A Federal Trade Commission (FTC) anunciou formalmente nesta quarta-feira, 24, a multa de US$ 5 bilhões com o Facebook. A sanção recorde a ser paga representa o fim de uma investigação de um ano sobre o escândalo Cambridge Analytica e outras violações de privacidade. O valor é o maior já imposto a qualquer empresa por violar a privacidade dos consumidores e quase 20 vezes mais alta do que a pior das penalidades em se tratando de falha na privacidade ou na segurança de dados já aplicada em todo o mundo, além de ser uma das maiores punições já avaliadas pelo governo dos EUA por qualquer infração. A FTC também impôs ao Facebook novas restrições e uma nova estrutura de governança corporativa, que responsabilizará a empresa pelas decisões que toma sobre a privacidade de seus usuários.
No acordo, a FTC alega que o Facebook violou a lei ao não proteger os dados de terceiros, veiculando anúncios através do uso de números de telefone fornecidos pelos usuários para segurança, e mentindo ao dizer que o software de reconhecimento facial estava desativado por padrão.
Mudança na estrutura corporativa
As mudanças impostas ao Facebook determinam que se estabeleça um comitê de privacidade independente. Os membros só podem ser demitidos por uma supermaioria do conselho diretor do Facebook.
O Facebook também terá que designar profissionais de conformidade, responsáveis pelo programa de privacidade da empresa. Essas pessoas estarão sujeitas à aprovação do conselho do novo comitê de privacidade e só poderão ser removidas por esse comitê – nunca pelo CEO do Facebook ou por um de seus executivos.
Mark Zuckerberg e os responsáveis designados pelo compliance devem apresentar de forma independente as certificações à FTC trimestralmente, comprovando que a empresa está em conformidade com o programa de privacidade, bem como uma certificação anual.
Quanto à supervisão externa, um avaliador terceirizado independente irá conferir e analisar a eficácia do programa de privacidade do Facebook e identificar eventuais lacunas. As avaliações deverão ser realizadas a partir de coleta de dados, amostragem, e testes feitos de forma independente por esse avaliador e, sobretudo, não devem se basear em afirmações ou atestados dados por funcionários do Facebook. O avaliador independente será obrigado a se reportar diretamente ao novo comitê de privacidade em uma base trimestral.
Como parte do programa de privacidade, que abrange o WhatsApp e o Instagram, o Facebook tem que realizar uma revisão de privacidade de todos os produtos, serviços ou práticas novos ou modificados antes de implementá-los, e registrar em um documento suas decisões sobre privacidade do usuário. Os responsáveis pelo compliance devem gerar relatórios trimestrais de revisão da privacidade.
O Facebook também terá que registrar incidentes quando dados de mais de 500 usuários tenham sido comprometidos e explicar em um relatório que medidas tomou para tratar de tal incidente. A documentação deverá ser entregue à comissão e ao avaliador depois de 30 dias da descoberta do incidente pela empresa.
Mais restrições
O FTC também exige novos requisitos de privacidade, como os seguintes:
– O Facebook deve exercer maior supervisão sobre aplicativos desenvolvidos por terceiros, incluindo o fim da parceria com desenvolvedores de apps que não são capazes de atestar que estão em conformidade com as políticas da plataforma do Facebook ou não conseguem justificar a necessidade de captura de dados específicos do usuário;
– O Facebook é proibido de usar números de telefone obtidos para ativar um recurso de segurança (por exemplo, autenticação de dois fatores) para publicidade;
– O Facebook deve fornecer uma notificação clara e visível de seu uso da tecnologia de reconhecimento facial e obter o consentimento expresso do usuário antes de qualquer uso do material;
– O Facebook deve estabelecer, implementar e manter um programa abrangente e compreensível de segurança de dados;
– O Facebook precisa criptografar senhas de usuários e fazer varreduras regulares para detectar se alguma senha é armazenada em arquivos de texto; e
– O Facebook está proibido de solicitar senhas de e-mail para outros serviços quando os consumidores se inscrevem em seus serviços.
Repercussão
No blog do Facebook, Colin Stretch, vice-presidente jurídico da mídia social, escreveu: “O acordo exigirá uma mudança fundamental na maneira como trabalhamos e vamos colocar responsabilidades adicionais nas pessoas, construindo nossos produtos em todos os níveis da companhia. Isso vai marcar um movimento mais forte em direção à privacidade, em uma escala diferente de qualquer coisa que tenhamos feito no passado.’
A votação de 3 a 2 na FTC mostrou que os comissários próximos ao Partido Democrata avaliaram a punição como insuficiente. De acordo com uma reportagem do jornal The Washington Post, eles estavam preocupados que Mark Zuckerberg e outros executivos de alto nível fossem isentos de responsabilidade pelas violações. “A multa de US$ 5 bilhões do acordo faz uma boa manchete”, escreveu o comissário da FTC, Rohit Chopra. “Mas os termos e condições, incluindo a imunidade geral dos executivos do Facebook e nenhuma restrição real ao modelo de negócios do Facebook não corrigem os principais problemas que levaram a essas violações”.
A comissária Rebecca Kelly Slaughter criticou a decisão de liberar Mark Zuckerberg e outros executivos seniores de qualquer responsabilidade pessoal. “Em vez de aceitar esse acordo, acredito que deveríamos ter iniciado um processo contra o Facebook e seu CEO Mark Zuckerberg”, escreveu Slaughter em sua dissidência. “Quando os executivos de grandes empresas exercem controle sobre as decisões, incluindo a violação da lei, eles devem ser responsabilizados da mesma forma que os executivos de empresas menores.”
