Comunicado

Comunicado

Dec 4, 2018

Queremos responder a las alegaciones elevadas por FACUA y publicadas hoy en algunos medios de comunicación.

Ante todo queremos garantizar a nuestros usuarios y a nuestra comunidad que su seguridad y la protección de su privacidad es una de las principales prioridades de Change.org. Dedicamos considerable tiempo y esfuerzo a través de nuestros diferentes equipos para garantizar la seguridad de la plataforma, el respeto de las políticas de uso y el cumplimiento de las normas legales. Esto no significa que lo hagamos todo bien, pero estamos muy comprometidos con esos temas y seguimos trabajando cada día para mejorar.

En segundo lugar, en nuestra opinión, consideramos que no ha habido una brecha de seguridad que requiera la notificación a nuestros usuarios según el Reglamento General de Protección de Datos. Nuestros asesores legales en España han confirmado este punto, al igual que lo han hecho juristas especializados que aparecen en algunas de las noticias publicadas sobre este caso.

Aunque Change.org está diseñada para empoderar a las personas para que firmen y creen peticiones sobre los temas que les importan, como plataforma con contenidos generados por más de 200 millones de usuarios, hay casos en los que puede ser mal utilizada. La suplantación de identidad es uno de esos casos. Sin embargo, desde 2017 hemos recibido menos de 20 solicitudes de nuestros usuarios en España – menos del 0,00001% – solicitando la eliminación de su firma por considerar que ellos no habían firmado una petición determinada.

A pesar de que el número de estos incidentes es extremadamente bajo, contamos con una serie de medidas destinadas a prevenir este tipo de mal uso de Change.org, medidas que seguimos mejorando en la actualidad.

El 21 de noviembre de 2018, recibimos una comunicación de FACUA que nos alertaba de una potencial vulnerabilidad en nuestra plataforma que permitía que una petición pudiera ser creada o firmada como válida sin la suficiente validación del usuario de Change.org. El mismo día en que recibimos esa comunicación, nuestro equipo de producto e ingeniería modificó los protocolos de autenticación para iniciar y firmar peticiones. Algunas de estas medidas fueron puestas en marcha de forma inmediata, y trabajamos cada día para seguir mejorándolas.

Estamos poniendo en marcha lo siguiente:

  • medidas para que la firma de cualquier nuevo usuario que firme una petición no sea registrada sin la verificación adecuada,
  • medidas para que cualquier usuario que firme una petición tenga que verificar su cuenta para que su firma sea contabilizada.
  • medidas para que cualquier usuario de la plataforma deba verificar su cuenta antes de poder publicar una petición.
  • medidas para que cualquier nuevo usuario de la plataforma deba verificar su cuenta antes de poder publicar una petición.

Además de esto, éstas son algunas de las medidas que ya existían con anterioridad:

  • Cada vez que alguien firma una petición, recibe un correo electrónico de confirmación que incluye un enlace para revocar la firma si así lo desea o si no hubiera firmado la petición.
  • En cada petición existe un enlace para “reportar una petición” donde los usuarios tienen una opción específica para denunciar una suplantación, tanto si no firmaron la petición como si no la iniciaron.

Confiamos en que las medidas que estamos poniendo en marcha, junto con las medidas que ya estaban funcionando con anterioridad, puedan prevenir el mal uso de la plataforma. En cualquier caso, y como la seguridad y la privacidad de nuestros usuarios es nuestra principal prioridad, en el día de ayer informamos de forma proactiva a la Agencia Española de Protección de Datos sobre esta queja y sobre las medidas que hemos puesto en marcha en respuesta a la misma. Estaremos encantados de escuchar sus recomendaciones y trabajar con ellos para asegurar que la plataforma pueda continuar siendo un espacio seguro en el que los ciudadanos confíen para iniciar y firmar peticiones.