Abogado de Musk calma a equipo de Twitter que teme ir a la cárcel por incumplimiento

No es común que haya casos de responsabilidad personal para ejecutivos de empresas por violaciones de seguridad con la FTC

Twitter
Por Ryan Gallagher - Kurt Wagner
12 de noviembre, 2022 | 05:00 AM

Bloomberg — Tras la pérdida de miles de trabajadores y altos cargos de cumplimiento en Twitter Inc. (TWTR), los colaboradores de Elon Musk se esfuerzan por frenar la gran preocupación de que se responsabilice al resto del equipo de los fallos en materia de seguridad.

El abogado del dueño y CEO de la empresa, Alex Spiro, quien guía al equipo jurídico luego de la compra por parte de Musk, trató de asegurar a los empleados que no irían a la cárcel si la empresa es encontrada en infracción de un decreto de consentimiento de la Comisión Federal de Comercio (FTC, por sus siglas en inglés), conforme a un mensaje visto por Bloomberg.

VER +
La agitada revisión de Twitter pone en alerta a los reguladores del mundo

“Comprendo que hay algunos empleados de la compañía que no trabajan directamente en el tema de la FTC y que dicen que pueden ir a la cárcel si hay un incumplimiento, pero eso no es así”, ha escrito el abogado del bufete Quinn Emanuel Urquhart & Sullivan LLP en un memo, que ha sido difundido por Insider. “La obligación es de la compañía. Se trata de la responsabilidad de la empresa. Es la obligación de Twitter”.

PUBLICIDAD

Un equipo de protección de la información de la empresa que se ocupaba de compartir los datos de los internautas con sus anunciantes y colaboradores de investigación, fue destituido como consecuencia de la operación, lo que provocó inquietudes dentro de la empresa sobre la probable violación de las normas de la Comisión Federal de Comercio y la vulnerabilidad a las posibles amenazas de seguridad, de acuerdo con 2 fuentes conocedoras del tema.

Los despidos, que comenzaron el 3 de noviembre y afectaron al 50% de todos los empleados de Twitter, contribuyeron a crear un ambiente caótico dentro de la empresa y esta semana fueron seguidos por las renuncias de altos ejecutivos, incluida la directora de seguridad de la información, Lea Kissner; el director de privacidad, Damien Kieran;y la directora de Cumplimiento, Marianne Fogarty.

Spiro dijo que Twitter había hablado con la FTC y tiene próximamente su primera verificación de cumplimiento. “El departamento legal lo está manejando”, dijo en su nota.

PUBLICIDAD

La decisión de eliminar el equipo de seguridad de la información de seis personas se combinó con el despido de al menos una docena de otros empleados que trabajaban en temas de seguridad, privacidad y cumplimiento en la empresa, dijeron las personas. El tamaño completo de esos equipos no estuvo disponible de inmediato.

Los despidos y salidas son particularmente notables en una empresa que está bajo un decreto de consentimiento de la FTC en el que acordó proteger mejor los datos personales de los usuarios y también tiene que someterse a auditorías periódicas de sus sistemas de privacidad y seguridad de datos. Twitter ha sido duramente criticado por exempleados por fallas en la seguridad, y en mayo estuvo sujeto a una multa de US$130 millones como parte de un acuerdo con la FTC y el Departamento de Justicia sobre privacidad de datos.

El equipo de seguridad de la información se centró en la gestión de riesgos de terceros y fue responsable de brindar garantías de seguridad a los anunciantes que trabajan con Twitter y comparten datos con la empresa, según dos personas familiarizadas con el asunto, que hablaron bajo condición de anonimato y no están autorizados a discutir la situación públicamente.

El equipo también supervisó el intercambio de datos de usuarios de Twitter con docenas de socios comerciales y organizaciones de investigación, algunos de los cuales tienen acceso a una interfaz de programación que se puede usar para ver información confidencial no pública sobre los usuarios de Twitter, como datos de ubicación, direcciones IP y códigos únicos de identificación de dispositivos, dijeron las personas.

La gente de Twitter que verifica ese acceso simplemente ya no está allí”, dijo una de las personas, y agregó que, como resultado, la privacidad y la seguridad de los datos de los usuarios se han puesto en riesgo.

El trabajo realizado por el equipo de seguridad de la información despedido estaba destinado en parte a garantizar el cumplimiento de un decreto de consentimiento emitido por la FTC en marzo de 2011, según las personas. El decreto, vigente hasta 2042, ordenó que Twitter debe establecer y mantener “un programa integral de seguridad de la información que esté razonablemente diseñado para proteger la seguridad, privacidad, confidencialidad e integridad de la información no pública del consumidor”. Las violaciones del decreto pueden resultar en, grandes multas.

El jueves, un líder del equipo legal de Twitter hizo circular una nota interna que advertía a los empleados que, en el futuro, la empresa pediría a los ingenieros que autocertificaran el cumplimiento de los requisitos de la FTC, según un memorando visto por Bloomberg.

“Esto supondrá una gran cantidad de riesgos personales, profesionales y legales para los ingenieros”, escribió el miembro anónimo del equipo legal. “Anticipo que todos ustedes serán presionados por la gerencia para impulsar cambios que probablemente conducirán a incidentes importantes”.

PUBLICIDAD
VER +
Quiénes son los nuevos líderes emergiendo en Twitter tras la llegada de Musk

En un comunicado, la FTC escribió que estaba siguiendo los desarrollos recientes en Twitter con “profunda preocupación”. La agencia agregó que ningún CEO o empresa está “por encima de la ley”, y las empresas deben seguir los decretos de consentimiento.

Las políticas de seguridad cibernética de Twitter han enfrentado críticas anteriormente luego de filtraciones de datos de alto perfil. En 2014 y 2015, Arabia Saudí reclutó espías dentro de la empresa y los utilizó para obtener información sobre disidentes que operaban en la plataforma de forma anónima, según fiscales estadounidenses. En 2020, un adolescente de Florida fue acusado de comprometer las cuentas de personas prominentes, incluidos Musk y el presidente de los EE.UU. Joe Biden, y usarlas para promover una estafa de criptomonedas.

En septiembre, Peiter Zatko, exjefe de seguridad de Twitter conocido como “Mudge”, dijo al Comité Judicial del Senado que la empresa tenía malas prácticas de seguridad, lo que la hacía vulnerable a “adolescentes, ladrones y espías”. Dijo que el liderazgo de Twitter había “ignorado a sus ingenieros” en parte porque “sus incentivos ejecutivos los llevaron a priorizar las ganancias sobre la seguridad”.

Si bien es raro, ha habido casos de responsabilidad personal para ejecutivos de empresas por violaciones de seguridad. El exjefe de seguridad de Uber, Joe Sullivan, fue declarado culpable en un tribunal federal de San Francisco en un caso que surgió de un hackeo en 2016, cuyos detalles trató de mantener ocultos. Parte de los cargos contra Sullivan se relacionan con el hecho de que Uber tiene una orden con la FTC y está obligada a revelar las infracciones.

PUBLICIDAD

Con la asistencia de Lea Nylen.

Lea más en Bloomberg.com