IL CASO

Twitter, multa record da 150 milioni di dollari per illegittimo utilizzo dei dati: cosa impariamo

Numeri di telefono e indirizzi di posta elettronica degli utenti utilizzati per finalità di marketing, senza che ciò fosse indicato chiaramente nell’informativa agli interessati: per questo motivo Twitter dovrà pagare una multa di 150 milioni di dollari. Ecco cosa impariamo da tutta la vicenda

27 Mag 2022
C
Marina Rita Carbone

Consulente privacy

Si è chiusa con un accordo da 150 milioni di dollari l’azione legale intentata dalla Federal Trade Commission nei confronti di Twitter. L’accusa mossa al colosso dei social era quella di aver utilizzato i dati dei propri utenti per finalità di marketing, senza che della circostanza fosse stata resa trasparente informativa agli interessati.

Non solo: secondo le indagini condotte dalla FTC, l’azienda avrebbe detto ai propri utenti di dover raccogliere i propri dati al fine di proteggere i loro account da possibili attacchi. Secondo quanto riferito dall’azienda, il trattamento illecito dei dati è da ricondursi ad un errore generato dal sistema, poi risolto nel settembre 2019.

Twitter entra nell’era Musk: ecco i possibili problemi privacy

Le accuse della FTC

Come anticipato, la controversia trae origine da un accordo siglato tra la Federal Trade Commissione e Twitter nel 2011. Le accuse mosse alla società dalla Commissione riguardavano, già nel 2009, la mancanza di trasparenza nei confronti dei consumatori, e l’assenza di adeguate misure di salvaguardia per la tutela dei dati personali degli utenti.

WHITEPAPER
I documenti aziendali che condividi durante le video riunioni online sono davvero al sicuro?
Amministrazione/Finanza/Controllo
CIO

Gravi lacune nei sistemi di sicurezza dell’azienda, affermava la FTC, avevano consentito a degli hacker di ottenere il controllo amministrativo non autorizzato di Twitter, permettendo l’accesso alle informazioni degli utenti non pubblici e ai tweet che i consumatori avevano impostato come privati. Gli hacker avevano altresì avuto la possibilità di inviare dei tweet falsi da qualsiasi account.

Quanto descritto era avvenuto, secondo le indagini svolte dalla Commissione, in ben due occasioni, dimostrando l’inesattezza delle informative privacy rese dall’azienda, che affermavano che “Twitter è molto preoccupato di salvaguardare la riservatezza delle informazioni di identificazione personale. Utilizziamo misure amministrative, fisiche ed elettroniche progettate per proteggere le tue informazioni da accessi non autorizzati”.

A chiusura della controversia, le parti in causa avevano deciso di siglare un accordo che poneva in capo a Twitter, per la durata di 20 anni, l’espresso divieto di “fuorviare i consumatori sulla misura in cui protegge la sicurezza, la privacy e la riservatezza delle informazioni dei consumatori non pubbliche, comprese le misure adottate per impedire l’accesso non autorizzato a informazioni non pubbliche e onorare le scelte sulla privacy fatte dai consumatori”.

Ulteriore obbligo previsto per l’azienda era quello di elaborare e mantenere nel tempo un programma completo di sicurezza delle informazioni, oggetto di valutazione da parte di un auditor indipendente ogni due anni, per la durata di 10 anni.

Quanto accertato oggi costituirebbe una violazione dell’accordo precedentemente siglato con la FTC, sotto il profilo degli obblighi di trasparenza e correttezza delle informazioni da rendersi ai consumatori in tema di privacy e sicurezza. Dalla violazione dei precitati obblighi, Twitter avrebbe dunque tratto profitto in modo ingannevole: la società, infatti, genera la maggior parte dei propri ricavi proprio dalla pubblicità mirata.

“Come rileva il reclamo, Twitter ha ottenuto dati dagli utenti con il pretesto di sfruttarli a fini di sicurezza, ma poi ha finito per utilizzare i dati anche per indirizzare gli utenti con annunci pubblicitari”, ha affermato Lina M. Khan, presidente dell’FTC, “Questa pratica ha colpito più di 140 milioni di utenti Twitter, aumentando al contempo la principale fonte di entrate di Twitter”.

“I consumatori che condividono le loro informazioni private hanno il diritto di sapere se tali informazioni vengono utilizzate per aiutare gli inserzionisti a raggiungere i clienti”, ha affermato il procuratore statunitense Stephanie M. Hinds per il distretto settentrionale della California. “Le società di social media che non sono oneste con i consumatori su come vengono utilizzate le loro informazioni personali saranno ritenute responsabili”.

La denuncia del Dipartimento di Giustizia

I sospetti della Federal Trade Commission sono stati formalizzati all’interno di una denuncia presentata dal Dipartimento di Giustizia statunitense nel 2013 per conto della FTC stessa, nella quale si lamentava che Twitter, nel 2013, avesse iniziato a chiedere agli utenti di fornire un numero di telefono o un indirizzo e-mail per migliorare la sicurezza dell’account. Le informazioni aggiuntive richieste venivano utilizzate per reimpostare le password degli utenti e sbloccare gli account sui quali erano state rilevate attività sospette, oltre che per abilitare l’autenticazione a due fattori.

Dal maggio 2013 al settembre 2019, si legge nel comunicato stampa della FTC, Twitter ha utilizzato i numeri di telefono e gli indirizzi e-mail resi dagli oltre 140 milioni di utenti per consentire agli inserzionisti di indirizzare annunci specifici a consumatori specifici abbinando le informazioni ai dati che già possedevano o hanno ottenuto dai broker di dati.

L’uso ingannevole dei numeri di telefono e degli indirizzi email per fini di pubblicità mirata avrebbe costituito una violazione non solo dell’ordine del 2011 precedentemente descritto, ma anche degli accordi UE-USA e Svizzera-USA per la Privacy, oltre che della legge federale.

A tal riguardo, il procuratore generale associato Vanita Gupta ha affermato, nel comunicato reso dalla FTC, che “Il Dipartimento di Giustizia si impegna a proteggere la privacy dei dati sensibili dei consumatori. La sanzione di 150 milioni di dollari riflette la gravità delle accuse contro Twitter e le nuove sostanziali misure di conformità da imporre a seguito dell’accordo proposto di oggi aiuteranno a prevenire ulteriori tattiche fuorvianti che minacciano la privacy degli utenti”.

Il nuovo accordo con Twitter

Nell’ordinanza proposta dal Dipartimento di Giustizia si chiede, oltre alla condanna al pagamento, da parte di Twitter, di una sanzione di 150 milioni di dollari, anche:

  1. vietare a Twitter di trarre profitto dai dati raccolti in modo ingannevole;
  2. Twitter deve informare gli utenti dell’uso improprio di numeri di telefono e indirizzi e-mail, informarli dell’azione delle forze dell’ordine FTC e spiegare come possono disattivare gli annunci personalizzati e rivedere le loro impostazioni di autenticazione a più fattori;
  3. l’obbligo di fornire opzioni di autenticazione a più fattori che non richiedano alle persone di fornire un numero di telefono;
  4. l’obbligo di implementare un programma di privacy avanzato e un programma di sicurezza delle informazioni rafforzato che includa numerose nuove disposizioni – tra cui la limitazione dell’accesso da parte dei dipendenti ai dati personali degli utenti –, ottenere valutazioni sulla privacy e sulla sicurezza da parte di un auditor indipendente approvata dall’FTC e segnalare incidenti relativi alla privacy o alla sicurezza all’FTC entro 30 giorni.

Le previsioni contenute nella denuncia andranno a costituire il precedente accordo, introducendo nuovi obblighi per il colosso del Web, allo scopo ultimo di tutelare i consumatori che utilizzano la piattaforma social.

Gli obblighi previsti per Twitter influenzeranno anche le altre aziende del settore, definendo nuovi standard. In particolare, si richiede alle società di non fornire dichiarazioni contraddittorie o rappresentazioni ingannevoli ai propri utenti, facendo gli stessi affidamento sul contenuto delle informative.

Particolare attenzione deve essere posta alla sicurezza delle informazioni dei clienti: “I consumatori traggono vantaggio quando le aziende adottano misure aggiuntive per proteggere i propri dati personali”, si legge nel comunicato, “Cerchiamo quindi di essere chiari: l’autenticazione a più fattori può essere un modo efficace per farlo. Non scoraggiare le persone dall’accettare l’autenticazione a più fattori costringendole a rinunciare alla propria privacy per utilizzarla”.

L’eventuale violazione degli ordini della FTC comporterà l’irrogazione di pesanti sanzioni, che terranno conto anche dell’elemento della recidiva.

Le dichiarazioni di Twitter

Al pari di quanto avvenuto nel 2011, il 25 maggio è stato raggiunto un accordo tra Twitter e la FTC, che prevede il versamento della prevista sanzione di 150 milioni di dollari, e il rispetto degli obblighi di trasparenza, correttezza e sicurezza.

All’interno del blog post con il quale rende noto il raggiungimento dell’accordo, Twitter precisa, tuttavia, che le violazioni accertate dalla FTC erano conseguenza di un incidente sulla privacy reso noto nel 2019, che aveva comportato l’utilizzo non autorizzato ed imprevisto dei dati per fini pubblicitari. “Questo problema è stato affrontato a partire dal 17 settembre 2019 e oggi vogliamo ribadire il lavoro che continueremo a fare per proteggere la privacy e la sicurezza delle persone che utilizzano Twitter. Mantenere i dati al sicuro e rispettare la privacy è qualcosa che prendiamo molto sul serio e abbiamo collaborato con l’FTC in ogni fase del processo”, si legge nel post.

Oltre al pagamento della citata somma, la Società prevede di eseguire una serie di aggiornamenti operativi e miglioramenti sul programma al fine di incrementare la sicurezza della piattaforma, e la privacy dei propri utenti. “L’impegno di Twitter per la sicurezza e la privacy non è per noi un esercizio puntuale, ma un valore fondamentale che miglioriamo costantemente aggiornando le nostre pratiche per soddisfare le esigenze in evoluzione dei nostri clienti. Il Comitato per la governance dei dati recentemente annunciato incarna la nostra dedizione a rafforzare l’implementazione delle nostre politiche e standard di privacy e sicurezza, nonché ad espandere i nostri processi interni di revisione della privacy e della sicurezza durante il ciclo di vita dello sviluppo del prodotto. Andando avanti,” continua Twitter, “continueremo a fare investimenti in questo lavoro, inclusa la creazione e l’evoluzione dei processi, l’implementazione di misure tecniche e la conduzione di audit e rapporti regolari per garantire che stiamo mitigando i rischi a tutti i livelli e funzioni in Twitter”.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5