FTC Americana continua tomando medidas contra corretores de dados

Em dezembro de 2024, a Comissão Federal de Comércio (FTC), nos Estados Unidos, anunciou duas ações de execução contra grandes empresas agregadoras de dados, a Mobilewalla, Inc. (“Mobilewalla”) e a Gravy Analytics Inc. (“Gravy Analytics”), por suposto uso indevido e práticas desleais relacionadas à coleta e transferência de dados sensíveis de consumidores.

As ações contra a Mobilewalla e a Gravy Analytics (e sua subsidiária, Venntel Inc. (“Venntel”)) dão continuidade à aplicação da autoridade de práticas desleais da Seção 5 à venda de dados sensíveis de localização de consumidores.

A ação contra a corretora de dados de localização Mobilewalla também representou a primeira proibição da agência à coleta de dados de consumidores em trocas de lances em tempo real (RTB). As trocas de RTB são um mecanismo digital que os editores online usam para leiloar espaços publicitários digitais para anunciantes. Para garantir que o anúncio seja personalizado para o consumidor-alvo, os editores online podem compartilhar a localização e as informações pessoais do consumidor com os anunciantes como parte do processo de licitação.

Embora a ação da Mobilewalla destaque como diferentes tecnologias estão sendo usadas para coletar dados do consumidor, as ações de execução da Mobilewalla e da Gravy Analytics são apenas as mais recentes de uma série de decisões da FTC alegando uso indevido de dados de localização confidenciais dos consumidores por agregadores de dados.

Resumo das Reclamações

A Gravy Analytics e a Venntel coletam e vendem dados precisos de localização do consumidor obtidos de outros fornecedores de dados. Esses dados de geolocalização são selecionados de fornecedores terceirizados antes de serem vendidos a clientes dos setores público e privado.

De acordo com a FTC, a Gravy Analytics e a Venntel continuaram a coletar dados de geolocalização dos consumidores mesmo após descobrirem que os consumidores não forneceram consentimento informado e venderam características sensíveis, como afiliações religiosas e decisões médicas dos consumidores, com base nos dados de geolocalização. Semelhante à Gravy Analytics e à Venntel, a Mobilewalla é uma corretora de dados que obtém dados de localização do consumidor de fornecedores terceirizados, em vez de diretamente dos consumidores.

De acordo com a FTC, a Mobilewalla coletou e reteve dados de consumidores de corretoras de RTB e vendeu dados sensíveis de geolocalização dos consumidores sem garantir que os consumidores fornecessem consentimento informado.

Especificamente, a reclamação da Gravy Analytics e a reclamação da Mobilewalla afirmam as seguintes práticas de dados como violações da Seção 5 da Lei FTC:

Venda injusta de dados sensíveis 

Em ambas as denúncias, a FTC alegou que os modelos de negócios da Gravy Analytics e da Mobilewalla, que forneciam dados de geolocalização móvel dos consumidores a terceiros, resultaram na divulgação de informações sensíveis.

Os dados fornecidos pela Gravy Analytics e pela Mobilewalla incluíam a longitude, a latitude e a data e hora da localização do consumidor. Como explicou a FTC, esse tipo de dado preciso de geolocalização pode rastrear consumidores até locais sensíveis, incluindo instalações médicas, locais de culto e agências de assistência governamental.

Coleta e uso injustos de dados de localização do consumidor sem verificação de consentimento 

Além disso, a FTC alegou que tanto a Gravy Analytics quanto a Mobilewalla coletaram e utilizaram dados de geolocalização dos consumidores em diversas ocasiões, sem tomar medidas razoáveis ​​para garantir que os consumidores fornecessem consentimento informado.

Embora a Gravy Analytics tenha solicitado que seus fornecedores de dados notificassem seus consumidores, a FTC alegou que a Gravy Analytics continuou a coletar, utilizar e vender os dados obtidos por fornecedores que não forneceram tal notificação.

Além disso, a FTC alegou que a Venntel não possuía um processo independente para confirmar se os consumidores forneceram consentimento informado, confiando, em vez disso, na Gravy Analytics para obter essas confirmações.

Por fim, a FTC alegou que tanto a Gravy Analytics quanto a Venntel continuaram a utilizar os dados de geolocalização dos consumidores mesmo após descobrirem que os consumidores não forneceram consentimento informado. Da mesma forma, a Mobilewalla supostamente se baseou em “garantias contratuais vagas” de que os fornecedores de dados estavam cumprindo as leis aplicáveis ​​sobre consentimento do consumidor, não chegando a exigir contratualmente que os fornecedores de dados obtivessem o consentimento do consumidor.

Além disso, a FTC alegou que a Mobilewalla não revisou exemplos dos avisos de consentimento utilizados pelos fornecedores e raramente fez o acompanhamento para determinar se alterações foram feitas posteriormente nas divulgações de privacidade.

Venda injusta de inferências sensíveis derivadas de dados de localização dos consumidores

Além disso, a FTC alegou que a Gravy Analytics e a Mobilewalla vendiam pontos de dados sensíveis inferidos a partir dos dados de geolocalização dos consumidores.

Com base em dados como quando os consumidores frequentavam a igreja, iam ao médico ou participavam de comícios políticos, a Gravy Analytics e a Mobilewalla criaram “segmentos de público” ou subconjuntos de consumidores que compartilhavam interesses ou valores. Ao categorizar os consumidores em segmentos de público com base em emprego, decisões médicas ou filiação política, os clientes conseguiam direcionar publicidade aos consumidores.

Além de desenvolver segmentos de público para os clientes, a Gravy Analytics também fornecia produtos de dados “persona” que identificavam cada segmento de público afiliado a um consumidor individual.

Coleta injusta de informações do consumidor em trocas RTB

A FTC alegou que a Mobilewalla coletou imensos volumes de informações de consumidores de trocas de RTB, salvando as informações contidas em uma solicitação de licitação. Normalmente, essas solicitações incluem informações como o identificador de publicidade móvel (MAID) do consumidor, o carimbo de data/hora, o fabricante do dispositivo do consumidor, o aplicativo móvel no qual o consumidor verá o anúncio e a geolocalização do consumidor.

Embora os termos das trocas de RTB proíbam as empresas de reter informações do consumidor caso percam a licitação, a Mobilewalla coletou e utilizou informações de consumidores de licitações perdidas. Além disso, a Mobilewalla coletou e utilizou as informações do consumidor para fins não publicitários, o que também é contra os termos das trocas de RTB.

Por exemplo, a Mobilewalla supostamente utilizou informações de consumidores de uma solicitação de licitação para criar uma cerca geográfica em torno de um conjunto de centros de saúde e endereços residenciais de funcionários, para que um cliente pudesse roubar esses enfermeiros em nome de um concorrente do setor de saúde.

Retenção injusta de informações de localização do consumidor

Por fim, a FTC também alegou que a retenção de informações confidenciais de localização de consumidores pela Mobilewalla “indefinidamente” permitiu à empresa inferir informações confidenciais sobre os consumidores por anos.

De acordo com a FTC, um repositório dessa magnitude torna os consumidores vulneráveis ​​a perigos graves, como perseguição, golpes direcionados e danos à reputação. Por exemplo, a FTC alegou que um cliente da Mobilewalla propôs a construção de uma cerca geográfica ao redor das casas de indivíduos envolvidos em um processo privado para rastreá-los ao longo dos anos e determinar se eles visitaram agências federais de segurança pública.

Além disso, a Mobilewalla supostamente divulgou sua capacidade de identificar os endereços residenciais dos consumidores e se eles participaram de comícios políticos nos últimos cinco anos.

Resumo das Ordens Propostas

A FTC impôs vários requisitos importantes às empresas sujeitas às duas ações de execução, incluindo: 

• Limitar o uso, a venda ou a divulgação futuros de dados de informações sensíveis. A ordem proposta pela Gravy Analytics e pela Venntel proíbe o uso, a venda ou a divulgação de dados de localização sensíveis, com exceções limitadas para fins de segurança nacional ou aplicação da lei. Da mesma forma, a ordem proposta pela Mobilewalla proíbe a empresa de divulgar dados de localização sensíveis.
• Mais especificamente, a FTC proíbe a Mobilewalla de usar, vender ou divulgar dados de localização sensíveis de clínicas de saúde, organizações religiosas, instalações correcionais, escritórios de sindicatos, locais relacionados à comunidade LGBTQ+, reuniões políticas e instalações militares.
• Implementar um Programa de Dados de Localização Sensíveis. Em ambas as ordens, a FTC exige que as empresas criem e mantenham um programa de dados de localização sensíveis. A agência observa que os programas devem desenvolver uma lista abrangente de locais sensíveis para garantir que esses locais sejam omitidos antes da divulgação dos conjuntos de dados de localização.
• A ordem para a Gravy Analytics e a Venntel especifica que a lista abrangente de locais sensíveis deve incluir qualquer área afiliada a instalações médicas, organizações religiosas, instalações correcionais, escritórios de sindicatos, escolas ou creches, serviços de apoio a pessoas com base em origens raciais e étnicas, serviços de abrigo para pessoas em situação de rua, vítimas de violência doméstica, refugiados ou imigrantes e instalações militares.
• Manter um programa de avaliação de fornecedores que verifique o consentimento informado dos consumidores. Além disso, as ordens de consentimento exigem que as empresas criem e mantenham programas de avaliação de fornecedores.
• De acordo com a FTC, os programas devem ser elaborados para verificar se os consumidores deram consentimento informado para a coleta e o uso de seus dados de localização. Além disso, a coleta e o uso de dados de localização do consumidor são proibidos até que os fornecedores forneçam às empresas registros que comprovem que os consumidores deram consentimento informado.
• Proibir a deturpação de como os dados são coletados e mantidos. A FTC proíbe as três empresas de deturpar como os dados são coletados, mantidos, utilizados, excluídos ou divulgados. As ordens propostas também exigem que as empresas divulguem até que ponto os dados de localização dos consumidores são desidentificados.
• Além disso, a ordem proposta para a Gravy Analytics e a Venntel proíbe a deturpação de como as empresas revisam as estruturas de conformidade e consentimento dos fornecedores de dados, as divulgações ao consumidor, os avisos de amostra e os controles de opt-in.
• Implementar métodos para que os consumidores retirem o consentimento e solicitem a exclusão de dados. Na ordem proposta pela Mobilewalla, a FTC exige que a empresa implemente um método para que os consumidores solicitem a exclusão de seus dados de localização, bem como a exclusão de dados mais antigos.
• Além disso, a Mobilewalla é obrigada a excluir dados históricos de localização e qualquer produto de trabalho criado a partir desses dados. A Mobilewalla também deve fornecer um método para que os consumidores retirem seu consentimento.
• Assim que um consumidor retira o consentimento, a ordem determina que a Mobilewalla exclua seus dados e pare de coletar mais dados desse consumidor.
• Limitar a retenção de dados de localização do consumidor em leilões de publicidade online. Além disso, a FTC proibiu a Mobilewalla de coletar ou reter dados de consumidores de corretoras de RTB para qualquer finalidade que não seja a participação no leilão de publicidade online.

Principais conclusões

• A FTC continua a investigar a suposta coleta, uso e transferência de dados sensíveis. As ações de execução contra a Gravy Analytics, a Venntel e a Mobilewalla são apenas as mais recentes de uma série de decisões da FTC que contestam o suposto tratamento injusto de dados de localização sensíveis de consumidores por agregadores de dados.
• Ações anteriores incluem a ação de 2022 contra a Kochava por vender dados de localização de consumidores vinculados a clínicas de saúde reprodutiva, entre outros locais sensíveis, e as ações de 2024 contra a X-Mode por vender dados brutos de localização e a In-Market por vender dados precisos de localização de consumidores.
• As empresas devem estar cientes do foco contínuo da FTC nos potenciais danos ao consumidor resultantes da coleta, divulgação e retenção de dados sensíveis de localização de consumidores.
• Alguns dados de geolocalização são mais sensíveis do que outros. Neste ponto, vimos reguladores e legisladores (em nível estadual) estabelecerem proteções extras sobre dados de geolocalização relacionados a locais sensíveis, como instalações médicas e instituições religiosas. Por meio de suas ordens de consentimento, a FTC continua a expandir sua definição de quais dados de localização são considerados sensíveis.
• A definição de “localização sensível” em ambas as ordens lista locais como “locais oferecidos ao público como predominantemente prestadores de serviços a indivíduos LGBTQ+, como organizações de serviços, bares e vida noturna”; “locais oferecidos ao público como predominantemente prestadores de serviços com base em origem racial ou étnica”; e “locais de reuniões públicas de indivíduos durante manifestações políticas ou sociais, marchas e protestos”, que, sem dúvida, têm ampla interpretação e aplicação.
• Além dessa definição, as ordens também exigem que cada empresa desenvolva e mantenha sua própria lista abrangente de locais sensíveis (por meio do Programa de Dados de Localização Sensíveis), expandindo ainda mais o escopo de “dados de localização sensíveis”.
• As empresas são responsáveis ​​pelas práticas de dados sensíveis em sua cadeia de suprimentos ao lidar com o consentimento do consumidor. Essas ações de execução não são a primeira vez (veja, por exemplo, as ações de execução do X-Mode e do InMarket) que a FTC afirma que as empresas, como as corretoras de dados, que se envolvem na transferência e/ou venda de dados sensíveis devem garantir que os coletores de dados anteriores e terceiros tenham obtido o consentimento adequado do consumidor em relação ao uso específico.
• As ordens propostas contêm algumas etapas, políticas e procedimentos concretos — como o estabelecimento de um programa de dados de localização sensíveis e a nomeação de um responsável pela privacidade para supervisionar essas práticas — sobre como as empresas podem identificar e lidar com o manuseio incorreto de dados de localização sensíveis ou canais de consentimento inadequados por terceiros.
• A coleta e o uso de informações de consumidores de corretoras de RTB para fins não publicitários podem violar a Lei da FTC. A ação de execução da Mobilewalla marca a primeira vez que a FTC alega que a coleta de dados de consumidores de corretoras de RTB para fins não publicitários é um ato ou prática injusta.
• Além disso, a proposta de ordem de consentimento da Mobilewalla contém as primeiras disposições da FTC que limitam a coleta e o uso de dados de consumidores disponibilizados a empresas durante as corretoras de anúncios.
• Consequentemente, as empresas devem avaliar o uso de seus dados relacionados à sua participação em corretoras de RTB ou leilões e considerar abster-se de coletar, usar ou reter dados de consumidores para qualquer finalidade além da participação na corretora.
• Como a FTC resumiu em uma postagem recente no blog sobre a ação de execução da Mobilewalla, “[a]bordar as questões de privacidade envolvidas em lances em tempo real pode ser uma nova fronteira, mas isso não impedirá o histórico da agência de aplicar a lei contra empresas que coletam, usam e compartilham dados sensíveis de consumidores sem o seu consentimento”.
• A FTC está levantando preocupações constitucionais associadas à indústria de corretoras de dados. A concordância do Comissário Alvaro Bedoya  com a Gravy Analytics, à qual se juntaram integralmente os outros dois comissários nomeados pelos democratas e, em parte, a comissária republicana Melissa Holyoak, atravessa o cânone de privacidade de dados de decisões da Suprema Corte, como Katz v. Estados Unidos e Carpenter v. Estados Unidos, em seu argumento de que esses perfis detalhados de consumidores vendidos por corretoras de dados no mercado aberto podem infringir as proteções da Quarta Emenda se disponibilizados ao governo. Bedoya escreve: “[p]ara deixar este [ponto] claro: Carpenter disse que, para obter esses dados, é necessário um mandado; Venntel permite que eles os obtenham sem um mandado”.
• Embora essas declarações concordantes não tenham peso autoritativo, elas fornecem insights úteis sobre como a liderança da FTC está pensando sobre essas questões e informando suas prioridades de execução.