Nu, Facebook nu a primit o amendă de 5 miliarde de dolari în scandalul Cambridge Analytica
9 minute • Ana-Maria Udriste • 25 iulie 2019
Presa a scris că Facebook a primit o amendă din partea FTC de 5 miliarde dolari. Doar că nu este o amendă.
Facebook și FTC (Federal Trade Comission) au ajuns la o înțelegere cu privire la investigația derulată de FTC în scandalul Cambridge Analytica. Amenda se aplică unilateral. Înțelegerea/tranzacționarea implică, ei bine, două părți semnatare.
Facebook și cele 5 miliarde de dolari în scandalul Cambridge Analytica
Presa a vuit despre faptul că Facebook a primit o amendă de 5 miliarde de dolari pentru încălcarea confidențialității și nerespectarea protejării datelor cu caracter personal în scandalul Cambridge Analytica.
Doar că nu este o amendă, ci este o propunere de tranzacționare între cele două părți (Federal Trade Commission pe de o parte și Facebook, pe de altă parte) prin care Facebook a adus la cunoștința FTC că vor să facă o înțelegere pentru a închide investigația contra sumei de 5 miliarde de dolari.
Potrivit Wall Street Journal, FTC a votat săptămâna aceasta să aprobe o înțelegere de 5 miliarde de dolari, care a ajuns pe masa discuțiilor la divizia civilă a Departamentului Justiției pentru revizuire. Revizuirea a durat câteva zile și iată că FTC a venit și cu răspunsul mult așteptat: da, Facebook va încheia o înțelegere în urma căreia plătește 5 miliarde de dolari (oare o vor face prin transfer bancar?)
Pe lângă cele 5 miliarde de dolari, în urma propunerii a rezultat și o serie de alte obligații în sarcina Facebook, despre care vom scrie mai jos.
Ce a fost scandalul Cambridge Analytica?
Scandalul privind datele personale Facebook – Cambridge Analytica a fost un scandal politic major la începutul anului 2018, când s-a arătat că Cambridge Analytica a colectat și folosit datele personale ale profilurilor Facebook ale unor câteva milioane bune de oameni fără consimțământul lor și le-a folosit în scopuri de publicitate (campanie) politică.
Dar nici votul nu a fost chiar … ferm
Interesant este că votul pentru aprobarea acestei tranzacții s-a luat destul de strâns: 3-2. Ne-am fi așteptat ca în cazul unui eveniment de o asemenea amploare să fie un 4-1, dacă 5-0 nu pare chiar foarte rezonabil. Cu toate acestea, „verdictul” rămâne clar: Facebook trebuie să plătească 5 miliarde de dolari. Cea mai mare sancțiune aplicată vreodată, ceea ce face ca sancțiunile în cazul Google (50 milioane euro) și Equifax (700 milioane dolari) par să fie o joacă de copii.
FTC constată că sancțiunea împotriva Facebook este cea mai mare impusă oricărei companii pentru încălcarea confidențialității consumatorilor, precum și faptul că este “de aproape 20 de ori mai mare decât cea mai mare sancțiune privată sau de securitate a datelor impusă vreodată în întreaga lume“.
Sancțiunea este de aproape 20 de ori mai mare decât cea mai mare sancțiune privată sau de securitate a datelor impusă vreodată în întreaga lume.
FTC
În plus față de bani, Facebook va fi nevoită să facă și câteva alte chestii suplimentare: (a) va trebui să creeze un comitet de consiliu privind confidențialitatea și (b) trebuie să ofere asigurări executive că datele utilizatorilor sunt respectate (să o vedem și pe asta, în condițiile în care Facebook a recunoscut că salvează parolele în format text).
Ce obligații are Facebook (pe lângă ditamai suma de bani)?
1. Stabilirea unui comitet independent pentru confidențialitate și protecția datelor, separat de consiliului director (board of directors)
Astfel se înlătură imixtiunea lui Mark Z. în chestiunile și problemele care țin de viața privată a utilizatorilor.
Membrii acestui comitet sunt independenți și vor fi numiți de un alt comitet independent, a cărui sarcina va fi să îi numească pe acești independenți. Inception much?
2. Facebook va trebui să aibă ofițeri de conformitate
Well, like how about that. Really?
Facebook va fi obligat să desemneze ofițeri de conformitate care vor fi responsabili pentru programul de confidențialitate Facebook (sperăm că nu vor avea diplomele luate pe la vreun curs online care te certifică din spatele monitorului).
Acești ofițeri de conformitate vor fi supuși aprobării noului comitet de confidențialitate al consiliului și pot fi schimbați numai de comitetul respectiv – nu de CEO-ul Facebook sau de angajații Facebook. CEO-ul Facebook Mark Zuckerberg și ofițerii de conformitate desemnați trebuie să depună în mod independent la raportările trimestriale privind certificarea ale FTC că societatea respectă programul de confidențialitate stabilit prin ordin, precum și să depună o certificare anuală conform căreia compania respectă în totalitate instrucțiunile. Orice certificare falsă le va supune sancțiunilor civile și penale individuale (nu că ar mai conta).
3. Facebook se va supune și evaluării din exterior
Ordinul consolidează și supravegherea externă a Facebook. Astfel, ordinul sporește capacitatea evaluatorului independent de a evalua eficacitatea programului de confidențialitate Facebook și de a putea identifica eventualele lacune.
Evaluările bianuale ale evaluatorului programului de confidențialitate Facebook trebuie să se bazeze pe colectarea, prelevarea de probe și testarea independentă a evaluatorului și nu trebuie să se bazeze în primul rând pe afirmații sau atestări ale managementului Facebook (știți voi, exact ca atunci când femeile vorbesc și bărbații le ignoră într-un mod pe care îl admir).
Ordinul interzice societății să facă declarații false față de evaluatorului, care pot fi aprobat sau eliminat de către FTC. Este important faptul că evaluatorul independent va trebui să raporteze trimestrial direct noului comitet pentru confidențialitate. De asemenea, ordinul autorizează FTC să utilizeze instrumentele de descoperire prevăzute de Regulile federale de procedură civilă pentru a monitoriza respectarea de către Facebook a ordinului (un fel de hoțul neprins e negustor cinstit).
4. Facebook chiar va trebui să facă o DPIA
Ca parte a programului de protecție a confidențialității Facebook, care acoperă WhatsApp și Instagram, Facebook trebuie să efectueze o revizuire a confidențialității fiecărui produs, serviciu sau practică nouă sau modificată înainte de a fi implementată și să documenteze deciziile sale privind confidențialitatea utilizatorilor.
Nu garantăm că este la fel de bună ca cea folosită de Facebook, dar la nevoie poți să folosești DPIA-ul nostru. Când vom pune mâna pe cea de la Facebook, îi vom face un update.
5. Incidentele de date cu mai mulți de 500 utilizatori afectați trebuie documentate
Ceea ce este complet și incredibil de amuzant.
Vedeți la ce este un GDPR? Pentru că:
Operatorul păstrează documente referitoare la toate cazurile de încălcare a securității datelor cu caracter personal, care cuprind o descriere a situației de fapt în care a avut loc încălcarea securității datelor cu caracter personal, a efectelor acesteia și a măsurilor de remediere întreprinse. Această documentație permite autorității de supraveghere să verifice conformitatea cu prezentul articol.
Pentru că nu face distincție în ceea ce privește documentarea despre numărul de persoane afectate. Ai avut o încălcare? A fost afectată jumătate de persoană? DO-CU-MEN-TEZI. La concernul Facebook se aplică la mai mult de 500. Pai e corect?
Oricum, dacă ești aici, aruncă un ochi și pe articolul nostru privind breșele de securitate. Și pentru că ți-am atras atenția, avem și un pachet bine pus la punct pentru breșe de la care să pornești conformarea (că tu trebuie să documentezi și la 1/2 persoană afectată, cum ziceam).
6. Alte obligații la pachet
Pe lângă obligațiile-cheie enumerate anterior, ordinul FTC adaugă o serie de alte obligații, precum:
- Facebook trebuie să exercite o supraveghere mai mare asupra aplicațiilor terță parte, inclusiv prin închiderea dezvoltatorilor de aplicații care nu reușesc să certifice faptul că respectă politicile de platformă ale Facebook sau nu justifică necesitatea folosirii unor date specifice de utilizator (cam ca obligațiile pe care le găsești într-o DPA (acord de prelucrare date);
- Facebook îi este interzis să utilizeze numerele de telefon obținute pentru a permite o caracteristică de securitate (de exemplu, autentificare cu două factori) pentru publicitate (like wtf? făceau asta până acum?);
- Facebook trebuie să furnizeze o notificare clară și vizibilă cu privire la utilizarea tehnologiei de recunoaștere facială și să obțină consimțământul expres al utilizatorilor înaintea oricărei utilizări care depășeste informarea prealabilă anterioară a utilizatorilor (adică atunci când prelucrezi datele și în alt scop decât cel menționat inițial, trebuie să notifici utilizatorii despre asta și să le ceri consimțământul).
- Facebook trebuie să stabilească, să implementeze și să mențină un program cuprinzător de securitate a datelor (am râs copios);
- Facebook trebuie să cripteze parolele utilizatorilor și să scaneze periodic pentru a detecta dacă parolele sunt stocate în text simplu (aici nu am mai râs – am plâns de-a dreptul); și
- Facebook este interzis să ceară parole de e-mail către alte servicii atunci când consumatorii se abonează la serviciile sale (er, what?).
Să tragem o concluzie.
Decizia FTC este salutară. Obligațiile impuse de FTC sunt mai puțin îmbrățișabile.
De ce zic asta?
Când te înregistrezi pe o platformă aparținând unui gigant precum Facebook, Google și alte asemenea, te aștepți în mod rezonabil ca măsurile de securitate implementate de acesta să fie un pic mai mari decât cele pe care le-am tot vehiculat noi, ca să nu ducă la niște breșe de securitate și prelucrări neautorizate de date.
Măsurile pe care FTC ”le impune” Facebook sunt mai mult decât de bun-simț atunci când stai și le privești obiectiv, fără să iei în calcul valoarea sancțiunii. Adică, tu ești ok să ai parola stocată în format text simplu?
După portofel nu m-aș întoarce acasă când am plecat. După telefon, da. Vorba aceea, dacă pierd accesul la contul de Google, mi s-a dus toată munca și 1/2 din amintiri.
Dar pâna ne vom lămuri cum e cu breșele de securitate, vă las cu un video făcut la miez de noapte pe asta.
Și nu uitați să dați subscribe la canalul de Youtube!
Poza de Joshua Hoehne pe Unsplash