La Comisión Federal de Comercio (FTC) de EE.UU. obligó a Weight Watchers a destruir algoritmos después de violar las leyes de privacidad, lo que hace que los CISO se preocupen de nuevo por la protección de la propiedad intelectual.

La existencia de políticas y procedimientos en torno a la aplicación de una estrategia empresarial son el sello de la madurez en el crecimiento de una empresa. Cuando las personas con información privilegiada toman decisiones empresariales que violan la ley o esas políticas, existe la posibilidad de que aumente el riesgo para la empresa. Lo vemos con más frecuencia cuando personas en posiciones de confianza violan las políticas o las restricciones de procedimiento, ya sea a propósito (robo) o accidentalmente (error humano) y los datos desaparecen o salen volando hacia el dominio público.

Una reciente orden de conciliación, fechada el 3 de marzo, entre la Comisión Federal de Comercio (FTC) y Weight Watchers International y su filial Kurbo, de la que es propietaria al cien por cien, demuestra lo que puede ocurrir si esas personas de confianza desarrollan un modelo de negocio que ignora la ley. Weight Watchers y Kurbo acordaron pagar una multa de 1,5 millones de dólares, eliminar la información “recogida ilegalmente de niños menores de 13 años” y “destruir cualquier algoritmo derivado de los datos“.

Heridas autoinfligidas, propiedad intelectual perdida

En 2017, Volkswagen tomó la decisión empresarial de engañar las pruebas de emisiones de Estados Unidos, fue multada con 4.300 millones de dólares, se vio obligada a recomprar millones de vehículos y acabó con seis de sus empleados acusados. La decisión empresarial de Kurbo/Weight Watchers también tiene consecuencias. En este momento las consecuencias afectan al negocio. Todavía no se ha determinado si el Departamento de Justicia (DOJ) presentará cargos penales contra el personal.

Raj Koo, vicepresidente senior de ingeniería y ciberinteligencia de DTEX Systems, observa cómo nunca había visto un caso en el que una empresa aceptara destruir su propiedad intelectual como parte de un acuerdo con el gobierno. “Este acuerdo conlleva un importante rastro de auditoría”, afirmó.

Mientras, el director de seguridad e inteligencia empresarial de DTEX, Armaan Mahbod, ha dicho que “el mundo está cambiando; podemos esperar ver más de todo esto”. Mahbod señaló que, a medida que las leyes de protección de datos de la UE y de EE.UU. siguen evolucionando en la dirección del control individual sobre su información, “una mayor transparencia en la vida de la retención de datos y el derecho a ser olvidado será la norma“.

La violación de la COPPA por parte de Kurbo

Según la FTC, Kurbo centró sus esfuerzos de marketing en niños menores de 13 años, violando directamente la “Ley de Protección de la Privacidad de los Niños en Línea (COPPA)“. En 2014, Kurbo (entonces una entidad independiente) comenzó a comercializar un “servicio de control de peso y seguimiento diseñado para ser utilizado por niños de ocho años o más, adolescentes y familias.” En 2018, Weight Watchers adquirió Kurbo y renombró la oferta de Kurbo dirigida a niños de hasta ocho años. Los documentos judiciales muestran que desde 2014 hasta febrero de 2020, más de 279.500 personas utilizaron Kurbo, y al menos 18.600 eran niños menores de 13 años.

La app de Kurbo solicitaba información de identificación personal (IIP) a los usuarios registrados, como el nombre, el sexo, la fecha de nacimiento, el peso, la altura, el número de teléfono, la ingesta de alimentos y el nivel de actividad de forma continua. Antes de agosto de 2021, los datos de los usuarios, incluso de los que habían desaparecido, se conservaban indefinidamente. En agosto de 2021, la política se ajustó y los datos de un niño se conservaron durante tres años, o cuando un padre solicitó su eliminación.

La demanda del DOJ del 16 de febrero de 2022 solicitaba que se prohibiera permanentemente a Kurbo/Weight Watchers y se le impusiera una sanción civil monetaria. La presidenta de la FTC, Lina M. Khan, comentó sobre el acuerdo: “Weight Watchers y Kurbo comercializaron servicios de control de peso para su uso por parte de niños de tan solo ocho años, y luego recopilaron ilegalmente su información personal y sanitaria sensible. Nuestra orden contra estas empresas les exige que eliminen sus datos mal recopilados, destruyan cualquier algoritmo derivado de ellos y paguen una multa por su infracción de la ley.”

La destrucción de los algoritmos forma parte del acuerdo de Kurbo

Al parecer, Kurbo optó desde el principio por ignorar la COPPA, y luego elaboró una estrategia para eludir la ley creada para proteger a los menores. El hecho de que la entidad aceptara destruir su propia propiedad intelectual lo dice todo, y de hecho, puede resultar más perjudicial que la multa monetaria que la empresa aceptó pagar. Tal y como se crearon los algoritmos, es de suponer que se diferenciaron en el mercado para captar a los usuarios mayores de 13 años.

Kurbo y Weight Watchers están obligados a presentar un informe de cumplimiento después de un año a la FTC. Además, la empresa ha aceptado una importante supervisión administrativa. Durante un periodo de diez años, deben crear determinados registros según las indicaciones de la FTC y conservarlos durante un periodo de cinco años. Estos registros incluyen los registros de personal de cada persona que preste servicios (empleado o no), los registros necesarios para demostrar el pleno cumplimiento, todas las quejas de los consumidores, y copias de toda la información de marketing, incluidas las capturas de pantalla.

El consejo de Koo a todas las empresas es que “la forma en que una empresa comunica sus políticas y garantiza la revisión del ciclo de vida del desarrollo del código es clave” para garantizar que las empresas minimizan el riesgo de incumplir las leyes de protección de datos.

-Christopher Burgess, cio.com