Por Colin Stretch, Vicepresidente y Director Jurídico
Después de varios meses de negociaciones hemos llegado a un acuerdo con la Comisión Federal de Comercio (FTC) de Estados Unidos, que ofrece un nuevo y amplio marco para proteger la privacidad de las personas y la información que nos confían.
Este acuerdo requerirá un cambio fundamental en la forma en que entendemos nuestro trabajo y conllevará una responsabilidad adicional para las personas que construyen nuestros productos en todos los niveles de la compañía. También marcará un giro agudo hacia la privacidad en una escala diferente a todo lo que hayamos hecho en el pasado.
El grado de responsabilidad que requiere este acuerdo supera el exigido por la ley actual de Estados Unidos y esperamos que se convierta en un modelo para la industria. Incorpora procesos más rigurosos para identificar riesgos de privacidad, una mayor documentación de esos riesgos, y medidas más amplias para asegurar que cumplamos con estos nuevos requisitos. En el futuro, nuestro entendimiento de los controles de privacidad será semejante a los controles financieros, con un severo proceso de diseño y certificaciones individuales que buscan asegurar que nuestros controles funcionan y que podamos identificar y solucionar problemas cuando no lo hagan.
A través de este acuerdo, también acordamos pagar una penalidad de 5.000 millones de dólares, varias veces por encima de lo que cualquier otra compañía haya pagado antes a la FTC, de manera de resolver las alegaciones de que violamos nuestra Orden de Consentimiento del 2012.
La investigación de la FTC fue iniciada el año pasado a raíz de los incidentes en torno a Cambridge Analytica. La forma en que manejamos ese asunto representó un quiebre de confianza entre Facebook y la gente que depende de nosotros para la protección de sus datos. Este acuerdo no es sólo acerca de reguladores, es también sobre la reconstrucción de la confianza con la gente.
A lo largo del último año hemos hecho grandes avances en términos de privacidad. Hemos implementado medidas para cumplir con los rigurosos estándares del reglamento de protección de datos de la Unión Europea o GDPR, dimos más control a las personas sobre sus datos y eliminamos apps.
Pero incluso comparado con esos cambios, el programa de privacidad que estamos desarrollando implicará un gran paso en términos de recursos y de responsabilidad. Tendremos más robustez a la hora de garantizar la identificación, evaluación y mitigación de los riesgos para la privacidad. Esto exigirá que documentemos exhaustivamente las decisiones que tomemos y que monitoreemos su impacto. Introduciremos más controles técnicos para automatizar las garantías de privacidad y todos los empleados deberán confirmar que leyeron la Orden de Consentimiento.
Como parte de estos esfuerzos, estamos revisando nuestros sistemas. Esperamos que este proceso revele otros asuntos -es parte de su propósito-, y cuando esto ocurra, trabajaremos para solucionarlos.
Este mes, y en respuesta a la investigación de la FTC, supimos que defectos en nuestros sistemas permitieron a algunos socios continuar accediendo a datos para proporcionar funciones de Facebook en sus productos. Si bien no detectamos violaciones, el nuevo acuerdo ayudará a evitar que ese tipo de riesgos a futuro. También seremos más estrictos en la forma en que monitorearemos los abusos, y exigiremos a los desarrolladores que se responsabilicen por la manera en que emplean los datos y cumplen con nuestras políticas.
Transparencia y responsabilidad serán dos pilares fundamentales. Tendremos certificaciones trimestrales para verificar que nuestros controles de privacidad funcionan correctamente. Y allí donde encontremos problemas, nos aseguraremos de que sean corregidos. Este proceso llegará hasta la mesa de nuestro CEO, quien firmará con su nombre para garantizar que efectivamente hicimos lo que dijimos que haríamos.
También tendremos un nuevo nivel de supervisión del consejo directivo. Un comité del consejo directivo de Facebook se reunirá trimestralmente para asegurarse de que cumplamos nuestros compromisos. El comité será asesorado por un consultor independiente especializado en privacidad, cuyo trabajo será revisar el programa en forma continua y reportar al consejo cuando detecte oportunidades de mejorarlo.
Estos esfuerzos se desarrollarán bajo la vigilancia de la FTC y del Departamento de Justicia de Estados Unidos. La orden impone una serie de exigencias de reportes a la FTC y al Departamento de Justicia que, en conjunto, garantizan que ambas instituciones puedan ver con claridad si estamos efectivamente cumpliendo con nuestras responsabilidades.
Pero incluso con la implementación de estas nuevas medidas, sabemos que no podemos atender todos los desafíos por nuestra cuenta. Por eso ampliaremos y formalizaremos nuestros esfuerzos para tener contribuciones de expertos externos a la compañía.
Hoy también resolvimos una investigación de la Comisión de Valores y Bolsa de Estados Unidos (SEC). La SEC alegó que deberíamos haber implementado mejores procedimientos para asegurar una divulgación adecuada a los inversores acerca de los abusos de datos en la plataforma, como fue el caso de Cambridge Analytica. La SEC también sostuvo que, luego de enterarnos en 2015 que un desarrollador había transferido datos a Cambridge Analytica, en una violación a nuestras políticas, deberíamos haber explicado más acerca de este abuso en los informes a los inversores. Compartimos el interés de la SEC de que los accionistas merecen entender los riesgos materiales que enfrentamos como negocio, y hemos actualizado nuestros reportes y controles en esa área. Como parte de este acuerdo con la SEC, convenimos pagar una penalización de 100 millones de dólares.
Hemos escuchado que las palabras y las disculpas no son suficientes y que necesitamos mostrar hechos. Esperamos que con la resolución de las investigaciones de la SEC y la FTC podamos cerrar este capítulo y reorientar completamente nuestro foco y nuestros recursos hacia el futuro.
Miles de millones de personas alrededor del mundo usan nuestros servicios para enriquecer sus vidas y ayudar a que sus organizaciones prosperen. Eso hace que sea realmente importante que las personas que usan nuestra plataforma puedan confiar en que su información está protegida. Este acuerdo es un compromiso inequívoco en ese sentido.