Quando pronunciado por um pirata, “Avast!” é um termo náutico para “Ouça e pare com isso”. E quando a FTC diz “Avast!” para a empresa de software Avast, significa a mesma coisa. A Avast Limited, sediada no Reino Unido, disse aos consumidores que o uso de seu software protegeria sua privacidade, evitando o rastreamento e a coleta de informações do navegador. Mas de acordo com a FTC, de 2014 a 2020, adivinhe quem estava rastreando as informações do navegador dos consumidores e depois as vendendo para mais de 100 outras empresas por meio de uma afiliada chamada Jumpshot? Ironicamente, Avast Limited. Não temos certeza de quanto o remédio financeiro de US$ 16,5 milhões está em dobrões, mas esperamos que os termos do acordo proposto lembrem outras empresas de relegar condutas como essa para o armário de Davy Jones.
Para os consumidores preocupados com sua privacidade, as afirmações da Avast sobre seu software antivírus e extensões de navegador chamaram a atenção. A empresa prometeu que seus produtos bloqueariam “cookies de rastreamento irritantes que coletam dados sobre suas atividades de navegação”. Em uma grande loja de aplicativos, a empresa lançou seu software Avast Mobile como uma forma de os consumidores “protegerem seu dispositivo”, sendo “alertados quando você instala aplicativos de spyware e adware que violam sua privacidade, enviando seus dados pessoais para seus servidores”. Ao descrever seu software de desktop, a Avast prometeu que “protegeria sua privacidade” e “impediria que qualquer pessoa acessasse seu computador”. A Avast também disse às pessoas que seu software lhes permitiria “recuperar seu navegador. Livre-se de extensões indesejadas e de hackers que ganham dinheiro com suas pesquisas.” O gancho de marketing da empresa para seu Avast Secure Browser eram seus recursos anti-rastreamento, prometendo que “protegeria () sua privacidade, evitando que sites, empresas de publicidade e outros serviços da web rastreassem sua atividade online”.
É uma ironia que não passou despercebida à FTC que a Avast tenha feito essas promessas de privacidade enquanto traficava os históricos de navegador dos consumidores.
Você vai querer ler a reclamação para obter detalhes sobre o que a Avast supostamente estava fazendo nos bastidores, mas parte da história está relacionada à aquisição da empresa de antivírus Jumpshot em 2014. A Avast rebatizou a Jumpshot como uma empresa de análise, que anunciou que é “ (m)mais de 100 milhões de consumidores online em todo o mundo” daria aos clientes da Jumpshot “insights únicos para tomar melhores decisões de negócios”. A Jumpshot afirmou ainda dar a seus clientes a capacidade de “ver para onde seu público está indo antes e depois de visitar seu site ou os sites de seus concorrentes, e até mesmo rastrear aqueles que visitam um URL específico”. Claro, a fonte da Jumpshot dessa enorme quantidade de dados sobre as informações de navegação das pessoas – algumas delas de natureza altamente pessoal – que vendeu para empresas de publicidade, corretores de dados, marcas individuais, empresas de otimização de mecanismos de pesquisa e outros que procuram informações detalhadas sobre os consumidores ‘ históricos de navegação foi a Avast, a empresa que lançou seus produtos como uma solução para vigilância on-line intrusiva.
De acordo com a denúncia, a Jumpshot forneceu a seus clientes “detalhes extraordinários sobre como os consumidores navegavam na Internet, incluindo cada página visitada, carimbo de data e hora preciso, tipo de dispositivo e navegador, além de cidade, estado e país”. Além do mais, a maioria dos dados incluía um identificador de dispositivo exclusivo e persistente, que permitiu à Jumpshot e seus clientes rastrear indivíduos em vários domínios ao longo do tempo. A FTC afirma que incluídas nas informações vendidas pelo Jumpshot estavam dados sobre visitas de consumidores a sites sobre assuntos religiosos, candidatos políticos, preocupações de saúde como câncer de mama, empregos em instalações militares seguras, informações sobre pedidos de empréstimos estudantis, interesses de namoro e sites de adultos. natureza. A denúncia coloca desta forma: “A grande maioria dos consumidores não saberia que o Software Avast iria vigiar todos os seus movimentos na Internet ou que as suas informações de navegação poderiam ser vendidas a mais de 100 terceiros e armazenadas indefinidamente, de forma granular, re. -forma identificável.”
Em muitos casos, a Avast não divulgou as suas práticas de partilha de dados, mas mesmo quando o fez, a FTC alega as suas “divulgações” – por exemplo, declarações difíceis de encontrar e de compreender na sua política de privacidade – não eram verdadeiros. Por exemplo, a certa altura, a política de privacidade da Avast dizia que qualquer informação de navegação partilhada com terceiros seria anonimizada e de forma agregada. Não é assim, diz a FTC. De acordo com a denúncia, os dados que a Avast vendeu através do Jumpshot incluíam detalhes surpreendentes sobre os hábitos de navegação de consumidores individuais. Além disso, contrariamente às promessas expressas que a Avast fez aos consumidores que descarregaram os seus produtos, os acordos da Jumpshot com alguns dos seus clientes deixaram claro que essas empresas pretendiam “reassociar” os dados que comprou com consumidores individuais para efeitos de segmentação e monitorando.
A reclamação proposta, que nomeia Avast Limited, Avast Software sro e Jumpshot, Inc., alega que as empresas violaram a Lei FTC ao coletar, reter e vender injustamente informações de navegação dos consumidores; falhando enganosamente em divulgar que estavam rastreando consumidores; e deturpar que as informações de navegação dos consumidores seriam compartilhadas apenas de forma agregada e anônima, quando isso não era verdade.
Além da solução financeira de 16,5 milhões de dólares que a FTC pretende utilizar para reparação dos consumidores, a ordem proposta inclui disposições de longo alcance destinadas a resolver os danos que as empresas infligiram aos consumidores que descarregaram os seus produtos e a proteger as pessoas no futuro. Entre outras coisas, o acordo proposto proibirá a venda ou divulgação de informações de navegação dos usuários do Avast a terceiros para fins publicitários. Isso inclui quaisquer insights, modelos ou algoritmos derivados desses dados. A ordem também proíbe o uso de informações de navegação dos consumidores para publicidade de terceiros sem o consentimento expresso e afirmativo dos consumidores. Além disso, os entrevistados devem excluir determinadas informações de navegação, incluindo quaisquer modelos, algoritmos ou software desenvolvidos usando esses dados, e instruir terceiros a excluir os dados também. Para garantir que os consumidores estejam cientes do que a Avast está fazendo nos bastidores, a empresa deve publicar um aviso em seus sites e notificar os consumidores por e-mail. A Avast também deve implementar um programa de privacidade abrangente, sujeito a avaliações externas. Assim que o acordo proposto for publicado no Federal Register, a FTC aceitará comentários públicos por 30 dias.
Quer você seja um jovem fanfarrão ou um velho salgado, a ação da FTC contra o Avast contém orientações para ajudar a evitar que sua empresa encalhe em um naufrágio policial.
Todas as empresas devem honrar as suas promessas de privacidade, mas isso é especialmente verdadeiro para as empresas que vendem os seus produtos como uma forma de os consumidores protegerem a sua privacidade. Não há r suficientes em “Arrrrrrrgghh” para transmitir a preocupação da FTC sobre uma empresa que anuncia seus produtos como um meio para as pessoas manterem sua privacidade online e depois as trai vendendo suas informações de navegação altamente pessoais. A ironia – e o prejuízo – neste caso é alarmante e a FTC não dará trégua quando as empresas mentem aos consumidores sobre como as suas informações pessoais serão protegidas.
Você não pode prometer privacidade aos consumidores e depois avançar a todo vapor em seus contratos com os clientes. Em alguns casos, a FTC afirma que os contratos com clientes terceiros não proibiam essas empresas de reidentificar os usuários do Avast com base nos dados fornecidos pelo Jumpshot. Em outros casos, os produtos Jumpshot foram projetados para permitir que os clientes rastreiem usuários específicos ou até mesmo associem usuários específicos e seus históricos de navegação a outras informações que esses clientes possuíam. O escopo dos dados do consumidor vendidos pela Jumpshot é quase insondável. Por exemplo, em seu contrato com a gigante de publicidade Omnicom, a Jumpshot concordou em fornecer seu “All Clicks Feed” – todos os URLs clicados durante a sessão de navegação de uma determinada pessoa – para 50% de toda a sua base de usuários nos EUA, Reino Unido, México, Austrália, Canadá e Alemanha em todos os domínios.
A navegação de dados é uma categoria de informações altamente confidenciais que exige o máximo cuidado. As ações recentes da FTC centraram-se na natureza confidencial de certas categorias de dados de consumidores – por exemplo, informações de saúde ou geolocalização. Mas as informações de navegação do consumidor também são altamente confidenciais. Os dados sobre os websites que uma pessoa visita não são apenas mais um ativo corporativo aberto à exploração comercial irrestrita.