A Avast é uma das mais reconhecidas empresas de antivírus do mundo, com mais de 430 milhões de usuários ativos em todo o mundo. O Avast tem sua sede em Praga, na República Tcheca, e teve sua primeira versão lançada em 1988. Hoje, o software está disponível em 44 idiomas.
Coleta indevida de dados
Segundo a FTC, a Comissão Federal de Comércio dos EUA, a Avast teria coletado durante anos informações sobre as atividades de seus clientes, incluindo suas pesquisas efetuadas e sites visitados. A coleta das informações ocorria através das extensões de navegador da própria Avast, mesmo que estas prometessem a "proteção da privacidade" através do bloqueio de cookies de rastreamento.
A Avast teria então vendido dados para mais de cem empresas através de uma subsidiária de nome Jumpshot, lucrando dezenas de milhões de dólares.
Conforme uma investigação conduzida pela Vice News e Garon em janeiro de 2020, a Avast comercializou dados de até 100 milhões de dispositivos para grandes empresas como Microsoft, Google, Yelp, Home Depot e McKinsey. A jumpshot foi encerrada logo após a publicação desta investigação.
Apuração
A FTC destacou que, até 2018, a política de privacidade da Avast não informava aos titulares que os dados de navegação seriam coletados e divulgados a terceiros e, quando esta foi revisada, não divulgou a forma como esses dados seriam divulgados. A FTC ainda detalhou que a Avast não notificou os titulares sobre a comercialização das informações no momento da instalação do software, bem como aos titulares que já haviam instalado antes da alteração.
Por fim, a FTC considerou que a Avast agiu de maneira enganosa e não informou a verdade aos titulares com relação à coleta de dados não anonimizados para divulgação. Dentre os dados comercializados constavam a URL acessada, carimbo de data/hora, tipo de dispositivo e navegador, bem como a cidade, estado e país do usuário.
Sanções
O diretor do Bureau de Proteção ao Consumidor da FTC, Samuel Levine, disse que "A Avast prometeu aos usuários que seus produtos protegeriam a privacidade de seus dados de navegação, mas fez o oposto”. A Avast foi multada em US$ 16,5 milhões e está proibida de comercializar os dados de navegação dos seus consumidores.
A FTC ainda determinou medidas para impedir que a Avast adote atos semelhantes, como:
- a proibição da venda de dados de navegação de produtos da marca Avast a terceiros para fins publicitários;
- obter consentimento expresso dos titulares antes de vender ou licenciar dados de navegação de produtos de outras empresas do grupo a terceiros para fins publicitários;
- excluir quaisquer modelos, algoritmos ou software desenvolvidos pela Avast com base nos dados coletados dos titulares;
- notificar clara e visivelmente os usuários cujas informações de navegação foram vendidas a terceiros sem o seu consentimento sobre as ações da FTC; e
- estabelecer, implementar e manter um programa de privacidade abrangente que proteja os dados pessoais dos titulares, que inclui:
- designar um ou mais funcionários qualificados para o programa;
- avaliar e documentar riscos internos e externos ao programa de privacidade; e
- treinamento de funcionários sobre como proteger a privacidade das informações cobertas.
Conclusão
A Avast foi penalizada pelo uso indevido de dados pessoais. Além da multa expressiva, no valor de US$ 16,5 milhões, os danos a imagem da empresa podem ser significativos.
O ocorrido poderia ser evitado caso a Avast adotasse um programa sério de governança em privacidade e proteção de dados, além de contar com orientação profissional especializada. Um DPO poderia ter tomado providências para ajustar a Política de Privacidade e Termos de Uso do software, dando clareza aos titulares quanto ao uso de seus dados pessoais.
O DPO poderia ainda orientar a Avast a proceder com a correta anonimização dos dados no momento da coleta, garantindo assim a privacidade dos titulares e a conformidade com as legislações de proteção de dados ao redor do mundo.
Declaração da Avast (edit)
A Avast, através de sua assessoria de imprensa, entrou em contato com a DPO Expert e, tendo em vista a publicação deste artigo, emitiu a seguinte declaração:
"A Avast fez um acordo com a FTC a respeito da resolução da investigação sobre o fornecimento no passado de dados de clientes da Avast à sua subsidiária Jumpshot, a qual a Avast fechou voluntariamente em janeiro de 2020. Estamos comprometidos com a nossa missão de proteger e capacitar a vida digital das pessoas. Embora discordemos das alegações e da caracterização dos fatos da FTC, temos o prazer de resolver esta questão e esperamos continuar servindo os nossos milhões de clientes ao redor do mundo".
Conte com a DPO Expert
Não arrisque a reputação da sua empresa deixando a gestão de dados pessoais em segundo plano. Garanta a conformidade com a LGPD, evitando multas e fortalecendo a confiança do seu público; escolha nosso DPO as a service. Fale conosco!
Fonte: https://www.dataguidance.com/news/usa-ftc-proposes-165m-fine-against-avast-sale-browsing
