FTC anuncia ações de execução contra as divisões Alexa e Ring da Amazon por violações da privacidade do usuário
Em 31 de maio, a Federal Trade Commission (FTC ou Comissão) anunciou duas ações de execução separadas contra a Amazon – uma envolvendo seu serviço de voz baseado em nuvem, Alexa, e a outra envolvendo Ring, seu sistema de campainha inteligente. Embora as duas ações de execução sejam baseadas em diferentes conjuntos de fatos, ambas as queixas se concentram em alegações de que Alexa e Ring violaram a privacidade dos usuários de várias maneiras, inclusive por meio de práticas enganosas de retenção de dados, acesso excessivo de funcionários a dados de usuários e segurança cibernética inadequada. práticas. Como parte desses acordos, a Amazon será obrigada a pagar mais de US$ 30 milhões ao governo federal. A empresa respondeu às alegações da FTC em relação às ações de execução do Ring e do Alexa.
Esses acordos destacam os tipos de atividades em que a FTC pode concentrar sua atenção futura na fiscalização (e, de fato, a agência já anunciou outra ação de fiscalização envolvendo dados de crianças desde que esses acordos foram divulgados). Mais notavelmente, as reclamações subjacentes neste caso refletem uma concepção ampla do que a FTC acredita constituir práticas "injustas" dentro do significado da Seção 5 da Lei FTC, abrangendo práticas como acesso amplo de funcionários a dados de clientes, controles inadequados de segurança cibernética, retenção desnecessária de dados do cliente e falha em honrar as solicitações de exclusão. No futuro, as empresas podem esperar que a FTC se baseie nessa interpretação abrangente de práticas desleais para sancionar empresas que violam a privacidade dos dados de seus clientes.
Além disso, as empresas que operam no espaço de inteligência artificial (IA) devem observar que a FTC considera a conformidade com a privacidade um pré-requisito para o desenvolvimento desses modelos. Como parte do pedido proposto para Alexa, a FTC exigia que a Amazon excluísse contas infantis inativas e certas gravações de voz e informações de geolocalização, e também proibiu a empresa de usar esses dados para treinar seus algoritmos, porque alegou que as informações foram processadas em violação da Lei de Proteção à Privacidade Online das Crianças (COPPA). À medida que os produtos de IA continuam a proliferar, as empresas devem estar cientes de que a FTC está prestando muita atenção em como esses modelos são desenvolvidos (e no impacto que esses produtos de IA podem ter) e usará a eliminação de dados como solução quando julgar apropriado.
Essas ações de execução continuam o que tem sido um ano ativo para a aplicação da FTC no espaço de privacidade e segurança de dados, com a Comissão já tendo instaurado várias ações de execução contra empresas por uso indevido de dados de saúde, sinalizado maior escrutínio de tecnologias biométricas e alertado empresas sobre os riscos legais riscos do uso de ferramentas de IA. Dado esse ambiente de maior escrutínio regulatório, as empresas devem garantir que desenvolvam, implementem e adotem políticas robustas e transparentes de coleta e uso de dados.
Nesta postagem, resumimos as reclamações da FTC e as ordens estipuladas propostas nas ações de fiscalização da Amazon e destacamos as principais conclusões para empresas que buscam entender como essas ações de fiscalização podem impactar seus programas de segurança e privacidade de dados no futuro.
AÇÃO DE EXECUÇÃO DA ALEXA
A reclamação
Alexa é o serviço de assistente de voz da Amazon que permite aos usuários acessar uma variedade de produtos e serviços por meio de dispositivos de hardware (como alto-falantes Amazon Echo) e um aplicativo móvel. As ofertas da Alexa incluem, entre outras coisas, produtos e serviços voltados especificamente para crianças, como o alto-falante inteligente "Echo Dot Kids Edition" e o serviço "FreeTime Unlimited on Alexa", que dá às crianças acesso a audiolivros, jogos e outras ofertas. Notavelmente, como parte de sua operação, o serviço Alexa coleta gravações de voz dos usuários e informações de geolocalização.
A narrativa central da reclamação da FTC contra a Alexa é que a Amazon supostamente se envolveu em práticas injustas e enganosas ao representar aos consumidores que a Alexa era uma oferta preocupada com a privacidade que permitia aos usuários exercer controle sobre como os dados confidenciais (incluindo dados de voz e geolocalização) eram coletados , usado e retido pela Amazon. Essas representações, alega a Comissão, colidiram com a realidade das práticas de coleta e uso de dados da Alexa e constituíram violações da Seção 5 da Lei da FTC e da Regra da COPPA.