Protegendo os dados de localização dos consumidores: principais conclusões de quatro casos recentes

Desde o início deste ano, a FTC anunciou quatro casos inovadores que abordam questões sobre a forma como as empresas recolhem e, em alguns casos, utilizam indevidamente os dados de localização das pessoas. Se sua empresa coleta, compra, vende ou usa dados de localização, reserve um minuto para ler sobre as ações de fiscalização mais recentes da FTC contra corretores e agregadores de dados – Mobilewalla, Gravy/Venntel, InMarket e X-Mode/Outlogic – e considere estes conclusões:

Os dados de localização são informações pessoais confidenciais. Nas quatro reclamações, a FTC afirma que os agregadores de dados recolheram milhares de milhões de pontos de dados de localização ligados a identificadores persistentes únicos e carimbos de data/hora que poderiam oferecer informações sobre os movimentos das pessoas. Identificadores persistentes exclusivos facilitam a correspondência dos movimentos de alguém com outras informações de identificação pessoal (PII) — como nome, endereço ou endereço de e-mail — de materiais disponíveis publicamente ou de outros corretores de dados. Os dados de localização são informações pessoais confidenciais. Dada a sensibilidade, se você coletá-lo ou vendê-lo, deverá protegê-lo com cuidado.

Certos dados de localização confidenciais nunca devem ser usados ​​ou vendidos. A FTC alega que cada uma das empresas envolvidas nestas quatro queixas vendeu injustamente informações de localização que revelavam as visitas das pessoas a locais particularmente sensíveis, como instalações médicas e locais de culto. Nos processos Mobilewalla e Gravy/Venntel, a FTC também alegou que as empresas visavam injustamente as pessoas com base em características sensíveis. Certas informações de localização são tão confidenciais que requerem proteções reforçadas. Isto pode incluir informações sobre visitas ou estadias nos seguintes locais: instalações médicas, organizações religiosas, instalações correcionais, escritórios sindicais, locais que prestam serviços a indivíduos LGBTQ+, locais de manifestações políticas, locais que oferecem educação ou cuidados infantis a menores, de raça ou etnia. organizações, locais que fornecem abrigo ou serviços sociais e instalações militares, escritórios ou edifícios. Na maioria dos casos, as empresas não devem utilizar ou vender estes dados.

Obtenha permissão das pessoas e monitore as empresas com as quais você trabalha. Quando se trata de dados de localização, certifique-se de obter o consentimento de todas as pessoas para cada uso aplicável. Quer você colete o consentimento diretamente ou dependa de terceiros, você deve garantir que as pessoas forneçam consentimento informado antes de usar seus dados de localização. Confira as quatro reclamações sobre métodos de obtenção ou verificação de consentimento que a FTC alega serem inadequados. Por exemplo, você não deve obter o consentimento de uma pessoa para usar seus dados para uma finalidade, enquanto oculta ou desconsidera convenientemente outras finalidades para as quais pretende usar os dados. Você deve verificar o consentimento informado de uma pessoa para a coleta específica de dados de localização para a finalidade para a qual usará seus dados, mesmo quando o consentimento da pessoa tiver sido obtido por meio de terceiros. Disposições contratuais vagas, sem supervisão ou monitoramento da conformidade dos fornecedores, não constituem verificação. E pense em como você monitorará as empresas para as quais vende dados, não apenas as empresas das quais compra dados. Seus contratos incluem restrições estritas sobre como os destinatários dos dados podem usá-los? Como você usará meios técnicos para detectar uso indevido, monitorar vigilantemente a conformidade e encerrar relacionamentos por falta de conformidade?

A transparência é fundamental. Se você coleta e vende dados de localização, conquiste a confiança dos consumidores por meio da transparência em suas práticas comerciais. Por exemplo, divulgue publicamente um cronograma de retenção que explique as finalidades para as quais você está coletando informações das pessoas, os motivos comerciais para manter os dados e um prazo razoável estabelecido para excluí-los. Não se esqueça de fornecer maneiras fáceis para as pessoas retirarem seu consentimento para a coleta e uso de seus dados de localização, solicitarem a exclusão de quaisquer dados de localização coletados anteriormente e solicitarem a identidade de qualquer pessoa a quem seus dados tenham sido vendidos ou compartilhado.

Avalie seus riscos e estabeleça e mantenha um programa de privacidade robusto projetado para proteger dados de localização e outras informações pessoais. As ordens contra Mobilewalla, Gravy/Venntel, InMarket e X-Mode/Outlogic buscam garantir que as empresas cumpram a lei. Além de exigir que digam a verdade sobre como lidam com as informações das pessoas – incluindo até que ponto as informações de localização são desidentificadas – as ordens exigem que as empresas concebam, implementem, mantenham e documentem salvaguardas para proteger as informações pessoais que tratam. Se você coleta e vende dados de pessoas, verifique os pedidos para ter certeza de que seu próprio programa de privacidade atende a todos os requisitos. E, enquanto estiver fazendo isso, certifique-se de ter ferramentas para respeitar as escolhas das pessoas de cancelar ou excluir dados de localização. Aqui estão algumas questões a serem consideradas ao avaliar seus riscos:

• Você tem consentimento para coletar, usar e vender dados de localização?
• Você filtra visitas a locais sensíveis?
• Você divulga por quanto tempo mantém os dados de localização? Você mantém os dados por mais tempo do que o necessário?
• Você respeita as preferências de exclusão das pessoas?
• Você tem um programa de privacidade robusto?

Se a resposta a qualquer uma dessas perguntas for “não”, agora é a hora de endireitar o navio.