O Twitter foi multado por usar dados de 2FA para publicidade direcionada, e a multa foi aplicada pelo Federal Trade Commission.
Sim. O Federal Trade Commission (Comissão Federal de Comércio) multou o Twitter em US$ 150 milhões por usar números de telefone e endereços de e-mail coletados para habilitar a autenticação de dois fatores (2FA) para publicidade direcionada.
Twitter foi multado por usar dados de 2FA para publicidade direcionada
De acordo com documentos judiciais [PDF], o Twitter solicitou a mais de 140 milhões de usuários essas informações para proteger suas contas a partir de 2013, mas não informou que os dados também seriam usados para permitir que os anunciantes os segmentassem com anúncios.
Esta é uma violação direta da Lei FTC e uma ordem administrativa da Comissão de 2011 que baniu a empresa por deturpar suas práticas de segurança e privacidade e lucrar com dados coletados enganosamente.
A ordem foi emitida após um acordo por não proteger as informações pessoais de seus usuários depois que hackers ganharam o controle administrativo do Twitter entre janeiro e maio de 2009.
“Como observa a denúncia, o Twitter obteve dados de usuários com o pretexto de aproveitá-los para fins de segurança, mas acabou usando os dados também para segmentar usuários com anúncios. Essa prática afetou mais de 140 milhões de usuários do Twitter, enquanto aumentava a principal fonte de receita”, disse a presidente da FTC, Lina M. Khan.
“A multa de US$ 150 milhões reflete a seriedade das alegações contra o Twitter, e as novas medidas substanciais de conformidade a serem impostas como resultado do acordo proposto de hoje ajudarão a evitar mais táticas enganosas que ameaçam a privacidade dos usuários”, acrescentou o U.S. A advogada Stephanie M. Hinds.
Disposições adicionais da ordem proposta da FTC também:
- Proibir o Twitter de lucrar com dados coletados enganosamente;
- Permitir que os usuários usem outros métodos de autenticação multifator, como aplicativos de autenticação móvel ou chaves de segurança que não exigem que os usuários forneçam seus números de telefone;
- Notificar os usuários de que usou indevidamente números de telefone e endereços de e-mail coletados para segurança da conta para também direcionar anúncios a eles e fornecer informações sobre os controles de privacidade e segurança do Twitter;
- Implementar e manter um programa abrangente de privacidade e segurança da informação que exija que a empresa, entre outras coisas, examine e aborde os riscos potenciais de privacidade e segurança de novos produtos;
- Limitar o acesso dos funcionários aos dados pessoais dos usuários; e
- Notificar a FTC se a empresa sofrer uma violação de dados.
O Twitter concordou em resolver as alegações da FTC pagando uma multa civil de US$ 150 milhões e implementando novas medidas de conformidade significativas para melhorar suas práticas de privacidade de dados após o acordo ser aprovado por um tribunal federal.
Manter os dados seguros e respeitar a privacidade é algo que levamos a sério e cooperamos extremamente com a FTC em todas as etapas do processo.
Damien Kieran, diretor de privacidade do Twitter, disse que:
“Ao chegar a esse acordo, pagamos uma multa de US$ 150 milhões e nos alinhamos com a agência em atualizações operacionais e aprimoramentos do programa para garantir que os dados pessoais das pessoas permaneçam seguros e sua privacidade protegida.”
Em outubro de 2019, o Twitter pediu desculpas por usar números de telefone e endereços de e-mail fornecidos para segurança da conta, como autenticação de dois fatores para publicidade, dizendo que “podem ter sido usados acidentalmente para segmentação de anúncios”.
“Descobrimos recentemente que, quando você forneceu um endereço de e-mail ou número de telefone para fins de segurança (por exemplo, autenticação de dois fatores), esses dados podem ter sido usados inadvertidamente para fins de publicidade, especificamente em nosso sistema de publicidade Tailored Audiences e Partner Audiences.”, disse a empresa na época.
O público personalizado do Twitter é um produto de publicidade que permite que os anunciantes enviem anúncios direcionados aos clientes em suas listas de marketing com base em informações como endereços de e-mail e números de telefone.
O sistema de publicidade Partner Audiences permite que os anunciantes segmentem usuários de listas fornecidas por seus parceiros terceirizados.
O Twitter pediu desculpas por esse erro e disse que estaria tomando medidas para garantir que um erro semelhante não acontecesse novamente.
Algo muito semelhante aconteceu em 2018, quando o Facebook criou perfis de publicidade complexos para todos os seus usuários com tudo, desde seus números de telefone 2FA até informações coletadas dos perfis de seus amigos.
Mais tarde, o Facebook usou os números de telefone 2FA dos usuários como um vetor adicional para fornecer anúncios direcionados.