“Pare!” Mães e pais podem ter que repetir essa instrução para seus filhos, mas quando os pais disseram isso à Amazon, em um esforço para que a empresa exclua os dados de voz das crianças obtidas por meio de seu assistente de voz do Alexa, a Amazon deveria ter honrado esses pedidos imediatamente. Mas, de acordo com uma queixa apresentada pelo Departamento de Justiça em nome da FTC, a Amazon respondeu excluindo arquivos em alguns bancos de dados, mantendo -os em outros lugares – o que significa que as informações estavam disponíveis para a Amazon usar para seus próprios fins. O processo alega que a Amazon violou o Regra da Lei de Proteção à Privacidade Online da Criança Ao desrespeitar os pedidos de exclusão dos pais, mantendo as gravações de voz das crianças indefinidamente e não dando aos pais a história direta sobre suas práticas de exclusão de dados. A Amazon também supostamente violou a Lei da FTC, representando falsamente que os usuários do aplicativo Alexa podem excluir suas informações de geolocalização e gravações de voz e por Envolver -se em práticas de privacidade injustas relacionadas à exclusão, retenção e acesso aos funcionários aos dados. O acordo de US $ 25 milhões com a Amazon envia uma mensagem clara sobre as consequências de obter lucros sobre a privacidade.
Além da enorme quantidade de outras informações que a Amazon coleta sobre os clientes, a empresa encontrou uma rota direta para milhões de casas de consumidores através de seus dispositivos movidos a Alexa, que respondem às solicitações faladas dos usuários. Primeiro, alguns antecedentes sobre como os consumidores de todas as idades interagem com a tecnologia Alexa. Quando os dispositivos Alexa detectam alguém dizendo a palavra “Wake”, Alexa começa a gravar o que ouve em dois formatos: um arquivo de áudio e uma transcrição de texto. Alexa então responde executando as tarefas solicitadas.
Dado o acesso do Alexa a dados altamente pessoais, a privacidade é uma consideração importante para muitos usuários do Alexa. Não é de surpreender que a Amazon tenha feito a privacidade uma peça central de seu marketing. Por exemplo, no Alexa Privacy Hub da Amazon.com, a empresa afirmou que “os dispositivos Alexa e Echo são projetados para proteger sua privacidade” e “os dispositivos Alexa e Echo fornecem transparência e controle”.
Os usuários também podem interagir através do aplicativo Alexa, que pode coletar suas informações de geolocalização. Amazon garantiu repetidamente aos usuários de aplicativos do Alexa que eles poderia excluir suas informações de geolocalização. Mas mesmo quando os consumidores clicaram nos botões de exclusão apropriados, a FTC diz que a Amazon excluiu os dados de determinados locais, mas retida dados Em outros lugares, em contravenção direta de sua promessa de privacidade. Amazon descobriu o problema pela primeira vez No início de 2018Assim, Mas a FTC diz que não foi até setembro de 2019 que a Amazon finalmente tomou algumas medidas corretivas. “Alguns” sendo a palavra operacional aqui porque, como alega a denúncia, devido a correções e processos com defeito, não foi até o início de 2022 que a Amazon finalmente obteve o problema totalmente sob controle.
A Amazon fez promessas semelhantes que os usuários do Alexa poderiam “ver, ouvir e excluir (suas) gravações de voz … a qualquer momento”. Mas, como explica a denúncia, mais uma vez a Amazon excluiu os arquivos em determinados locais, mas retém as transcrições das gravações em outros lugares de uma forma que a empresa poderia usar para o desenvolvimento de produtos. Adicionando insulto à lesão de privacidade, por pelo menos um ano, a Amazon deu a 30.000 funcionários acesso às gravações de voz dos usuários do Alexa – mesmo que muitos desses funcionários não tivessem necessidade de negócios para os arquivos.
Agora, como a FTC diz que as deturpações e as falhas de conformidade da Amazon resultaram em violações do Coppa. Dada a presença de Alexa nas casas dos consumidores, e a venda da Amazon de produtos centrados na criança, como Echo Dot Kids Edition, Freetime no Alexa e Freetime Unlimited no Alexa, muitos usuários da tecnologia têm menos de 13 anos. De fato, mais de 800.000 crianças interagem diretamente com o Alexa, usando seu próprio perfil da Amazon, que vincula o perfil de seus pais e os pais. Assim como os adultos, a Amazon salvou as gravações de voz das crianças como arquivos de áudio e texto e usou identificadores persistentes para conectar esses arquivos ao perfil da Amazon da criança.
A denúncia alega três maneiras pelas quais as práticas da Amazon usurpam os direitos dos pais sob a COPPA para manter o controle sobre os dados pessoais de seus filhos. Primeiro, a Amazon programou o Alexa para manter as gravações das crianças para sempre, uma prática que violou Seção 312.10 da regra de Coppa. Essa provisão exige que as empresas possam manter os dados das crianças “por apenas o tempo que for razoavelmente necessário para cumprir o objetivo para o qual as informações foram coletadas”. Depois disso, de acordo com a linguagem simples da regra, eles “devem” excluí -la com segurança.
Segundo, Seção 312.6 A Coppa dá aos pais “a oportunidade a qualquer momento … para direcionar o operador a excluir as informações pessoais da criança”. Mas, de acordo com a denúncia, as gravações de voz das crianças estavam sujeitas aos mesmos procedimentos ineficazes de exclusão que as gravações dos adultos. Assim, mesmo quando os pais disseram à Amazon para excluir esses arquivos, as transcrições mantidas na Amazon armazenadas com identificadores persistentes vinculados à conta da criança.
Outra proteção fundamental da privacidade da COPPA é Seção 312.4A exigência de que as empresas “forneçam notificação e obtenham consentimento dos pais verificáveis antes de coletar, usar ou divulgar informações pessoais de crianças”. Ao não seguir adiante com suas práticas declaradas, a Amazon não deu aos pais um aviso completo e verdadeiro sobre sua capacidade de excluir as informações pessoais de seus filhos – ficando aquém do que a Coppa exige.
Além de impor uma penalidade civil de US $ 25 milhões, o acordo proposto proíbe a Amazon de fazer deturpações sobre geolocalização e informações de voz. A empresa também não pode usar a geolocalização, as informações de voz e as informações das crianças para a criação ou melhoria de qualquer produto de dados depois que os clientes direcionaram a Amazon a excluir esses dados. Além disso, a Amazon deve excluir as contas inativas de Alexa, notificar os usuários sobre o processo da FTC-DOJ e implementar um programa de privacidade especificamente focado no uso da empresa de informações de geolocalização da empresa.
Aqui estão alguns indicadores que outras empresas podem tomar da ação contra a Amazon.
A conformidade da COPPA exige vigilância contínua. Para empresas cobertas pela Coppa, a conformidade não é um conjunto de detalhes técnicos de uma caixa. Em vez disso, a regra cria direitos substantivos para os pais e exige responsabilidades legais contínuas para as empresas. Apenas um exemplo é o requisito de que as empresas expliquem claramente aos pais antecipadamente que as informações de seus filhos sejam excluídas e a obrigação que o acompanha de honrar esses pedidos. Mas mesmo que os pais não exerçam seus direitos de exclusão, as empresas não podem manter os dados “apenas porque”. Uma vez que o objetivo foi que foi coletado, as empresas devem excluí -lo com segurança. E para solicitações específicas dos pais e requisitos gerais de exclusão de dados da COPPA, verifique se também exclui arquivos relevantes armazenados em backups, bancos de dados separados ou outros locais.
As gravações de voz são dados biométricos que merecem cuidados escrupulosos. Como o FTC de maio de 2023 Declaração de política sobre informações biométricas Estabelece, gravações de voz – e transcrições de gravações – se enquadram na categoria de dados derivados de fontes biométricas que “aumentam a privacidade significativa do consumidor e as preocupações de segurança de dados”. Agora considere os dados biométricos sobre as crianças e essas preocupações são elevadas ao Nth grau.
Não use secretamente as informações pessoais dos clientes – especialmente dados sobre crianças – para alimentar seus algoritmos. Através desta ação de aplicação da lei e do acordo proposto com a RIB, a FTC está enviando uma mensagem inconfundível para empresas que desenvolvem inteligência artificial: você não pode aplacar os consumidores com promessas de privacidade quando pretende usar seus dados para outros fins. Esse princípio assume um significado adicional no contexto das crianças. Os padrões de fala das crianças são marcadamente diferentes dos adultos, então as gravações de voz do Alexa deram à Amazon um conjunto de dados valioso para treinar o algoritmo Alexa e adicionar o interesse comercial da Amazon em desenvolver novos produtos. Essa é apenas uma das razões pelas quais a promessa oca da Amazon de homenagear os pedidos de exclusão dos pais foi particularmente preocupante.
