La Federal Trade Commission ha inflitto ad Avast – nota azienda che sviluppa software antivirus – una maxi sanzione a causa della vendita non autorizzata dei dati di navigazione dei propri clienti. In base alle indagici dell’agenzia governativa degli Stati Uniti questa pratica si è protratta per diversi anni.
La vicenda
La FTC ha accusato Avast di aver ingannato gli utenti, promettendo che il loro software antivirus avrebbe garantito la privacy bloccando il tracciamento da parte di terzi. In realtà, gli utenti non sono stati informati circa la vendita dei loro dati di navigazione dettagliati e re-identificabili.
Secondo la denuncia della FTC, Avast ha raccolto in modo sleale le informazioni di navigazione dei consumatori tramite le estensioni del browser e il software antivirus della sua filiale ceca.
Questi dati sono stati conservati per tempi non definiti e successivamente venduti senza un adeguato preavviso e senza il consenso dei consumatori.
La FTC ha sostenuto che, già a partire dal 2014, Avast abbia iniziato a raccogliere le informazioni di navigazione dei consumatori tramite le estensioni del browser e il software antivirus installati sui computer e dispositivi mobili degli utenti.
Questi dati di navigazione comprendevano informazioni sulle ricerche web degli utenti e sulle pagine web visitate, rivelando una vasta gamma di informazioni sensibili tra cui credenze religiose, preoccupazioni per la salute, orientamenti politici, posizione geografica, situazione finanziaria, attività su contenuti dedicati ai bambini e altre informazioni sensibili.
Si sostiene che Avast abbia ceduto tali dati a oltre 100 terze parti – che includono aziende pubblicitarie, di marketing, analisi dei dati e broker – tramite la sua filiale, Jumpshot.
Nonostante l’azienda abbia affermato di aver utilizzato un algoritmo speciale per eliminare le informazioni di identificazione prima di condividerle con i clienti, la FTC sostiene che non sia stata sufficientemente garantita l’anonimizzazione delle informazioni di navigazione dei consumatori.
Sanzione e disposizioni
A seguito del suddetto illecito, l’azienda ha subito una sanzione pecuniaria pari a 16,5 milioni di dollari. Inoltre, l’ordine proposto nei confronti di Avast prevede le seguenti disposizioni:
- Obbligo di dichiarare – in maniera corretta – l’impiego dei dati raccolti;
- divieto di vendita dei dati di navigazione per scopi pubblicitari (previo consenso esplicito all’utilizzo delle informazioni raccolte);
- rimozione dei dati di navigazione web – da parte di Avast– che sono stati trasferite a Jumpshot e/o qualsiasi prodotto o algoritmo sviluppato da Jumpshot basato su tali dati;
- notifica ai consumatori riguardo alle azioni intraprese dalla FTC contro l’azienda;
- implementazione di un programma completo sulla privacy da parte di Avast.