Se você se preocupa com segurança e privacidade de dados, você vai querer ler sobre o acordo da FTC com Ruby Corporation, Ruby Life Inc. e ADL Media Inc. – as empresas que operam AshleyMadison.com.
AshleyMadison.com anunciou um site de namoro “100% seguro e anônimo”. Ele reforçou essas afirmações ao incluir um ícone de “Prêmio de Segurança Confiável” e uma imagem indicando que o site era um “serviço 100% discreto”.
O site atraiu você com promessas de “milhares de mulheres” em sua cidade (e lembre-se, cerca de 16 milhões dos 19 milhões de perfis nos EUA eram de homens). Em seguida, usou “perfis de engajamento” – perfis falsos criados por funcionários que se comunicavam como se fossem usuárias reais. A empresa criou esses perfis usando informações de membros existentes que não tinham nenhuma atividade na conta há algum tempo. Muitas vezes, os usuários não pagantes atualizavam para assinaturas completas para que pudessem enviar mensagens para o que acreditavam serem usuários reais, mas que eram, na verdade, perfis falsos.
Para usuários que estavam preocupados com o fato de outras pessoas descobrirem suas atividades no site, o site prometia que você poderia “remover seu rastro digital”. Por US$ 19, você poderia comprar um “Full Delete” que prometia remover todas as suas informações do AshleyMadison.com. Estamos falando de informações como: nome; status de relacionamento; preferências sexuais e encontros desejados; atividades desejadas; fotografias; e informações financeiras. Parece uma informação que as pessoas não gostariam de divulgar em público, certo?
Em julho de 2015, um grupo chamado “The Impact Team” invadiu o sistema de computador de Ashley Madison. O grupo ameaçou divulgar todas as informações do usuário do site, a menos que o Ashley Madison fechasse. Quando a empresa recusou, o grupo publicou informações pessoais de cerca de 36 milhões de usuários. São muitas informações muito pessoais de muitas pessoas.
Incluía até informações de pessoas que pagaram por uma “exclusão completa”. Descobriu-se que Ashley Madison manteve informações pessoais por até 12 meses após uma “exclusão completa” e às vezes não conseguiu remover completamente os perfis.
Como isso aconteceu? A reclamação da FTC alega que AshleyMadison.com se envolveu em diversas práticas que não forneceram segurança de dados razoável, incluindo:
- Falha em ter uma política de segurança da informação escrita
- Falha na implementação de controles de acesso razoáveis
- Falha em treinar adequadamente o pessoal sobre segurança de dados
- Falha no monitoramento de provedores de serviços terceirizados
Esses princípios básicos estão todos descritos no guia Comece com Segurança da FTC.
A queixa de cinco acusações da FTC alega engano e injustiça. As acusações de fraude envolvem: declarações falsas de que a empresa tomou medidas razoáveis para garantir que AshleyMadison.com era seguro; deturpações de que os perfis dos engajadores eram de mulheres reais; declarações falsas sobre a exclusão de perfis; e declarações falsas sobre o selo de segurança de dados (você adivinhou – a empresa sem uma política de segurança de dados escrita não recebeu de fato um “Prêmio de Segurança Confiável”). Por fim, a denúncia alega que as práticas injustas de segurança da empresa prejudicaram ou podem prejudicar os consumidores.
O acordo da FTC com a Ruby Corporation e suas subsidiárias proíbe as empresas de fazerem esses tipos de declarações falsas. Também exige que mantenham um programa abrangente de segurança da informação e obtenham avaliações bienais.
E a FTC não está sozinha nisso. O acordo da FTC é feito em conjunto com treze estados e o Distrito de Columbia. A FTC também contou com a ajuda dos seus homólogos internacionais no Canadá e na Austrália. Baseado em um investigação conjuntao Escritório do Comissário de Privacidade do Canadá celebrou um acordo de conformidade e o Escritório do Comissário de Informação Australiano firmaram um compromisso executório com a Ruby Corporation, com sede em Toronto. Esses acordos concentram-se em medidas corretivas para melhorar as políticas de segurança e retenção de dados da empresa.
Então, qual é a lição aprendida com o caso Ashley Madison? As empresas devem cumprir as suas promessas. E se você coletar informações pessoais confidenciais, deverá protegê-las.
Para obter mais orientações sobre como fazer isso, consulte Protegendo informações pessoais: um guia para empresas e Comece com segurança: um guia para empresas. E para obter mais recursos de conformidade, visite o portal de Privacidade e Segurança do Business Center.
