La empresa matriz de TikTok, ByteDance, puede haber infringido las leyes en Estados Unidos (EU) y la Unión Europea (UE) porque no tiene una política interna de retención de registros corporativos, según siete empleados actuales y anteriores de ByteDance y cientos de documentos internos y registros de chat revisados por Forbes.
Los materiales internos muestran a los expertos legales y políticos de TikTok advirtiendo claramente a los altos líderes, incluido el director de seguridad global, Kim Albarella, que la falta de una política de ByteDance para la gestión de registros internos podría amenazar su capacidad para operar en los EU y la UE. Uno, de la primavera de 2023, muestra a un experto interno en políticas de privacidad expresando su alivio porque los reguladores aún no se habían dado cuenta de que la empresa no cumplía.
Los empleados expresaron su preocupación de que la empresa pudiera no cumplir con la Ley de la FTC de los Estados Unidos y la regulación de privacidad europea GDPR. Las reglas sobre la retención y eliminación de registros corporativos, aunque parezcan mundanas, son fundamentales porque impiden que las empresas borren sus registros de evidencia de irregularidades y protegen la privacidad de las personas cuya información está almacenada en los registros corporativos.
Las siete fuentes dijeron a Forbes que ByteDance careció de esa política durante años, un descuido con consecuencias potencialmente nefastas para una empresa que ya está siendo investigada por el gobierno de Estados Unidos y que ha enfrentado un escrutinio global por sus prácticas de privacidad de datos. A algunos les preocupaba que también pudiera poner en peligro el negocio de comercio electrónico de rápido crecimiento de la compañía, centrado en TikTok Shop, que se lanzó en Estados Unidos en septiembre pasado y apunta a ingresos de 17.500 millones de dólares este año.
En comunicaciones vistas por Forbes, los empleados explicaron que no tener una política de retención de registros hacía que la empresa no cumpliera con el Estándar de Seguridad de Datos de la Industria Internacional de Tarjetas de Pago (PCI), que, si se hubiera descubierto, podría haber detenido por completo su capacidad para procesar transacciones con tarjetas de crédito. . Un documento de finales de 2022 afirmaba que TikTok Live había sido “lanzado sin tener en cuenta el cumplimiento de PCI”.
La preservación de los registros corporativos (y la accesibilidad de esos registros por parte de los funcionarios del gobierno de EU) tiene mucho en juego para TikTok.
Los materiales internos revisados por Forbes, muchos de los cuales tienen el privilegio de abogado-cliente, revelan una lucha para crear y lanzar una política provisional para documentos específicos de tarjetas de crédito a principios de 2023 para garantizar que la empresa cumpliera con los requisitos. Pero en marzo de 2023, Albarella les dijo a los empleados que no iban a acelerar una política específica de datos de titulares de tarjetas y que, en cambio, procederían a crear y lanzar una política integral, según muestran los materiales. El problema: su personal dijo que el proceso tardaría entre uno y dos años en ponerse en funcionamiento y, mientras tanto, la empresa todavía no cumplía, según muestran los materiales.
En respuesta a una lista detallada de preguntas sobre los materiales internos, el portavoz de TikTok, Alex Haurek, envió la siguiente declaración: “Creemos que estas afirmaciones se basan en documentos obsoletos, que fueron preparados predominantemente por empleados que ya no están en la empresa, que no tienen visibilidad de todo nuestro trabajo en esta área, y que ahora están intentando avanzar en una agenda sin tener en cuenta los hechos”. Haurek dijo que el cronograma de 1 a 2 años “fue extraído de un documento preparado por un solo ex empleado y no fue validado”.
Lee más: Pokémon anuncia nuevo videojuego para 2025, esto es lo que sabemos
Abogados de TikTok advirtieron repetidamente a los ejecutivos que podrían estar infringiendo las leyes de datos
En respuesta al documento interno sobre el cumplimiento de PCI de TikTok Live, Haurek escribió: “Esta declaración no autorizada no refleja con precisión el estado de cumplimiento de PCI de estos productos. Fue ingresada en el informe, después de la revisión final, por un empleado que desde entonces dejó la empresa. .” El portavoz de ByteDance, Mike Hughes, añadió: “Seguimos los estándares de la industria en aplicaciones sujetas a los estándares PCI”. Cuando se le preguntó directamente si ByteDance cumple con la Ley de la FTC y el RGPD en la actualidad, Hughes escribió: “Nos esforzamos continuamente por cumplir con nuestras obligaciones legales relacionadas con los datos”. gobernancia.”
Ninguno de los portavoces respondió a preguntas sobre en qué país o países se almacenaban sus registros corporativos.
Hillary Sale, profesora de liderazgo y gobierno corporativo en la Facultad de Derecho de Georgetown, dijo a Forbes que cualquier empresa del tamaño de TikTok debería tener una política de retención, y que estos son sistemas que toda startup debería implementar a medida que crece. Las empresas deben “comprender cómo y cuándo conservar los documentos y garantizar que las personas de toda la empresa comprendan esa importancia”, dijo a Forbes en una entrevista.
La preservación de los registros corporativos, y la accesibilidad de esos registros por parte de los funcionarios del gobierno de los EU, tiene mucho en juego para TikTok, ya que se encuentra en medio de negociaciones de varios años con el Comité de Inversión Extranjera de los Estados Unidos. La administración Biden advirtió que obligaría a ByteDance a vender TikTok o enfrentar una prohibición de la aplicación en los EU.
(N. De la R.: en una vida anterior, ocupé cargos políticos en Facebook y Spotify).
Aún no está claro si existe incluso una política de retención específica de TikTok.
TikTok también está bajo investigación criminal por parte del Departamento de Justicia de Estados Unidos por vigilar a periodistas, incluido este reportero, y recibió una citación para presentar documentos relacionados con esa investigación a fines del año pasado. Anteriormente, Forbes informó que los propios expertos antifraude de ByteDance advirtieron a la compañía que era incapaz de garantizar que sus respuestas a las solicitudes de las autoridades, como las citaciones, fueran precisas, en parte debido a las prácticas irregulares de preservación de datos de la compañía. En ese momento, la compañía dijo: “Este documento fue creado dentro de un departamento hace casi dos años, nunca se presentó internamente más allá de eso y es en gran medida inexacto, con detalles obsoletos que se vuelven irrelevantes debido a las actualizaciones periódicas de nuestras prácticas en los años posteriores. “
En el otoño de 2022, un abogado de TikTok les dijo a sus colegas que estaba trabajando con un equipo de producto en una función de descubrimiento electrónico que permitiría a la empresa responder mejor a las solicitudes de registros de la empresa, pero advirtió a sus colegas que sería un proceso largo, según Documentos revisados por Forbes. En ese momento, la tarea de desarrollar una política se había encomendado al equipo de Garantía de Acceso y Defensa de Datos de TikTok, pero ese equipo le quitó prioridad a la misma en favor de un trabajo más urgente. Luego, el proyecto se entregó a expertos en cumplimiento de datos dentro de la Organización de Seguridad Global (GSO) de la empresa.
También en 2022, ByteDance contrató a Redgrave LLP, una firma especializada en gobierno de la información corporativa, para que la ayudara a crear una política de retención de documentos. Una de las primeras preguntas que plantearon los abogados externos fue si la política debería redactarse para cubrir solo TikTok o todo ByteDance. En una conversación de mediados de 2022, el exlíder global de cumplimiento de seguridad de TikTok le dijo a Albarella, directora de seguridad interina de la compañía, que la política tendría que abarcar a todo ByteDance, porque “el sistema interno de ByteDance no se puede separar entre productos”.
Los borradores de políticas de principios de 2023 escritos por el abogado de Redgrave muestran que, si bien los abogados originalmente pretendían que el borrador de la política cubriera todos los documentos internos de ByteDance, posteriormente lo redujeron para cubrir solo los documentos propiedad de TikTok. (Redgrave no respondió a una solicitud de comentarios).
Aún así, no está claro si ya existe siquiera una política de retención específica de TikTok. Forbes preguntó tanto a TikTok como a ByteDance si hoy cuentan con políticas integrales y aplicadas de retención de datos.
“Como cualquier empresa, conservamos registros para cumplir con obligaciones legales”, respondió Hughes. Haurek agregó: “Contamos con políticas y procedimientos que rigen la retención de información personal de los usuarios de TikTok”.
Ninguno respondió una pregunta de seguimiento que pedía aclarar si TikTok y ByteDance tienen políticas de retención de registros corporativos en la actualidad.
Este artículo fue publicado originalmente por Forbes US.
Te puede interesar: CPKC y Grupo México entregarían en agosto estudios de factibilidad de tren de pasajeros
