v

Presented By:

vv

vPresented By:

v

Presented By:

Social Media, BYOC and BYODThe Future in eDiscovery

Presented by

v

Presented By:

SpeakersGlen Silverstein, Partner, Leader & Berkon, LLPJay Sanchez, Data Forensics and eDiscovery Systems, AbbVieMatthew Levy, Vice President, Legal & Compliance Solutions, HP 

v

Presented By:

Agenda• Initial Comments• BYOD/BYOC

– Relevance – Recent Scandals – Risks Arising From BYOD – Best Practices– Open Issues 

• Social Media– Significance of Social Media– Discoverability– Challenges to Discovery of Social Media– Failure to Preserve – Avoiding Sanctions– Admissibility 

• Takeaways 

v

Presented By:

POLL: Is there anyone here that doesn’t have a smart phone? 

– 50% of US population have smart phones (estimated 70% by 2017)

POLL: How many people still carry two phones? – 80% of companies allow employees to use their own device at work

– Estimated 38% of companies will stop providing corporate devices by 2017

v

Presented By:

Relevance of BYOD/BYOC• Employer saves $$$$$• Convenience for employee• But there are challenges

– Ownership & control– Preservation obligations

v

Presented By:

Recent scandals• Hilary Clinton – Emailgate

– Used personal email for state business– Not preserved on department servers—Federal Records Act– Attempted remediation: 55,000 pages turned over

• No guarantee all were captured

– Email account vulnerable to hackers– Possible inadvertent leaking of classified information

• Scott Gration – US Ambassador to Kenya– Dissatisfied with IT management in Nairobi embassy– Ordered a unsecured commercial internet connection – State business conducted through Gmail account. – Led to his resignation. 

v

Presented By:

Risks• Sanctions for deletion of mobile data

– Small v. Univ. Med. Ctr. Of St. Nev.– Passlogix, Inc. v. 2FA Tech., LLC– Cytec Carbon Fibers LLC v. Hopkins– Se. Mech. Servs., Inc. v Brody

• “Losing” your cell phone ≠ solu on– Christou v. Beatport– Outdoor Living, Inc. v. Mich. Resin Reps.

• Difficult to subpoena data• Inadequate mobile security 

– +50% of BYOD companies reported breaches in 2012• Employee compliance

v

Presented By:

Effective best practices• Define scope of participation• Designate permissible devices• Obtain consent for employer access• Educate employees on litigation holds

– In re Pradaxa (Dabigatran Etexilate) Prods. Liability Litig., • Departing employees• Compensation• Security rules

v

Presented By:

• POLL: How many of you have complex passwords on your cell phones? 

• Basic precautions– Passcode length/complexity + strict retry/timeout standards.– Remote wiping– Mandatory anti‐virus software – Lost device procedure – Limit network access points (secured networks only)– “No jail breaking/no rooting” and restrict third‐party applications– “Good for enterprise” app

• Separates personal and corporate content• Meets government security requirements, e.g., DoD standards  

v

Presented By:

• Industry Specific Pitfalls– FINRA/SEC expanded guidance to address personal devices/social media. • FINRA Reg. Notice 10‐06

–SEC’s record‐keeping requirements (Rule 17a‐4(b)(4)) apply to the use of personal devices

• Personal devices acceptable, but…–Firms must supervise activity and maintain adequate records

v

Presented By:

Open issues• Employee expectations of privacy in data on company owned devices

– California v. Riley—police officers violate Fourth Amendment by conducting a warrantless search of a smartphone seized incident to arrest 

• “Modern cell phones, as a category, implicate privacy concerns far beyond those implicated by the search of a cigarette pack, a wallet or purse.”

• Smartphones give rise to heightened privacy concerns– Average memory of a smartphone “translates to millions of pages of text, thousands of pictures or hundreds of videos.” 

– Unclear how Riley will be applied in civil context• Bakhit v. Safety Marketing, Inc.—declined to order inspection of cellphones paid for or provided by an employer as overbroad and too intrusive of privacy concerns intrinsic to cellphones).

v

Presented By:

Significance of social media• 50% of Global Fortune 100 have active Facebook or Twitter 

accounts• 73% of adults have active social media accounts• 2015 – Facebook has >1.4 billion users; Twitter >288 million 

users (500 million Tweets per day); LinkedIn >347 million users

• Inflammatory content more often found in social media and instant messaging then in email

• Gartner Group predicts over half of corporate litigants are asked to produce social media records 

v

Presented By:

Discoverability• Primary inquiry is relevancy

– Tompkins v. Detroit Metro Airport– Tapp v. N.Y. State Urban Development Corp.

• Privacy Settings Do Not Protect Social Media Content– Nucci v. Target Corporation– Romano v. Steelcase, Inc.– McMillan v. Hummingbird Speedway, Inc.

• To offset privacy concerns, courts may allow in camera review – Offenback v. Bowman

v

Presented By:

Practical challenges to discovery• Limited Ability to Subpoena Social Media Sites

– Stored Communications Act (“SCA”), 18 U.S.C. 2701‐2712• Prohibits “a person or entity providing an electronic communication service to the public” from “knowingly divulge[ing] to any person or entity the contents of a communication while in electronic storage by that service. . . .” 2702(a)(1)

• Social media site must have “lawful consent” from user in order to produce

– Crispin v. Christian Audigier, Inc.• Defendants served subpoenas on Facebook and MySpace seeking subscriber information and plaintiff’s communications with third parties

– Held both Facebook and MySpace were “electronic communication services” and the SCA applied to prohibit those services from divulging user created content. 

v

Presented By:

Failure to preserve• Duty to preserve arises once litigation is pending or reasonably anticipated as long as it is in your custody 

or control  See, e.g., Pension Committee• Consequences of failing to preserve

– Deleting social media content can be considered spoliation – Sanctions designed to deter spoliation and restore position of prejudiced party Zubulake v. UBS 

Warburg LLC• Behavior warranting sanctions 

– Courts differ on level of culpability required—negligence, gross negligence or willful destruction – Willfully destroying a laptop could get your case dismissed or a default judgment.  Daynight LLC v. 

Mobilight, Inc.– Grossly negligent spoliation could result in preclusion of a witness or an adverse inference charge.  

Pension Committee– If party suffers any prejudice, courts will likely order monetary sanctions. Pension Committee– Lester v. Allied Concrete Co.

• Plaintiff and his attorney accountable for willful destruction of plaintiff’s Facebook page• Most evidence ultimately retrieved, but court fined plaintiff $180,000 and the attorney 

$542,000. 

v

Presented By:

Avoiding sanctions• The Robust Litigation Hold Letter 

– Failure to timely institute a litigation hold may, without more, amount to gross negligence.  N.V.E. Inc. v. Palmeroni

– At a minimum: • Crucial to understand your client/company’s electronic systems • Litigation hold should always be communicated in writing• Communicate litigation hold to all relevant employees

– contrast with Sekisui, NY case where litigation hold was prepared but never provided to IT department)

• An added layer of protection—electronic archives• Ensure a protocols and systems to identify and preserve relevant ESI

– Data map, listing systems and applications)

v

Presented By:

• Ethics Guidelines (constantly developing)– Florida Bar Ethics Committee ‐ Jan 23, 2015 –proposed Advisory Opinion 14‐1, finding 

that before litigation commences, and absent any preservation obligation, an attorney may advise a client to remove information from social media pages and/or change privacy settings from public to private, as long as the client retains a record of the deleted information. 

– NYCLA – Opinion 745 (Jul 3, 2013) – attorneys may advise clients to use privacy settings and remove information from social media, unless there is a preservation duty and without any violation of law or spoliation. 

– Penn Bar Association – Opinion 2014‐300 – permissible for attorneys to advise clients to delete information from social media, so long as the deletion does not constitute spoliation and a record of the deleted information is preserved. 

– North Carolina Bar Association – Opinion 4 (Jul 25, 2014) – attorneys may advise clients to remove information so long as not otherwise illegal and does not constitute spoliation. 

v

Presented By:

Admissibility• “Didn’t you post this to Facebook . . . ?“  “No, it wasn’t me.”• ESI must be (1) relevant, (2) authentic, (3) not hearsay or admissible under 

an exception to rule barring hearsay evidence, (4) original or duplicate or admissible as secondary evidence to prove its contents, and (5) probative value must outweigh its prejudicial effect.

• Authenticity of social media receives much attention– FRE 904(b)(1) allows authentication through the testimony of a 

witness with knowledge that the evidence is what it is claimed to be. – FRE 904(b)(4) permits authentication using circumstantial evidence in 

conjunction with the appearance, contents, substance, internal patterns, or other distinctive characteristics.

v

Presented By:

• United States v. Vayner– Absolute proof not necessary, but must provide sufficient support that evidence is what it purports to be

• Griffin v. Maryland– “The characteristics of the offered item itself, considered in the light of circumstances, afford authentication 

techniques in great variety, including authenticating an exhibit by showing that it came from a particular person by virtue of its disclosing knowledge of facts known peculiarly to him.”

• People v. Valdez– Printout of social‐networking Internet web– Page displayed a photograph of defendant’s face, greetings addressed to defendant by name and by relation were 

included in a section of the website where other users could post comments, defendant's sister left defendant a greeting on the page, greetings from defendant's friends included personal details, and author's stated interests matched what police knew of defendant's interests. 

• Moore v. State– Defendant's social networking web page properly authenticated– Defendant's girlfriend testified that the picture on the web page was of defendant and confirmed that his hometown 

was the same as that listed on the page, the web page included the cellular telephone number from which defendant had called his girlfriend, and other evidence showed that defendant used the same nickname that was listed on the web page.

• People v. Lenihan– Government witness’s MySpace page not properly authenticated– Foundation improper in light of the ability to photo shop, edit photographs, and the fact that the defendant did not 

know who took the photographs or who uploaded them

v

Presented By:

Takeaways• Litigation Risks

– Records must be accessible and properly preserved  • Managing the data 

– Social media records not necessarily within corporate control—may be on 3rd party servers – Comments can be deleted, tweets can be re‐tweeted 

• Manage corporate use of social media – Authorized publishers– Security protocols– Compliance with applicable laws

• 2010 FINRA guidance—“[e]very firm that intends to communicate, or permit its associated persons to communicate, through social media sites must first ensure that it can retain records of those communications . . .”

– Establish clear, written document retention and BYOD policies• Capture and store social media activity 

– Facebook/Twitter download features• Consult counsel re social media activity and preservation, once litigation is anticipated.

v

Presented By:

Questions&

Thank you