Los reguladores europeos de protección de datos están “comprometiendo” con Twitter luego de una serie de quejas de los usuarios de que está ignorando las solicitudes para eliminar sus mensajes directos, según pudo saber TechCrunch.
Las preocupaciones sobre la privacidad y la seguridad de los DM de Twitter, que no están encriptados de extremo a extremo (E2EE), han aumentado desde que Elon Musk se hizo cargo de la empresa el otoño pasado, lo que provocó un éxodo de personal y experiencia relevante. La llegada del multimillonario que lleva el fregadero a la sede de Twitter también condujo a una serie de cambios de productos rápidos pero mal considerados por parte del autodenominado Jefe Twit, aumentando las razones para que los usuarios se preocupen por la seguridad de sus datos.
Al mismo tiempo, hay un interrogante más amplio sobre la empresa en relación con la facilidad con la que Twitter puede eliminar datos, o incluso si, después de las acusaciones de un denunciante de seguridad el año pasado.
Solicitudes de borrado de datos de DM
La Oficina del Comisionado de Información (ICO) del Reino Unido y la Comisión de Protección de Datos (DPC) de Irlanda le dijeron a TechCrunch que están hablando con la empresa de redes sociales después de recibir una serie de quejas de los usuarios de que Twitter no cumple con las solicitudes para eliminar mensajes directos.
Un portavoz de la ICO dijo: “La ICO está entablando un diálogo con el oficial de protección de datos de Twitter y continúa evaluando los posibles impactos en la protección de datos de cualquier cambio en la empresa y sus servicios en línea”.
Mientras que el DPC nos dijo: “Puedo confirmar que hemos recibido algunas quejas sobre este tema y actualmente estamos interactuando con Twitter sobre ellas”.
TechCrunch se enteró de que Twitter está respondiendo a este tipo de solicitud de eliminación informando al usuario sobre una opción existente para desactivar su cuenta y brindándole información genérica sobre cómo hacerlo.
En un correo electrónico enviado a un usuario, que había solicitado la eliminación de sus DM, la empresa escribió: “Puede desactivar su cuenta en cualquier momento. Cuando se desactive, su cuenta de Twitter, incluido su nombre para mostrar, nombre de usuario y perfil público, ya no se podrá ver en Twitter.com, Twitter para iOS y Twitter para Android”.
Twitter también les informó que la desactivación de la cuenta se puede revertir dentro de los 30 días “si se desactivó accidental o incorrectamente”, antes de advertir esto con una advertencia de que “los motores de búsqueda y otros terceros aún pueden retener copias de su información pública… incluso después de que haya borró la información”.
Finalizó el correo electrónico proporcionando un enlace a “más información sobre la desactivación de la cuenta”.
La correspondencia, que estaba firmada como “Oficina de protección de datos de Twitter”, no menciona la eliminación de datos de mensajes directos, que era lo que la persona realmente había pedido que se eliminara.
La queja de los usuarios, por lo tanto, es que Twitter está negando las solicitudes legales europeas para eliminar sus datos personales.
El Reglamento General de Protección de Datos (GDPR, por sus siglas en inglés) de la UE, que se aplica en Irlanda, un Estado miembro de la UE, y en el Reino Unido, al menos por ahora, donde todavía está integrado en la ley nacional de protección de datos, brinda a los ciudadanos un conjunto de derechos que envuelven su información personal. datos, incluido el derecho a solicitar que se eliminen los datos personales.
Es este derecho que los usuarios de Twitter han estado buscando ejercer con respecto a los mensajes directos.
Si bien los DM de Twitter son privados (en lugar de públicos), no son E2EE, lo que significa que Twitter puede acceder al contenido de los mensajes.
La compañía tampoco proporciona a los usuarios una función para borrar los datos de los mensajes enviados desde sus propios servidores. Si eliminas manualmente un DM que enviaste El Centro de ayuda de Twitter dice la información solo se elimina de su propia cuenta (por lo que, esencialmente, solo se oculta de su propia vista), los datos no se eliminan de las cuentas de otros participantes de mensajería, y Twitter especifica que: “Cuando elimina un mensaje directo o una conversación (enviado o recibido), se elimina solo de su cuenta”.
Esto significa que los datos en sí permanecen en los servidores de la empresa y el personal de Twitter puede acceder a ellos, por lo que los usuarios no pueden borrar manualmente los DM enviados.
Este problema con la eliminación de DM se conoce desde hace algún tiempo, pero ha estallado desde que Musk se hizo cargo de Twitter y se dispuso a hundir el barco despidiendo a los altos ejecutivos y recortando la plantilla de la empresa. Sus acciones también desencadenaron una ola de salidas por parte del personal clave de seguridad y privacidad, lo que generó preocupaciones de que los sistemas de seguridad y los protocolos de privacidad existentes no sobrevivirían a la transición.
El enfoque de Musk en capacitar al personal restante para apresurar nuevas características condujo rápidamente a informes de la empresa prescindiendo de los procesos estándar de revisión de la seguridad de los productos. Y en noviembre pasado, una fuente nos dijo que la empresa ya no cumple con los requisitos clave del RGPD. Ergo, los usuarios restantes de Twitter tienen muchas razones para preocuparse por la seguridad de sus datos.
Si eso no fuera suficiente, las preocupaciones se han visto exacerbadas por la decisión de Musk de entregar datos internos y acceso al sistema a una serie de personas que no son parte del personal, después de que invitó a varios periodistas para un proyecto denominado “Los archivos de Twitter”, con el objetivo de generar cobertura de las decisiones de moderación de contenido tomadas por el equipo de liderazgo anterior de Twitter, aparentemente para promover una agenda para avivar las afirmaciones de conspiración de la derecha de que las opiniones conservadoras se excluyen en Twitter. (Curiosamente, tales afirmaciones han persistido en la era Musk-Twitter, lo que lleva a algunos Divertida teatralidad del Chief Twit a principios de este mes, cuando dijo que configuraría temporalmente su propia cuenta como privada para “probar” si los tweets privados son más visibles que los tweets públicos… pero, er, estamos divagando).
Aún no está claro qué tan extenso es este acceso de personas que no pertenecen al personal a los datos y sistemas de Twitter. Sin embargo, los expertos en privacidad destacaron rápidamente el desarrollo poco ortodoxo como otra amenaza para los datos de los usuarios, y específicamente para los DM, dado que es probable que los mensajes privados contengan contenido más confidencial que los tweets públicos (o incluso privados), por lo que probablemente sea de gran interés para los periodistas. husmeando alrededor en busca de primicias.
En noviembre, Michael Veale, profesor asociado de derechos digitales y regulación en el University College London, publicó un práctico entrada en el blog con instrucciones sobre cómo los usuarios de Twitter pueden hacer una “solicitud de derecho a borrar” bajo la ley de la UE (también conocido como el Artículo 17 del RGPD) y solicitar a Twitter que se eliminen sus mensajes directos.
Su texto de correo electrónico sugerido indica claramente a Twitter que el usuario “no está solicitando específicamente que se borre ningún otro dato, como tweets o mensajes directos que otros me han enviado”, y también especifica que “no estoy solicitando que desactives mi cuenta”. cuenta” — enfatizando aún más: “No deben permanecer copias de ningún mensaje directo enviado por mi cuenta en los servidores de Twitter o de sus procesadores de datos”.
Veale usó esta plantilla para enviar su propia solicitud a Twitter el año pasado pidiéndole que elimine sus mensajes directos. Pero Twitter también rechazó su solicitud al sugerir que podía desactivar su cuenta. Así que presentó una queja ante la ICO, lo que llevó al regulador a comprometerse con Twitter en la queja.
Pero en otro giro, la ICO contactó a Veale para decirle que Twitter le había dicho que le había enviado un correo electrónico de seguimiento. Sin embargo, la dirección de correo electrónico que usó Twitter contenía un error tipográfico, lo que significa que esta correspondencia adicional no solo no llegó a Veale, sino que puede haber sido enviada a otra persona por completo (inserte su propio facepalm)… lo que significa que es posible que Twitter no solo haya fallado en la solicitud de eliminación de DM, sino también puede haber cometido una violación de datos.
Entendemos que la ICO escribió nuevamente a Twitter esta semana con respecto a la queja en curso de Veale, indicándole que proporcione “una respuesta clara y sustancial a su solicitud de borrado”, y que lo haga dentro de los siete días.
Así que el tira y afloja continúa, por ahora.
Sin embargo, si Twitter continúa bailando en torno a la ley de la UE al negar a los usuarios el derecho a eliminar sus mensajes directos, será responsabilidad de los reguladores tomar medidas enérgicas y hacer cumplir el RGPD en el pájaro. Las sanciones por incumplimiento del régimen pueden escalar hasta el 4% de la facturación anual y, en el caso de infracciones continuas, generalmente irán acompañadas de órdenes correctivas.
¿Se descarriló el trabajo de eliminación escalable?
Eso no es todo, tampoco. Hay otro signo de interrogación sobre si Twitter realmente cuenta con sistemas que le permitan realizar fácilmente (y rápidamente) las eliminaciones de DM solicitadas o, de hecho, eliminar otros tipos de datos de usuario (incluso cuentas completas) a pedido.
La cuestión es que una de las acusaciones hechas contra Twitter el otoño pasado por el denunciante de seguridad Peiter ‘Mudge’ Zatko, fue una afirmación de que no puede eliminar los datos de los usuarios. Por CNNel exjefe de seguridad de Twitter dijo que la compañía no elimina de manera confiable los datos de los usuarios después de que cancelan sus cuentas, en algunos casos porque puede haber perdido el rastro de la información.
También alegó que Twitter había engañado a los reguladores sobre si realmente elimina los datos, ya que puede estar legalmente obligado a hacerlo.
Una fuente familiarizada con los sistemas y procesos de Twitter antes de la adquisición de la compañía por parte de Musk cuestionó algunas de las afirmaciones de Mudge el año pasado, diciéndonos que el problema de la eliminación de datos es “una historia mucho más complicada” de lo que alega su cuenta. Sin embargo, esta persona, que habló con TechCrunch bajo condición de anonimato, también nos dijo que la empresa no cuenta con sistemas escalables para eliminar datos, diciendo que históricamente se ha basado en el uso de “mecanismos únicos” para realizar la tarea.
Después de que llegó la queja de Mudge, nuestra fuente dijo que el escrutinio en Twitter sobre el problema de eliminación se marcó y el trabajo, que había estado en curso internamente durante quizás cinco años para tratar de manejar adecuadamente el problema de eliminación, se puso en marcha, con la empresa. asignar “equipos dedicados” para trabajar en la eliminación escalable. Teams Musk luego disparó en las purgas de personal después de su toma de posesión. “El resultado es que no hay la gente ni los recursos para terminar ese trabajo a tiempo”, sugirió la fuente.
Además, nos dijeron que Twitter había hecho declaraciones a los reguladores en los EE. UU. y Europa de que este trabajo se realizaría en ciertas fechas, con un objetivo aproximado (antes de que la bola de demolición de Musk se balanceara) de finalización para el tercer trimestre de este año, por lo que cualquier falta los plazos para ese proyecto podrían tener implicaciones regulatorias adicionales.
“Porque [the wave of layoffs last November] ese trabajo está terminalmente fuera de horario”, predijo nuestra fuente. “Incluso si [Musk] movió todos los recursos de ingeniería que tiene actualmente disponibles en la empresa, lo que significa que no pudo enviar un nuevo producto, tiene que concentrarse en esto, aún así superaría la fecha límite en al menos dos trimestres”.
Nos comunicamos con Twitter con preguntas sobre su negativa a las solicitudes de eliminación de DM de los usuarios, y sobre el tema más amplio de si tiene sistemas escalables para eliminar los datos de los usuarios de una manera que cumpla con las obligaciones reglamentarias, y actualizaremos esta publicación. con cualquier respuesta. Pero siéntase libre de colarse en nuestros DM, ella irwin.
¿Trabajas en Twitter y tienes un consejo sobre lo que está pasando? Póngase en contacto con natasha@techcrunch.com