FTC Proíbe InMarket por Vender Localização Precisa do Usuário sem Consentimento
22 de Janeiro de 2024

A Comissão Federal de Comércio dos EUA (FTC) continua a reprimir os corretores de dados ao proibir a InMarket Media de vender ou licenciar dados de localização precisos.

O acordo faz parte de alegações de que a empresa baseada no Texas não informou ou obteve consentimento dos consumidores antes de usar suas informações de localização para fins de publicidade e marketing.

"A InMarket também será proibida de vender, licenciar, transferir ou compartilhar qualquer produto ou serviço que categorize ou direcione consumidores com base em dados sensíveis de localização", disse a FTC na semana passada.

Além disso, foi ordenado que destrua todos os dados de localização que coletou anteriormente sujeitos ao consentimento do usuário, bem como forneça um mecanismo para que os consumidores retirem seu consentimento e peçam a exclusão das informações anteriormente coletadas.

Este desenvolvimento torna a InMarket o segundo agregador de dados a enfrentar uma proibição em tantas semanas, após a Outlogic (anteriormente X-Mode Social), que enfrentou acusações de que havia vendido informações de localização que poderiam ser usadas para rastrear as visitas dos usuários a clínicas médicas e de saúde reprodutiva, locais de culto religioso e abrigos para vítimas de abuso doméstico.

Assim como a Outlogic, a InMarket é dita como coletando informações de localização de seus próprios aplicativos proprietários, como CheckPoints e ListEase, e mais de 300 outras aplicações de terceiros que incorporam seu kit de desenvolvimento de software (SDK).

Estes aplicativos foram baixados em mais de 420 milhões de dispositivos únicos desde 2017.

"Se o usuário permitir o acesso, o SDK da InMarket recebe a latitude e a longitude precisas do dispositivo, junto com um registro de data e hora e um identificador único de dispositivo móvel, tantas vezes quanto o sistema operacional do dispositivo móvel fornecer - desde quase nenhuma coleta quando o dispositivo está ocioso, até a cada poucos segundos quando o dispositivo está se movendo ativamente - e transmite diretamente para os servidores [da InMarket]", leu a reclamação da FTC.

Esses dados históricos são então usados para classificar os consumidores em quase 2.000 segmentos com base nos locais visitados e veicular anúncios personalizados em aplicativos que incluem o SDK.

Também oferece um produto que empurra anúncios para os consumidores com base em sua localização atual, veiculando anúncios relacionados a medicamentos, por exemplo, quando uma pessoa está a 200 metros de uma farmácia.

A empresa, que foi previamente exposta pelo The Markup em setembro de 2021, afirma fornecer aos seus "clientes acesso aos dados de localização mais precisos e precisos, baseados em permissões, derivados do SDK disponíveis hoje."

A FTC também disse que a InMarket fez pouco para garantir que os aplicativos de terceiros que incorporam o SDK da empresa tenham obtido o consentimento expresso dos usuários, observando que ela não notificou os aplicativos de terceiros de que os dados de localização fornecidos através de seu SDK serão combinados com outros pontos de dados para criar perfis de consumidores.

Para piorar a situação, a política de retenção de dados de cinco anos da empresa foi descrita como "desnecessária para cumprir os objetivos para os quais foi coletada" e que colocava os clientes em risco ao expor as informações a outros tipos de uso indevido.

Como medidas de mitigação, a InMarket "será obrigada a criar um programa de dados de localização sensíveis para prevenir a empresa de usar, vender, licenciar, transferir ou compartilhar de outra forma qualquer produto ou serviço que categorize ou direcione consumidores com base em dados sensíveis de localização."

A divulgação ocorre após um estudo conjunto publicado pela Consumer Reports e The Markup descobrir que o Facebook da Meta obtém dados sobre usuários individuais de milhares de empresas.

Em média, a empresa recebeu dados de 2.230 diferentes empresas para cada um dos 709 voluntários, com alguns identificados por mais de 7.000 empresas.

No total, os participantes tiveram seus dados compartilhados por impressionantes 186.892 empresas.

Um desses participantes teve suas informações vindas de quase 48.000 empresas diferentes, sugerindo "hábitos de uso de aplicativos incomuns" ou possivelmente um candidato atraente para publicidade micro direcionada.

"A empresa que compartilhou dados sobre o maior número de participantes foi a LiveRamp, uma corretora de dados, que compartilhou dados sobre 679, ou cerca de 96%, dos participantes do estudo", disse o estudo.

"Uma grande porcentagem das cerca de 186.000 empresas que apareceram em nossos dados parecia ser varejistas pequenos ou marcas não nacionais (ou eram não identificáveis pelo nome)."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...