Muitos consumidores que usam campainhas com vídeo e câmeras de segurança desejam detectar intrusos invadindo a privacidade de suas casas. Os consumidores que instalaram o Ring podem ficar surpresos ao saber que, de acordo com um acordo proposto pela FTC, um “intruso” que estava invadindo sua privacidade era o próprio Ring. A FTC afirma que a Ring deu a seus funcionários e centenas de prestadores de serviços terceirizados baseados na Ucrânia acesso de vídeo próximo e pessoal aos quartos dos clientes, aos quartos de seus filhos e outros espaços altamente pessoais – incluindo a capacidade de baixar, visualizar, e compartilhe esses vídeos à vontade. E isso não era tudo que Ring estava fazendo. Além de um acordo financeiro de US$ 5,8 milhões, a ordem proposta no caso contém disposições na interseção de inteligência artificial, dados biométricos e privacidade pessoal. É um suporte instrutivo para outro grande caso de privacidade biométrica que a FTC anunciou hoje, Amazon Alexa.
A Ring vende câmeras e campainhas conectadas à Internet e habilitadas para vídeo, usadas por milhões de pessoas nas Américas para proteger suas casas. A Ring tocou a campainha de segurança durante uma extensa campanha de marketing, apresentando seus produtos como “Pequenos em tamanho. Grande em paz de espírito. Mas a FTC afirma que, apesar das alegações da empresa de que tomou medidas razoáveis para garantir que as câmaras Ring fossem um meio seguro para os consumidores monitorizarem áreas privadas das suas casas, a empresa exibiu uma abordagem rápida e livre às informações altamente sensíveis dos clientes.
Embora o manual do funcionário da Ring proibisse o uso indevido de dados, a conduta perturbadora de alguns funcionários sugere que a advertência não valia o papel em que foi impressa. Em vez de limitar o acesso aos vídeos dos clientes àqueles que precisavam deles para executar funções essenciais de trabalho – por exemplo, para ajudar um consumidor a solucionar um problema com seu sistema – a Ring deu acesso “livre” a funcionários e prestadores de serviços. Existe alguma dúvida sobre onde essa política desleixada e controles frouxos inevitavelmente levaria? Durante um período de três meses em 2017, um funcionário da Ring assistiu a milhares de vídeos de usuárias em seus quartos e banheiros, incluindo vídeos dos próprios funcionários da Ring. Em vez de detectar o que o funcionário estava fazendo por meio de seus próprios controles técnicos, a Ring só soube do episódio depois que uma funcionária o relatou. Esse é apenas um exemplo do que a FTC chama de “acesso perigosamente amplo e atitude negligente em relação à privacidade e segurança” do Ring.
Embora a Ring tenha mudado algumas de suas práticas em 2018, a FTC afirma que essas medidas não resolveram o problema. Você vai querer ler a reclamação para obter detalhes, mas mesmo depois dessas modificações, a FTC cita exemplos de um “túnel” não autorizado que permitiu a um empreiteiro com sede na Ucrânia acessar vídeos de clientes, um incidente em que um funcionário da Ring deu informações sobre um cliente vídeos para o ex-marido do cliente e um relato de um denunciante de que um ex-funcionário forneceu dispositivos Ring para vários indivíduos, acessou seus vídeos sem seu conhecimento ou consentimento e depois levou os vídeos com ele quando saiu da empresa.
Mas as ameaças à privacidade pessoal dos consumidores não vieram apenas de dentro do Ring. A denúncia acusa que até janeiro de 2020, Ring não conseguiu lidar com os riscos representados por duas formas bem conhecidas de ataque online: “força bruta” (um processo automatizado de adivinhação de senha) e “recheio de credenciais” (roubar nomes de usuário e senhas durante outros violações e usá-las para acessar o Ring). A FTC afirma que as falhas de segurança do Ring resultaram em mais de 55.000 clientes dos EUA enfrentando sérios comprometimentos de contas.
Quão grave foi a invasão da privacidade dos consumidores? Em muitos casos, os malfeitores aproveitaram a funcionalidade de comunicação bidirecional da câmera para assediar e ameaçar pessoas cujas salas eram monitoradas por câmeras Ring, incluindo crianças e adultos mais velhos. Descrevendo suas experiências como aterrorizantes e traumatizantes, os clientes relataram vários casos de comportamento ameaçador emanado de vozes invadindo a santidade de suas casas via Ring:
- Uma mulher de 87 anos que se encontrava numa casa de repouso recebeu propostas sexuais e foi fisicamente ameaçada;
- Várias crianças foram alvo de insultos racistas de hackers;
- Um adolescente recebeu uma proposta sexual;
- Os hackers xingavam as mulheres na privacidade dos seus quartos;
- Um hacker ameaçou uma família com danos físicos se ela não pagasse o resgate em Bitcoin; e
- Um hacker disse a um cliente que havia matado a mãe da pessoa e emitiu o aviso arrepiante “Esta noite você morre”.
O funcionário da One Ring colocou desta forma: “Involuntariamente, ajudamos e encorajamos aqueles (hackers) que violaram os dados por não implementarmos nenhuma mitigação”.
Funcionários assustadores e hackers sinistros não foram os únicos que arrancaram o controle dos dados pessoais dos consumidores. De acordo com a denúncia, sem obter o consentimento expresso e afirmativo dos consumidores, a Ring explorou seus vídeos para desenvolver algoritmos de reconhecimento de imagem – colocando o lucro potencial acima da privacidade. Escondendo sua conduta em um denso bloco de linguagem jurídica, a Ring simplesmente disse às pessoas que poderia usar seu conteúdo para melhoria e desenvolvimento de produtos e, em seguida, extrapolou o suposto “consentimento” de uma marca de seleção onde os consumidores reconheciam que concordavam com os Termos de Serviço e a Política de Privacidade da Ring.
A reclamação alega que a Ring violou a Lei FTC ao deturpar que a empresa tomou medidas razoáveis para proteger as câmeras de segurança doméstica contra acesso não autorizado, permitiu injustamente que funcionários e contratados acessassem gravações de vídeo de espaços íntimos nas casas dos clientes sem o conhecimento ou consentimento dos clientes, e falhou injustamente usar medidas de segurança razoáveis para proteger os dados de vídeo confidenciais dos clientes contra acesso não autorizado.
Além do pagamento exigido de US$ 5,8 milhões aos consumidores, o pedido proposto inclui algumas disposições comuns em acordos da FTC e novas disposições importantes que merecem atenção cuidadosa não apenas do setor de tecnologia, mas de qualquer empresa que utilize dados de consumidores (e, convenhamos, isso é quase todo mundo). Você vai querer ler o pedido com atenção, mas aqui estão alguns destaques. A ordem proíbe a Ring de fazer declarações falsas sobre até que ponto a empresa ou seus contratados podem acessar vídeos, informações de pagamento e credenciais de autenticação dos clientes. Além disso, durante o período em que a Ring teve procedimentos inadequados para obter o consentimento dos consumidores, a empresa deve excluir todos os vídeos utilizados para pesquisa e desenvolvimento e todos os dados – incluindo modelos e algoritmos – derivados desses vídeos.
A Ring também deve implementar um programa abrangente de privacidade e segurança que limite estritamente a “revisão humana” dos vídeos dos clientes a certas circunstâncias restritas – por exemplo, para cumprir a lei ou para investigar atividades ilegais – ou se a empresa tiver o consentimento expresso e informado dos consumidores. . A empresa também deve aprimorar seu jogo de segurança com requisitos específicos de autenticação multifatorial, criptografia, testes de vulnerabilidade e treinamento de funcionários.
Além de notificar os clientes sobre as práticas negligentes de acesso a vídeos citadas na reclamação, no futuro, a Ring deverá notificar a FTC sobre qualquer incidente de segurança que acione notificação sob outras leis e qualquer incidente de privacidade envolvendo acesso não autorizado a vídeos de dez ou mais contas Ring. .
O que outras empresas podem tirar do acordo proposto neste caso?
Quem é o responsável pelos dados dos consumidores? Consumidores. Os consumidores – e não as empresas – devem controlar quem acede aos seus dados sensíveis. Além disso, décadas de precedentes da FTC estabelecem que as empresas não podem utilizar “divulgações” difíceis de encontrar e de compreender e devido à forma caixas de seleção para fabricar “consentimento”.
Desenvolva algoritmos com responsabilidade. De acordo com a FTC, a Ring acessou vídeos de clientes para desenvolver algoritmos sem o seu consentimento. Se você entrou na área de IA, a mensagem da FTC é clara: as informações pessoais dos consumidores não são recursos que as empresas possam usar à vontade. A FTC responsabilizará as empresas pela forma como obtêm e utilizam os dados do consumidor que alimentam os seus algoritmos. Além disso, as empresas que dependem da revisão humana para etiquetar os dados utilizados para treinar algoritmos de aprendizagem automática devem obter o consentimento expresso e afirmativo dos consumidores e implementar salvaguardas para proteger a privacidade e a segurança dessas informações.
A FTC se opõe “biometricamente” ao uso indevido de categorias altamente sensíveis de informações pessoais. Os dados biométricos – sejam na forma de impressões digitais, leituras de íris, vídeos ou qualquer outra coisa – garantem o mais alto nível de proteção. Se você ainda não leu o FTC de maio de 2023 Declaração de política sobre informações biométricasseja o próximo em sua lista de leitura.
A FTC trabalha para manter os consumidores seguros em casa. Se há um lugar onde as pessoas deveriam estar livres de olhares indiscretos, é em casa. E se há um grupo que merece proteção especial em casa, são as crianças. Agora imagine o terror vivido por pessoas – incluindo jovens – que foram ameaçadas nas suas camas por alguém que obteve acesso através de um dispositivo comprado para protecção. A ação da FTC contra a Ring demonstra os riscos à privacidade e à segurança que as práticas descuidadas de dados de uma empresa podem infligir aos consumidores e às crianças.
