A Comissão Federal de Comércio dos Estados Unidos, a FTC, vai proibir a corretora de dados Kochava e sua subsidiária Collective Data Solutions, a CDS, de vender dados de localização sem o consentimento explícito dos consumidores, para encerrar acusações apresentadas há quase quatro anos.
A FTC processou a Kochava, sediada em Idaho, em agosto de 2022, alegando que a empresa coletava e vendia dados precisos de geolocalização de centenas de milhões de dispositivos móveis.
Essas informações permitiam que clientes da Kochava monitorassem os deslocamentos dos usuários de celular de e para locais sensíveis, incluindo clínicas de saúde mental e de tratamento de dependência, unidades de saúde reprodutiva, templos religiosos e abrigos para pessoas em situação de rua e sobreviventes de violência doméstica.
Segundo a denúncia, a empresa oferecia aos clientes, que pagavam uma assinatura de US$ 25.000, acesso a esses dados por meio de um fluxo de dados de fácil uso no marketplace da Amazon Web Services, a AWS, e afirmava entregar “ricos dados geográficos abrangendo bilhões de dispositivos em todo o mundo”.
A Kochava também dizia que seu fluxo de dados de localização “fornece dados brutos de latitude e longitude com volumes em torno de 94 bilhões de transações geográficas por mês, 125 milhões de usuários ativos mensais e 35 milhões de usuários ativos diários, observando em média mais de 90 transações diárias por dispositivo”.
Na época, a Comissão afirmou que os consumidores afetados não tinham conhecimento da prática nem haviam consentido com o compartilhamento dos dados, o que os deixava sem meios de evitar danos decorrentes disso, incluindo perseguição, discriminação e violência física.
A Kochava também processou a FTC, acusando o órgão de extrapolar sua atuação, e disse, um dia antes de a denúncia contra o órgão de defesa do consumidor dos EUA ser protocolada, que lançaria o “Privacy Block”, uma “abordagem que prioriza a privacidade para bloquear locais de serviços de saúde do marketplace Kochava Collective”, a fim de enfrentar os problemas apontados pela FTC.
Pelo acordo proposto e protocolado no Tribunal Distrital dos EUA para o Distrito de Idaho, a Kochava e sua subsidiária, que desde então assumiu o negócio de corretagem de dados da empresa, ficarão proibidas de vender, licenciar, transferir ou divulgar dados precisos de localização, a menos que tenham consentimento expresso e afirmativo e que os dados sejam usados para fornecer um serviço solicitado diretamente pelos consumidores.
Além da proibição de vendas, as empresas terão de implementar um programa específico para dados de locais sensíveis, adotar um programa de avaliação de fornecedores para verificar o consentimento dos consumidores, permitir que os usuários solicitem a divulgação de quem recebeu seus dados e revoguem o consentimento, enviar relatórios de incidentes à FTC quando terceiros fizerem uso indevido dos dados de localização e criar um cronograma de retenção e exclusão de dados.
Esse acordo proposto passará a ter força de lei assim que for aprovado pelo juiz do Tribunal Distrital.
A FTC também anunciou, em agosto de 2022, que estudava novas regras para conter empresas envolvidas em vigilância comercial em massa, prática em que informações dos consumidores são coletadas, analisadas e monetizadas.
Um mês antes, a Comissão já havia alertado que aplicaria a lei caso empresas compartilhassem ou usassem ilegalmente informações sensíveis de consumidores.
Mais recentemente, em 2024, o órgão proibiu as corretoras de dados InMarket Media, Outlogic, anteriormente chamada X-Mode Social, Gravy Analytics e Mobilewalla de coletar e vender dados de rastreamento de localização de americanos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...