El deseo de Elon Musk de agitar la mierda conspirativa al dar acceso a los sistemas y datos de Twitter a extraños seleccionados alineados con su agenda conservadora podría llevar al hombre más rico del mundo a un problema serio con los reguladores en ambos lados del Atlántico.
En los últimos días, este acceso otorgado por Musk a algunos reporteros externos ha llevado a la publicación de lo que él y sus animadoras enmarcan como una exposición del enfoque anterior de la plataforma para la moderación de contenido.
Hasta ahora, estos lanzamientos de «Twitter Files», como los ha calificado, han sido un chiste húmedo en términos de revelaciones de interés periodístico, a menos que la noción de que una empresa con un gran volumen de contenido generado por el usuario A) emplea personal de confianza y seguridad que analiza cómo para implementar políticas, incluso en B) situaciones de rápido movimiento en las que es posible que aún no se hayan establecido todos los hechos relacionados con piezas de contenido; y C) también cuenta con sistemas de moderación que se pueden aplicar para reducir la visibilidad de contenido potencialmente dañino (como una alternativa a eliminarlo) es una noticia de última hora particularmente salvaje.
Pero estos volcados de datos fuertemente amplificados aún podrían crear algunas noticias duras para Twitter, si la táctica de Musk de abrir sus sistemas a reporteros externos regresa en forma de sanciones regulatorias.
La Comisión de Protección de Datos de Irlanda (DPC), que es (al menos por ahora) el principal regulador de protección de datos de Twitter en la Unión Europea, está buscando más detalles de Twitter sobre el problema del acceso a datos externos.
“El DPC ha estado en contacto con Twitter esta mañana. Estamos colaborando con Twitter sobre el asunto para establecer más detalles”, dijo una portavoz a TechCrunch.
Hoy temprano, Bloomberg también informó sobre las preocupaciones sobre el acceso de personas ajenas a los datos de los usuarios de Twitter, citando tweets del ex CISO de Facebook, Alex Stamos, quien postuló públicamente que un hilo de Twitter publicado ayer por uno de los reporteros a los que Musk tuvo acceso «debería ser suficiente». que la FTC abra una investigación del decreto de consentimiento”.
El decreto de consentimiento de la FTC de Twitter se remonta a 2011 y se relaciona con acusaciones de que la empresa tergiversó la «seguridad y privacidad» de los datos de los usuarios durante varios años.
La firma de redes sociales ya recibió una multa de $ 150 millones en mayo por violar la orden. Pero las sanciones futuras podrían ser mucho más severas si la FTC considera que está violando flagrantemente los términos del acuerdo. Y las señales son aprensivas, dado que la FTC ya notificó a Twitter el mes pasado, advirtiendo que “ningún director ejecutivo o empresa está por encima de la ley”.
Otra consideración aquí es el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que contiene un requisito legal de que los datos personales estén adecuadamente protegidos.
Esto se conoce como el principio de seguridad, o «integridad y confidencialidad», del RGPD, que establece que los datos personales serán:
procesados de una manera que garantice la seguridad adecuada de los datos personales, incluida la protección contra el procesamiento no autorizado o ilegal y contra la pérdida, destrucción o daño accidental, utilizando medidas técnicas u organizativas apropiadas («integridad y confidencialidad»).
Entregar los datos de los usuarios (y/o el acceso a los sistemas que podrían exponer los datos de los usuarios) a personas que no son parte del personal para que los analicen podría generar dudas sobre si Twitter cumple plenamente con el principio de seguridad del RGPD. También hay otra pregunta a considerar aquí: en qué base legal se basa Twitter para entregar datos de usuarios (no públicos) a terceros, si es que eso es lo que está sucediendo.
A primera vista, los usuarios de Twitter difícilmente habrían dado su consentimiento a sabiendas a un procesamiento tan extraordinario según sus T&C estándar. Y no está claro qué otras bases legales podrían aplicarse razonablemente aquí. (Twitter de términos invocar la necesidad contractual, los intereses legítimos, el consentimiento o la obligación legal, de diversas maneras, con respecto al procesamiento de los mensajes directos de los usuarios u otras comunicaciones no públicas según el escenario de procesamiento, pero cuál de esas bases encajaría, si de hecho está entregando esto tipo de datos de usuario no públicos a personas que no son empleados que no son proveedores de servicios de Twitter ni entidades como las fuerzas del orden, etc., es discutible).
Cuando se le preguntó por su opinión sobre esto, Lilian Edwards, profesora de Derecho, Innovación y Sociedad en la Facultad de Derecho de Newcastle, nos dijo que la forma en que se aplica el RGPD aquí no está clara, pero sugirió que Twitter divulgue datos a terceros imprevistos («quién podría compartirlo de cualquier manera”) podría ser una violación del principio de seguridad.
“Si has consentido [to Twitter’s expansive terms], ¿ha autorizado estos usos, por lo que no hay brecha de seguridad? Creo que tiene que haber un elemento de atroz aquí”, argumentó. «¿Cuánto no esperaba esto y cuán abierto a las amenazas de seguridad y privacidad lo deja, por ejemplo, si incluye información personal como contraseñas o números de teléfono?»
“Es complicado”, agregó, citando una guía emitida por la autoridad de protección de datos del Reino Unido que señala que las medidas de seguridad requeridas por el RGPD “deben tratar de garantizar que los datos: puedan ser accedidos, alterados, divulgados o eliminados solo por aquellos que usted tiene autorizados para hacerlo (y que esas personas solo actúen en el ámbito de la autoridad que les otorgas).
“Bueno, Musk los ha autorizado correctamente, pero ¿debería hacerlo? ¿Son riesgos de seguridad? Creo que un DPA razonable lo miraría con bastante severidad”.
En el momento de escribir este artículo, no está claro qué datos exactamente o cuánto acceso a los sistemas está proporcionando Twitter a los reporteros externos elegidos, por lo que no está claro si se han entregado o no datos de usuarios no públicos.
Uno de los reporteros a los que tuvo acceso por Twitter, el periodista Bari Weiss, afirmó en un Pío thread (que hace referencia a otros cuatro escritores asociados con la publicación que ella fundó y que informarán sobre los datos) que: “Los autores tienen un acceso amplio y cada vez mayor a los archivos de Twitter. La única condición que acordamos fue que el material se publicaría primero en Twitter”.
Otra de estas escritoras, Abigail Shrier, además reclamado: “Nuestro equipo obtuvo acceso amplio y sin filtrar a los sistemas y la comunicación interna de Twitter”.
Aún así, ambos tuits carecen de detalles específicos sobre el tipo de datos a los que pueden acceder.
Twitter también, a través de un empleado, negó que esté brindando a los reporteros acceso en vivo a datos de usuarios no públicos en respuesta a la alarma sobre el nivel de acceso otorgado. La nueva líder de confianza y seguridad de la compañía, Ella Irwin, tuiteó en las últimas horas para afirmar que las capturas de pantalla de una vista del sistema interno de las cuentas que se compartían en línea, aparentemente mostrando detalles del acceso interno proporcionado a los extraños por Twitter, no representar el acceso en vivo a sus sistemas.
Más bien dijo que ella misma había proporcionado estas capturas de pantalla de esta vista de herramienta interna a los reporteros, «por motivos de seguridad».
El tweet de Irwin también afirmó que esta metodología para compartir capturas de pantalla se eligió para «garantizar que no haya PII». [personally identifiable information] quedó expuesto”.
“No les dimos este acceso a los reporteros y no, los reporteros no accedían a los mensajes directos de los usuarios”, agregó en respuesta a un usuario de Twitter que había planteado preocupaciones de seguridad sobre el acceso de los reporteros a sus sistemas (y potencialmente a los mensajes directos). Irwin solo se unió a Twitter en junio como líder de producto para confianza y seguridad, pero fue ascendido a jefe de confianza y seguridad el mes pasado (a través de La información) para reemplazar al exjefe, Yoel Roth, quien renunció después de solo dos semanas trabajando con Musk. preocupaciones sobre el «edicto dictatorial» de Musk tomando el relevo de una aplicación de política de buena fe.
Dejando a un lado la pregunta de por qué la nueva jefa de confianza y seguridad de Twitter dedica su tiempo a tomar capturas de pantalla de datos internos para compartirlos con personas que no pertenecen al personal cuyo propósito es publicar informes que incorporen dicha información, su elección de nomenclatura aquí es notable: «PII» no es un término que encontrará en cualquier parte del RGPD. Es un término preferido por las entidades de EE. UU. deseosas de reducir la idea de «privacidad del usuario» a su mínimo (es decir, nombre real, dirección de correo electrónico, etc.), en lugar de reconocer que la privacidad de las personas puede verse comprometida de muchas más formas que a través de la exposición directa de información personal
Esto es importante porque la terminología legal relevante en el RGPD es «datos personales», que es mucho más amplia que la PII y abarca una variedad de datos que podrían no considerarse PII (como la dirección IP, las identificaciones del anunciante, la ubicación, etc.). Entonces, si la principal preocupación de Irwin es evitar exponer la «PII», ella no entiende, o no está priorizando, la seguridad de los datos personales tal como la entiende el RGPD de la UE.
Eso debería preocupar a los reguladores de la Unión Europea.
Si bien el DPC de Irlanda es actualmente el principal supervisor de datos de Twitter, desde que Musk se hizo cargo de la empresa a fines de octubre, y se dedicó a reducir drásticamente la plantilla y hacer que muchos más empleados se fueran por su propia voluntad, incluido un trío de altos funcionarios de seguridad, privacidad y ejecutivos de cumplimiento que renunciaron simultáneamente hace un mes: se han planteado preguntas sobre el estado de su reclamo de ser «establecido principalmente» en Irlanda para el GDPR.
Como informamos anteriormente, la toma de decisiones unilateral de Musk en los EE. UU. corre el riesgo de que Twitter se salga del mecanismo de ventanilla única (OSS) de GDPR, ya que requiere la toma de decisiones que afecta los datos de los usuarios de la UE para involucrar a la entidad irlandesa de Twitter. Y si la empresa pierde su derecho al estatus de establecimiento principal en Irlanda, aumentaría de inmediato su riesgo regulatorio, ya que los supervisores de datos en toda la UE, no solo el DPC, podrían abrir sus propias consultas si consideraran que los datos de los usuarios locales están en peligro. riesgo.
Ahora que Musk abre los sistemas de Twitter a extraños inesperados, está organizando un espectáculo muy público que invoca grandes preguntas sobre los riesgos de seguridad y privacidad que, si no se supervisa con firmeza por parte del DPC, podría hacer que otras autoridades de protección de datos de la UE se preocupen cada vez más por la integridad de los irlandeses de Twitter. supervisión, también. (Y el RGPD permite intervenciones de emergencia por parte de DPA no líderes si ven un riesgo apremiante para los datos de los usuarios locales, por lo que Twitter podría enfrentar un escrutinio marcado en otras partes de la UE, incluso cuando aparentemente todavía está dentro del OSS, como lo ha hecho recientemente TikTok en Italia.)
Desde que Musk se hizo cargo de la empresa, Twitter cerró su función de comunicaciones, por lo que no fue posible hacer preguntas a una oficina de prensa sobre el nivel de acceso a los datos que Twitter brinda a los reporteros externos o la base legal en la que se basa para compartir. esta informacion. Pero nos complace incluir una declaración de Twitter si desea enviar una.