פייסבוק מחוייבת להקים ועדת דירקטוריון לדיון בנושאי פרטיות, למנות קציני ציות פנימיים שידווחו לוועדה ולא למנכ"ל צוקרברג, ונושאי המשרה בחברה יחובו אישית במקרה שתפר שוב את התחייבויותיה לפרטיות – אלה מקצת הצעדים שנקבעו בצו שהוציאה נציבות הסחר הפדראלית (ה-FTC) בהסכמת פייסבוק, ואשר השית על החברה, בין השאר, קנס שיא של חמישה מיליארד דולר. הצו הוצא בעקבות פרשת קיימברידג' אנליטיקה, לאחר שנציבות הסחר מצאה שפייסבוק הפרה צו מוסכם אחר שניתן נגדה ב-2011.
הצו החדש מחייב את פייסבוק לארגן מחדש את גישתה לפרטיות מרמת הדירקטוריון של החברה ומטה. החברה נדרשת בין היתר להוסיף ועדת פרטיות עצמאית לדירקטוריון שלה, שתמנע, לדברי ה- FTC, את "השליטה הבלתי מוגבלת של מנכ"ל פייסבוק מארק צוקרברג על החלטות המשפיעות על פרטיותם של המשתמשים".
הצו משלב מנגנונים חדשים המיועדים להבטיח שמנהלי פייסבוק יישאו באחריות אישית בנוגע לפרטיות. כך לדוגמה, נדרש מארק צוקרברג באופן אישי להגיש ל- FTC תצהיר על כך שהחברה מצייתת לצו ולתוכנית הפרטיות. הגשת תצהיר כוזב תחיל עליו ועל מנהלי החברה קנסות אזרחיים ופליליים.
הצו גם מחזק את עצמאות הפיקוח החיצוני. החברה חייבת לבצע הערכת ציות תקופתית באמצעות בודק חיצוני בלתי תלוי שהסמכות לאשר ולסיים את מינויו תהיה רק בידי ה-FTC. הבודק הבלתי תלוי לא יסתפק בעדויות או הצהרות של הנהלת פייסבוק אלא יקבל בעצמו אישור גישה למידע פנימי.
פייסבוק חייבת עוד לערוך תסקיר פרטיות לכל מוצר או שירות חדש, ולתעד את החלטותיה. פייסבוק חייבת לתעד כל אירוע שנפגע בו מידע של 500 משתמשים ומעלה ולדווח על כך לרגולטור. מקור: נציבות הסחר הפדרלית.
למרות שהדברים נראים נוקשים, ההסדר אינו חף מביקורת. בין שאר הטענות שהועלו נגדו - ההסדר פוטר את פייסבוק ומנהליה מכל טענה או תביעה על הפרות שהוגשו נגדם עד ליוני 2019, לרבות כאלה שאינם קשורים לפרשת קיימברידג' אנליטיקה, ומאפשר לחברה לפתוח דף חלק חדש; ההסדר מותיר לשיקול דעתה של החברה איזה מידע לאסוף וכיצד לפעול בו, ועוד.