En la audiencia de denunciantes de Twitter, un regulador tecnológico clave es criticado

“Me preocupa que durante casi 10 años la Comisión Federal de Comercio no supiera o no tomara medidas lo suficientemente firmes para garantizar que Twitter cumpliera con el decreto de consentimiento” que firmó con la agencia en 2011, dijo el senador de Iowa Chuck Grassley. el principal republicano del Comité Judicial del Senado. “El Congreso debería… tener en cuenta la capacidad de la FTC, o la falta de ella, para supervisar con éxito estos asuntos importantes”.

El presidente del comité, Dick Durbin, también expresó su preocupación por la FTC cuando le pidió al denunciante, Peiter “Mudge” Zatko, que calificara el desempeño de las agencias reguladoras de EE. UU. a la luz de sus acusaciones en Twitter.

“Honestamente, creo que la FTC está un poco, ya sabes, por encima de su cabeza”, respondió Zatko.

Un portavoz de la FTC se negó a comentar para esta historia.

Los agudos comentarios bipartidistas de los miembros del Congreso y Zatko, de Twitter (TWTR (TWTR)) jefe de seguridad desde noviembre de 2020 hasta este enero, destacan la creciente frustración dentro y fuera de Washington sobre la lucha para hacer que Silicon Valley rinda cuentas después de años de escrutinio, incluso cuando los legisladores celebraron otra audiencia en un intento de hacer precisamente eso.

En su testimonio de esta semana, Zatko alegó que Twitter tenía graves vulnerabilidades de seguridad y privacidad no reveladas que han puesto en riesgo a los usuarios y la seguridad nacional. Pero el día también puso el foco en una agencia federal que, según los críticos, carece de recursos suficientes para enfrentarse a empresas tecnológicas de miles de millones de dólares como Twitter, y que se anda con rodeos cuando lo hace.

Zatko describió cómo Twitter, que se había comprometido a proteger los datos de los usuarios y a mantener un sólido programa de seguridad de la información bajo su orden de consentimiento de la FTC, supuestamente no tomó en serio a los reguladores estadounidenses y los engañó activamente.

“Algunos de los reguladores extranjeros eran mucho más temidos que la FTC”, dijo Zatko, y señaló que el regulador de privacidad de Francia “aterrorizaba a Twitter en comparación”.

Zatko testificó que los funcionarios franceses que investigaban posibles violaciones de la privacidad exigieron datos cuantitativos concretos de Twitter, a menudo en plazos breves, para respaldar las afirmaciones de cumplimiento de la empresa, y se sabía que amenazaban con fuertes sanciones por incumplimiento que podrían obstaculizar directamente el crecimiento futuro de Twitter.

“[They took a] ‘tal vez no se le permita monetizar en Francia, o tal vez no se le permita usar una fuente de datos en particular en Francia’, ya sabe, y ‘tiene una semana para responder’, una especie de enfoque”, Zatko dijo al senador Richard Blumenthal. Por el contrario, Twitter no temía a la FTC, afirmó Zatko, porque la agencia permitía en gran medida que la empresa “calificara su propia tarea” en las auditorías de cumplimiento y tendía a emitir multas únicas que se consideraban dentro de la empresa. como poco más que un costo de hacer negocios.

En respuesta a las acusaciones de Zatko, Twitter acusó al denunciante de pintar una “narrativa falsa” de la compañía que está “plagada de inconsistencias e imprecisiones”. Twitter también ha dicho que Zatko no participó en los esfuerzos para preparar los informes de cumplimiento de la empresa y que no comprendió completamente las obligaciones legales de la empresa.

De acuerdo con su divulgación al gobierno de los EE. UU., las acusaciones de Zatko se basan en declaraciones de su propio personal en la empresa, quienes, según él, estaban “íntimamente familiarizados” con las obligaciones de la FTC de Twitter. Twitter nunca cumplió con la orden de 2011 y nunca estuvo en camino de cumplir, supuestamente le dijeron los subordinados de Zatko, según la divulgación.

Multas y recursos limitados

El testimonio de Zatko ha provocado críticas inusualmente abiertas a una agencia que se considera el principal regulador de privacidad y seguridad de datos de Estados Unidos, y lo hizo en un momento en que se dice que esa agencia está más enfocada en controlar la industria de la tecnología bajo la presidencia de Lina Khan, una alta funcionaria. perfil escéptico de las grandes plataformas tecnológicas.

La FTC se ha involucrado cada vez más en la supervisión de la tecnología en las últimas décadas. En 2011, contrató a su primer tecnólogo jefe y, en 2015, un tribunal federal de apelaciones afirmó la autoridad de la FTC para enjuiciar a las empresas por fallas en la seguridad de los datos, una gran victoria que ayudó a consolidar el papel de la FTC como policía en el ámbito digital. Este año, la FTC lanzó un proceso que eventualmente podría conducir a la creación de nuevas y radicales regulaciones de privacidad que cubran prácticamente todas las empresas que manejan datos de consumidores, incluidas plataformas como Twitter.

Pero ha habido otros momentos que llevaron a los críticos a dudar si la FTC está a la altura de la tarea. En 2013, la comisión votó por unanimidad para no demandar a Google por las preocupaciones sobre el impacto de la empresa en la competencia, a pesar de la recomendación del personal antimonopolio de la agencia para hacerlo. Y aunque un acuerdo de privacidad con Facebook en 2019 condujo a una multa récord de $ 5 mil millones y numerosas obligaciones legales nuevas para esa empresa, los críticos han dicho que la FTC debería haber insistido en responsabilizar personalmente al director ejecutivo Mark Zuckerberg y a la directora de operaciones Sheryl Sandberg en la orden resultante.

Al igual que con Facebook, las últimas acusaciones contra Twitter podrían generar miles de millones de dólares en nuevas multas de la FTC, le dijeron a CNN exfuncionarios de la agencia.

Sin embargo, algunos legisladores expresaron su decepción esta semana con las sanciones que la FTC ha impuesto hasta ahora a la empresa y expresaron dudas sobre la capacidad de los reguladores para disuadir significativamente futuras irregularidades. En mayo, la FTC llegó a un acuerdo de $150 millones con Twitter para resolver acusaciones separadas de que violó su orden de consentimiento, cuando Twitter supuestamente usó información de seguridad de la cuenta con fines publicitarios dirigidos.

“El tamaño de la multa, apenas $150 millones, equivale al tipo de carga que tenemos para nosotros los conductores promedio cuando pagamos el peaje para ir a Manhattan”, dijo Blumenthal, exfiscal general de Connecticut.

Zatko estuvo de acuerdo en que la multa era de hecho “mucho menos de lo que [at Twitter] había estado preocupado”. El escenario de pesadilla de Twitter, dijo, era si la FTC “viniera y nos dijera que no tenemos permitido monetizar las direcciones de correo electrónico debido a nuestra continua incapacidad para manejarlas correctamente”. Entonces es posible que no estemos en igualdad de condiciones con nuestros competidores, y eso asusta [Twitter].”

Los legisladores y los reguladores también han pedido constantemente más recursos que puedan dedicarse a la aplicación. Si bien ha habido algunos intentos de ampliar los presupuestos de la FTC y contratar a más expertos internos, los ex funcionarios de la agencia y los defensores de los consumidores han descrito al personal como abrumado por el trabajo y superado por los ejércitos de abogados que los gigantes tecnológicos pueden aportar.

‘Lo que estamos haciendo ahora mismo no está funcionando’

Twitter ha dicho que su historial de cumplimiento de la FTC habla por sí mismo, en forma de auditorías de terceros presentadas ante la agencia. Pero Zatko dijo que durante su tiempo en la empresa, la FTC permitió que Twitter contratara a sus propios auditores, quienes dependían en gran medida de las autoevaluaciones corporativas, una práctica que exfuncionarios de la FTC describieron como rutinaria y como una forma importante en que la agencia ahorra tiempo y mano de obra. . (El último acuerdo, de principios de este año, ahora prohíbe a los auditores de Twitter confiar “principalmente” en los informes de la propia empresa).

Zatko alega que esta configuración ha ayudado a Twitter a salirse con la suya con los reguladores engañosos. En una audiencia separada esta semana, otro ejecutivo de Twitter no pudo negar categóricamente, bajo el cuestionamiento repetido y directo de los legisladores, las acusaciones de que la compañía “ha tergiversado deliberadamente los hechos ante la FTC”.

Ese supuesto engaño, dijo Blumenthal en la audiencia del martes, quizás junto con “recursos inadecuados o falta de voluntad”, puede explicar lo que caracterizó como “falta de vigor en la aplicación de la ley”.

Dijo que este problema solo se puede abordar de manera efectiva “reestructurando, reformando y energizando nuestro aparato regulatorio”, potencialmente incluso transfiriendo la autoridad de la FTC sobre privacidad y seguridad a una agencia gubernamental completamente nueva. (Blumenthal no es el único senador que presentó una propuesta de este tipo: en mayo, el senador demócrata de Colorado, Michael Bennet, presentó una legislación para crear una nueva comisión que regula las plataformas digitales).

“Claramente”, dijo Blumenthal, “lo que estamos haciendo en este momento no está funcionando”.