Il colosso dell’antivirus Avast dovrà pagare una multa da 16,5 milioni di dollari e non potrà più vendere o concedere in licenza qualsiasi dato di navigazione web a scopo pubblicitario. Lo ha stabilito un provvedimento (SCARICA QUI IL DOCUMENTO) della Federal Trade Commission (Ftc), a chiusura del caso che ha visto protagonista il fornitore di software e le sue filiali, accusate di aver venduto tali informazioni a terzi dopo aver promesso che i suoi prodotti avrebbero protetto i consumatori dal tracciamento online.
Vendita senza notifica e senza consenso
Nella sua denuncia, la Ftc afferma che Avast Limited, con sede nel Regno Unito, attraverso la sua filiale ceca, ha raccolto in modo ingiusto le informazioni sulla navigazione dei consumatori tramite le estensioni del browser della società e il software antivirus, le ha conservate a tempo indeterminato e le ha vendute senza una notifica adeguata e senza il consenso dei consumatori. La Ftc accusa inoltre Avast di aver ingannato gli utenti affermando che il software avrebbe protetto la privacy dei consumatori bloccando il tracciamento da parte di terzi, ma non ha informato adeguatamente i consumatori che avrebbe venduto i loro dati di navigazione dettagliati e riconoscibili. Avast avrebbe venduto questi dati a più di 100 terze parti tramite la sua filiale, Jumpshot.
“Avast ha promesso agli utenti che i suoi prodotti avrebbero protetto la privacy dei loro dati di navigazione ma ha fornito il contrario”, ha dichiarato Samuel Levine, Direttore del Bureau of Consumer Protection della Ftc. “Le tattiche di sorveglianza ingannevoli di Avast hanno compromesso la privacy dei consumatori e violato la legge”.
Informazioni di navigazione raccolte sin dal 2014
Dal 2014, secondo quanto afferma la Ftc, Avast ha raccolto le informazioni di navigazione dei consumatori tramite estensioni del browser, che possono modificare o estendere la funzionalità dei browser web dei consumatori, e tramite software antivirus installati sui computer e sui dispositivi mobili dei consumatori. Questi dati di navigazione includevano informazioni sulle ricerche web degli utenti e sulle pagine web visitate, rivelando le convinzioni religiose, le preoccupazioni per la salute, le inclinazioni politiche, la posizione, lo stato finanziario, le visite a contenuti diretti ai bambini e altre informazioni sensibili dei consumatori.
Secondo la denuncia, Avast non solo ha omesso di informare i consumatori che raccoglieva e vendeva i loro dati di navigazione, ma l’azienda ha affermato che i suoi prodotti avrebbero ridotto il tracciamento su Internet. Ad esempio, quando gli utenti cercavano le estensioni del browser, venivano informati che Avast avrebbe “bloccato i fastidiosi cookie di tracciamento che raccolgono dati sulle tue attività di navigazione” e promesso che il suo software per desktop avrebbe “protetto la tua privacy, impedendo a chiunque di accedere al tuo computer”.
La difesa: rimosse le informazioni identificative
Dopo l’acquisto di Jumpshot, un fornitore concorrente di software antivirus, l’azienda ha ribattezzato la società come azienda di analisi. Dal 2014 al 2020, Jumpshot ha venduto informazioni di navigazione raccolte da Avast a una varietà di clienti, tra cui aziende di pubblicità, marketing e analisi dei dati e broker di dati, secondo la denuncia.
L’azienda ha affermato di aver utilizzato un algoritmo speciale per rimuovere le informazioni identificative prima di trasferire i dati ai suoi clienti. Tuttavia, la Ftc afferma che l’azienda non è riuscita a rendere sufficientemente anonime le informazioni di navigazione dei consumatori che ha venduto in forma non aggregata attraverso vari prodotti. Ad esempio, i suoi flussi di dati includevano un identificatore unico per ogni browser web dal quale raccoglieva informazioni e potevano includere ogni sito web visitato, timestamp precisi, tipo di dispositivo e browser, e la città, lo stato e il paese. Quando Avast descriveva le sue pratiche di condivisione dei dati, affermava falsamente che avrebbe trasferito le informazioni personali dei consumatori solo in forma aggregata e anonima, secondo la denuncia.
Ma per la Ftc le informazioni non erano sufficientemente anonime
La Ftc afferma che l’azienda non ha impedito ad alcuni dei suoi acquirenti di dati di ridefinire l’identità degli utenti Avast in base ai dati forniti da Jumpshot. E, anche quando i contratti di Avast includevano tali divieti, i contratti erano formulati in modo da permettere agli acquirenti di dati di associare informazioni non identificabili personalmente con le informazioni di navigazione degli utenti Avast. Infatti, alcuni dei prodotti Jumpshot erano progettati per consentire ai clienti di tracciare utenti specifici o addirittura di associare utenti specifici, e le loro cronologie di navigazione, con altre informazioni che quei clienti avevano.
Ad esempio, come affermato nella denuncia, Jumpshot ha stipulato un contratto con Omnicom, un conglomerato pubblicitario, che prevedeva che Jumpshot avrebbe fornito a Omnicom un “All Clicks Feed” per il 50% dei suoi clienti negli Stati Uniti, Regno Unito, Messico, Australia, Canada e Germania. Secondo il contratto, Omnicom era autorizzato ad associare i dati di Avast con fonti di dati dei broker di dati, su base individuale.
Multa da 16,5 milioni di dollari, divieti e obblighi
Oltre a pagare 16,5 milioni di dollari, che si prevede saranno utilizzati per fornire un risarcimento ai consumatori, l’ordine proposto vieterà ad Avast e alle sue filiali di fuorviare su come utilizza i dati che raccoglie.
Altre disposizioni dell’ordine proposto includono il divieto di vendere dati di navigazione a terzi per scopi pubblicitari; obbligo di ottenere il consenso esplicito affermativo (l’azienda dovrà ottenere il consenso esplicito affermativo dei consumatori prima di vendere o concedere in licenza dati di navigazione da prodotti non Avast a terzi per scopi pubblicitari); la cancellazione dei dati e dei modelli (Avast dovrà cancellare le informazioni di navigazione web trasferite a Jumpshot e qualsiasi prodotto o algoritmo derivato da tali dati); obbligo di notifica ai consumatori (Avast dovrà informare i consumatori i cui dati di navigazione sono stati venduti a terzi senza il loro consenso riguardo le azioni della Ftc contro l’azienda); obbligo di implementare un programma sulla privacy (Avast dovrà implementare un programma completo sulla privacy che affronti i comportamenti illeciti evidenziati dalla Ftc).
La nota di Avast
“Avast ha raggiunto un accordo con la Ftc per risolvere l’indagine sulla fornitura di dati dei clienti da parte di Avast alla sua sussidiaria Jumpshot, che Avast ha chiuso volontariamente nel gennaio 2020. Proseguiamo nella nostra missione di proteggere e potenziare la vita digitale delle persone. Pur non essendo d’accordo con le accuse e la presentazione dei fatti da parte della Ftc, siamo lieti di aver risolto la questione e di continuare a impegnarci al servizio dei nostri milioni di clienti in tutto il mondo”