Entre as categorias de dados mais sensíveis coletadas por dispositivos conectados estão a localização e as informações precisas de uma pessoa sobre sua saúde. Smartphones, carros conectados, rastreadores de fitness vestíveis, produtos “Smart Home” e até o navegador em que você está lendo são capazes de observar ou derivar diretamente informações confidenciais sobre os usuários. Em pé, esses pontos de dados podem representar um risco incalculável para a privacidade pessoal. Agora considere a intrusão sem precedentes quando esses dispositivos conectados e empresas de tecnologia coletam esses dados, combinam -os e vendem ou monetizam -os. Este não é o material da ficção distópica. É uma pergunta que os consumidores estão fazendo agora.
A conversa sobre tecnologia tende a se concentrar nos benefícios. Mas há uma ironia nos bastidores que precisa ser examinada em campo aberto: até que ponto as informações altamente pessoais que as pessoas optam por não divulgar nem mesmo para a família, amigos ou colegas são realmente compartilhados com estranhos completos. Esses estranhos participam do ecossistema de tecnologia e corretor de dados, muitas vezes sombrio, onde as empresas têm um motivo de lucro para compartilhar dados em uma escala e granularidade sem precedentes.
Quando os consumidores usam seus dispositivos conectados – e às vezes mesmo quando não -, esses dispositivos podem estar regularmente pingando torres de células, interagindo com redes Wi -Fi, capturando sinais de GPS e criando um registro abrangente de seus paradeiras. Esses dados de localização podem revelar muito sobre as pessoas, incluindo onde trabalhamos, dormimos, socializamos, adoramos e buscamos tratamento médico. Embora muitos consumidores possam oferecer seus dados de localização em troca de conselhos de origem em tempo real da rota mais rápida, eles provavelmente pensam de maneira diferente em ter sua identidade on-line divulgada fina associada à frequência de suas visitas a um terapeuta ou médico do câncer .
Além das informações de localização geradas automaticamente pelos dispositivos conectados dos consumidores, milhões de pessoas também geram ativamente seus próprios dados sensíveis, inclusive usando aplicativos para testar seu açúcar no sangue, registrar seus padrões de sono, monitorar sua pressão arterial ou rastrear sua aptidão ou compartilhar o rosto e outras informações biométricas para usar os recursos de aplicativo ou dispositivo. A potente combinação de dados de localização e dados de saúde gerados pelo usuário cria uma nova fronteira de danos em potencial aos consumidores.
O mercado para essas informações é opaco e, uma vez que uma empresa a coleciona, os consumidores geralmente não têm idéia de quem a tem ou o que está sendo feito com ela. Depois de ser coletado de um consumidor, os dados entram em um piso de vendas vasto e intrincado frequentado por vários compradores, vendedores e compartilhadores. Existem os sistemas operacionais móveis que fornecem os mecanismos para coletar os dados. Depois, há desenvolvedores de editores de aplicativos e Kit de Desenvolvimento de Software (SDK) que incorporam ferramentas em aplicativos móveis para coletar informações de localização e fornecer os dados a terceiros.
A próxima parada no mercado obscuro pode ser os agregadores e corretores de dados – empresas que coletam informações de várias fontes e depois vendem acesso a ele (ou análises derivadas dela) a profissionais de marketing, pesquisadores e até agências governamentais. Essas empresas geralmente criam perfis sobre os consumidores e desenham inferências sobre elas com base nos lugares que visitaram. A quantidade de informações que eles coletam é impressionante. Por exemplo, em um Estudo de 2014A FTC relatou que os corretores de dados usam dados para fazer inferências sensíveis, como categorizar um consumidor como “pai expectante”. Segundo o relatório, um corretor de dados se gabou dos acionistas em um relatório anual de 2013 de que tinha 3.000 pontos de dados para quase todos os consumidores dos Estados Unidos. Em muitos casos, os agregadores de dados e os corretores não têm interação com os consumidores ou os aplicativos que eles estão usando. Então, as pessoas ficam no escuro sobre como as empresas estão lucrando com suas informações pessoais.
Agora, vamos considerar um subconjunto particularmente sensível na interseção da localização e da saúde: informações relacionadas a questões reprodutivas pessoais – por exemplo, produtos que rastreiam os períodos das mulheres, monitoram sua fertilidade, supervisionam seu uso contraceptivo ou até segmentam mulheres que consideram o aborto.
As preocupações que muitos expressaram sobre o risco de uso indevido são mais do que apenas teóricas. Em 2017, por exemplo, o procurador -geral de Massachusetts chegou a um acordo Com a empresa de marketing Copley Advertising, LLC e seu diretor para usar a tecnologia de localização para identificar quando as pessoas cruzaram uma “cerca” digital secreta perto de uma clínica que oferece serviços de aborto. Com base nesses dados, a empresa enviou anúncios direcionados a seus telefones com links para sites com informações sobre alternativas ao aborto. A AG de Massachusetts afirmou que a prática violava a lei estatal de proteção ao consumidor.
E recentemente, a FTC atingiu um liquidação com a Flo HealthAlegando a empresa compartilhada com terceiros-incluindo informações de saúde sensíveis ao Google e Facebook sobre as mulheres coletadas de seu período de período e rastreamento de fertilidade, apesar de prometerem manter essas informações privadas.
O uso indevido da localização móvel e das informações de saúde – incluindo dados de saúde reprodutiva – expõe os consumidores a danos significativos. Os criminosos podem usar dados de localização ou saúde para facilitar golpes de phishing ou cometer roubo de identidade. Perseguidores e outros criminosos podem usar dados de localização ou saúde para infligir lesões físicas e emocionais. A exposição de informações sobre saúde e condições médicas, especialmente dados relacionados à atividade sexual ou saúde reprodutiva, pode sujeitar as pessoas a discriminação, estigma, angústia mental ou outros danos graves. Essas são apenas algumas das lesões em potencial – danos que são exacerbados pela exploração de informações obtidas através da vigilância comercial.
A Comissão está comprometida em usar todo o escopo de suas autoridades legais para proteger a privacidade dos consumidores. Aplicaremos vigorosamente a lei se descobrirmos conduta ilegal que explora a localização, a saúde ou outros dados confidenciais dos americanos. As ações anteriores da FTC fornecem um roteiro para as empresas que buscam cumprir a lei.
O que as empresas devem considerar ao pensar na coleta de informações confidenciais do consumidor, incluindo dados de localização e saúde?
Os dados sensíveis são protegidos por inúmeras leis federais e estaduais. Existem inúmeras leis estaduais e federais que governam a coleção, uso e compartilhamento de dados sensíveis ao consumidor, incluindo muitos aplicados pela Comissão. A FTC trouxe centenas de casos para proteger a segurança e a privacidade das informações pessoais dos consumidores, alguns dos quais incluíram Penalidades civis substanciais. Além da seção 5 da Lei FTC, que proíbe amplamente práticas comerciais injustas e enganosas, a Comissão também aplica o Regra de salvaguardaso Regra de notificação de violação de saúdee o Regra de proteção de privacidade online infantil.
As alegações de que os dados são “anônimos” ou “foram anonimizados” são frequentemente enganosos. As empresas podem tentar aplacar as preocupações de privacidade dos consumidores alegando que anonimizam ou agregam dados. As empresas que fazem reivindicações sobre o anonimato devem estar em guarda de que essas reivindicações podem ser uma prática comercial enganosa e violar a Lei da FTC quando falsas. Pesquisas significativas mostraram que os dados “anonimizados” geralmente podem ser re-identificados, especialmente no contexto dos dados de localização. Um conjunto de pesquisadores demonstrou que, em alguns casos, foi possível identificar de maneira única 95% de um conjunto de dados de 1,5 milhão de indivíduos usando quatro pontos de localização com registro de data e hora. As empresas que fazem reivindicações falsas sobre anonimato podem esperar ouvir da FTC.
A FTC reprimirá as empresas que usam mal os dados dos consumidores. Como os casos recentes mostraram, a FTC não tolera empresas que coletam demais, retêm indefinidamente ou abusam de dados do consumidor. O AD Exchange OpenX pagou recentemente US $ 2 milhões por coletar dados de localização das crianças sem consentimento dos pais. A Comissão também tomou medidas contra Kurbo/Weight Watchers for, entre outras coisas, mantendo indefinidamente dados sensíveis ao consumidor. O acordo exige que a empresa pague uma multa de US $ 1,5 milhão por violar a COPPA, excluir todos os dados coletados ilegalmente e também excluir qualquer algoritmos de produto de trabalho criados usando esses dados. Apenas algumas semanas atrás, a Comissão entrou em um pedido final exigindo que o Cafepress pagasse a reparação e minimize sua coleta de dados porque, de acordo com a queixa da Comissão, coletou e retinha os dados do consumidor indevidamente e não respeitou os pedidos de exclusão dos consumidores, entre outras coisas .
A FTC tem Orientação adicional para empresas sobre privacidade do consumidor e segurança de dados. Além disso, leia o mais recente do Departamento de Saúde e Serviços Humanos sobre o assunto.
