A Avast Limited pagará US$ 16,5 milhões e será proibida de vender ou licenciar dados de navegação na web para publicidade como parte de um acordo com a Comissão Federal de Comércio (FTC),que alega que a empresa e suas subsidiárias venderam vastas quantidades de dados de navegação agregados e identificáveis para terceiros, anunciou a agência na quinta-feira.
A FTC alega que o braço de software de segurança cibernética da Avast, com sede na República Tcheca, usou suas extensões de navegador e software antivírus para coletar, armazenar indefinidamente e permitir que uma empresa parceira vendesse os históricos de navegação na web dos usuários de 2014 a 2020 sem “adequado” aviso e consentimento do consumidor.
A Avast também “enganou os usuários ao afirmar que o software protegeria a privacidade dos consumidores bloqueando o rastreamento por terceiros”, disse a agência. O que a Avast não disse, alegou a FTC em sua reclamação, é que venderia seus “detalhados dados de navegação identificáveis”.
A Avast vendeu os dados de navegação na web para mais de 100 terceiros por meio de sua subsidiária com sede em Delaware, a Jumpshot, alega a FTC. “identificável” significa que os dados poderiam ser combinados com outros dados de domínio público ou acumulados por corretores de dados para determinar a identidade de consumidores específicos.
A reclamação da FTC disse que, enquanto a Avast e suas subsidiárias estavam dizendo aos clientes que seu software “bloquearia cookies de rastreamento irritantes que coletam dados sobre suas atividades de navegação” e que protegeria sua privacidade impedindo que serviços da web de rastrear sua atividade online”, na realidade ela estava flagrantemente lucrando com os dados dos usuários, sem fornecer aviso adequado.
Um porta-voz da Avast, oficialmente sediada em Londres, disse que a empresa fez um acordo com a FTC para “resolver sua investigação sobre a antiga provisão de dados do cliente à subsidiária Jumpshot da Avast que a Avast fechou voluntariamente em janeiro de 2020”.
“Estamos comprometidos com nossa missão de proteger e capacitar a vida digital das pessoas”, dizia o comunicado. “Embora discordemos das alegações e da caracterização dos fatos pela FTC, estamos satisfeitos em resolver este assunto e esperamos continuar a servir nossos milhões de clientes ao redor do mundo.”
A reclamação da FTC observa que o produto da Avast deveria oferecer segurança e privacidade, tornando a violação da privacidade do consumidor ainda mais grave.
Por exemplo, começando em 2015, disse a reclamação, na página de download do Software de Desktop da Avast, a empresa encorajava os usuários a “recuperar seu navegador” e “proteger sua privacidade” se livrando de “extensões indesejadas e hackers ganhando dinheiro com suas pesquisas”.
A venda real dos dados de navegação na web foi liderada pela subsidiária americana da Avast, a Jumpshot, que a FTC disse que disse aos clientes que dados de mais de 100 milhões de consumidores online globais poderiam permitir que eles “vejam para onde sua audiência está indo antes e depois de visitar seu site ou os sites de seus concorrentes, e até rastrear aqueles que visitam uma URL específica”.
A Jumpshot, originalmente um provedor de software antivírus, foi transformada em uma empresa de análise ao ser adquirida pela Avast Limited em 2014. A empresa fechou a Jumpshot em 2020.
Os clientes que compraram as informações incluíam empresas de consultoria, empresas de investimento, empresas de publicidade, empresas de análise de dados de marketing, marcas individuais, empresas de otimização de mecanismos de busca e corretores de dados, disse a FTC em sua reclamação.
A empresa contava com um algoritmo defeituoso para tirar a identificação dados, disse a FTC.
“Usando um algoritmo proprietário desenvolvido pela Avast, a Avast e a Jumpshot pretendiam encontrar e remover informações de identificação antes de cada transferência de informações de navegação do consumidor para os servidores da Jumpshot”, dizia a reclamação da FTC. “Mas esse processo não foi suficiente para anonimizar as informações de navegação dos consumidores, que a Jumpshot então vendeu, de forma não agregada, por meio de uma variedade de produtos diferentes para terceiros.”
Dados extremamente detalhados e identificáveis
A granularidade dos dados de navegação na web que a Jumpshot supostamente vendia é impressionante, incluindo cada página da web visitada, carimbos de data e hora precisos, o tipo de dispositivo e navegador usado, e a cidade, estado e país onde um usuário estava baseado, dizia a reclamação. A FTC acrescentou que grande parte dos dados vendidos incluía um “identificador de dispositivo único e persistente associado a cada navegador específico … permitindo à Jumpshot e ao comprador terceirizado rastrear indivíduos em vários domínios ao longo do tempo”.
A Jumpshot vendeu os dados para empresas com grande alcance, incluindo o gigante da publicidade Omnicom. Um contrato de 2017 com a Omnicom continha termos que exigiam que a Jumpshot fornecesse um “Feed de Todos os Cliques” — ou seja, todas as URLs “clicadas durante sessões de navegação específicas de consumidores” — para metade dos clientes da Omnicom nos EUA, Reino Unido, México, Austrália, Canadá e Alemanha, em todos os domínios.
A Omnicom também tinha permissão para “associar os dados da Avast com fontes de dados de corretores de dados, em uma base de usuário individual”, disse a FTC em um comunicado à imprensa.
“O contrato também permitiu que a Omnicom ‘transmitisse, comercializasse e sublicenciasse’ para seus próprios clientes produtos derivados dos dados brutos”, disse a reclamação, acrescentando que a taxa da Jumpshot no acordo era de cerca de US$ 2 milhões por ano.
Defensores da privacidade ficaram chocados com a extensão das violações e chamaram o caso de sem precedentes.
“É difícil exagerar nas invasões das ações da Avast”, disse John Davisson, diretor de litígios do Electronic Privacy Information Center. “As informações de navegação estão entre os dados pessoais mais sensíveis que existem, muitas vezes fornecendo insights privados que os consumidores nem compartilham com a família ou amigos.”
Davisson acrescentou que o caso destaca como as empresas usam “falsas garantias de dados ‘anonimizados’ para defender sua exploração comercial de nossas informações pessoais”.
A Avast fechou a Jumpshot após a FTC notificar a empresa de sua investigação, disse a reclamação.
Como funcionava
Antes de ser fechada, a Jumpshot nunca apagou nenhum dos dados que acumulou ao longo de seis anos de desvio de dados da subsidiária de software da Avast na República Tcheca. Quando fechou em janeiro de 2020, a Jumpshot detinha mais de oito petabytes de informações de navegação remontando a 2014, disse a reclamação da FTC.
Apontando para uma amostra aleatória de 100 entradas de dados mantidas pela empresa, a FTC disse que encontrou buscas por sintomas de câncer de mama; um anúncio para a candidatura presidencial da Sen. Elizabeth Warren; direções do Google Maps de um local para outro; um link para um site de relacionamento francês, incluindo um ID de membro único; e erotismo cosplay.
A reclamação disse que essas informações de navegação foram então associadas a “identificadores persistentes”, incluindo a identificação de cada dispositivo único do consumidor.
Os dados incluíam “identificadores coletados diretamente dos dispositivos dos consumidores — bem como informações de localização grosseiras. O fato de as informações de navegação estarem vinculadas a um identificador ao longo do tempo aumentou a probabilidade de que um consumidor pudesse ser reidentificado”, disse a reclamação.
O que vem a seguir
A multa de US$ 16,5 milhões é combinada com várias condições destinadas a impedir que a Avast e suas subsidiárias enganem os consumidores sobre como tratam seus dados. Essas condições, detalhadas em uma ordem proposta, incluem:
Uma proibição de vender dados de navegação para terceiros para publicidade.
A exigência de obter o consentimento expresso dos consumidores antes de “vender ou licenciar dados de navegação de produtos não-Avast para terceiros para fins publicitários”.
A criação de um programa de exclusão de dados e modelos pelo qual a empresa apaga as informações de navegação na web que ainda possui.
A exigência de notificar os consumidores cujas informações de navegação foram vendidas sem consentimento.
Um mandato para um programa de privacidade que aborde a má conduta identificada pela FTC.