financieramente de los arreglos con el desarrollador, y que esa práctica violó el requisito de mantener un programa de privacidad razonable que exige la orden del 2012.
La FTC también alega que Facebook representó falsamente la habilidad de los usuarios de controlar el uso de la tecnología de reconocimiento facial en sus cuentas. De acuerdo a la demanda, la política de data de Facebook, la cual fue actualizada en abril del 2018, engañó a millones de usuarios que tenían la configuración de reconocimiento facial llamada “Tag Suggestions” porque esa configuración estaba activada desde la base, y la política de data actualizada sugería que los usuarios tendrían que optar ellos mismos por tener la tecnología de reconocimiento facial para ésta ser activada en sus cuentas.
Además de estas violaciones de la orden del 2012, la demanda alega que Facebook violó la ley de la FTC contra prácticas engañosas cuando le dijo a sus usuarios que usaría los números de teléfonos que suministraban para activar herramientas de seguridad, pero no les dijo que le usaría esos números para propósitos de publicidad.
El voto de la Comisión para referir la demanda y la orden final estipulada al Departamento de Justica para radicarse fue de 3-2. El Departamento radicará la demanda y la orden estipulada en la Corte de Federal de Distrito para el Distrito de Columbia. Simons, Chairman de la Comisión junto con los Comisionados Noah Joshua Phillips y Christine S. Wilson sometieron una declaración sobre este asunto. Los Comisionados Rohit Chopra y Rebecca Kelly Slaughter sometieron declaraciones separadas sobre este asunto.
NOTA: La Comisión presenta una demanda cuando existe una “razón para creer” que los demandados mencionados en la demanda están infringiendo la ley o están a punto de infringirla y cuando la Comisión considera que el procedimiento es de interés público. Las órdenes acordadas de carácter final adquieren fuerza de ley cuando son aprobadas y firmadas por el juez de la Corte de Distrito.
La Comisión Federal de Comercio trabaja para promover la competencia y proteger y educar a los consumidores. Usted puede aprender más sobre los temas de interés de los consumidores y presentar una queja de consumidor en internet o llamando al 1-877-FTC-HELP (382-4357). Haga clic en la opción “me gusta” la FTC en Facebook, “síganos” en Twitter en @LaFTC, lea los artículos de nuestro blog y suscríbase a los comunicados de prensa para acceder a las noticias y recursos más recientes.
Información de Contacto
CONTACTO CON LOS MEDIOS:
Juliana Gruenwald Henderson
Office of Public Affairs
202-326-2924
Peter Kaplan
Office of Public Affairs
202-326-2334
CONTACTO CON STAFF:
James Kohm
Bureau of Consumer Protection
202-326-2640