La Federal Trade Commission sta prendendo provvedimenti contro Gravy Analytics Inc. e la sua controllata Venntel Inc. per aver tracciato e venduto illegalmente dati sensibili sulla posizione degli utenti, tra cui dati sulle visite dei consumatori a strutture sanitarie e luoghi di culto.
In base a un’ordinanza proposta per risolvere le accuse della FTC, a Gravy Analytics e Venntel sarà vietato vendere, divulgare o utilizzare dati sensibili sulla posizione in qualsiasi prodotto o servizio e dovranno istituire un programma di localizzazione dei dati sensibili. La denuncia della FTC sostiene che Gravy Analytics e Venntel hanno violato l’FTC Act vendendo in modo sleale dati sensibili sulla posizione dei consumatori e raccogliendo e utilizzando i dati sulla posizione dei consumatori senza ottenere il consenso verificabile dell’utente per usi commerciali e governativi.
Secondo la denuncia, Gravy Analytics avrebbe continuato a usare i dati sulla posizione dei consumatori dopo aver scoperto che i consumatori non avevano fornito il consenso informato. Gravy Analytics sarebbe accusato anche di aver venduto in modo ingiusto caratteristiche sensibili, come decisioni mediche o sanitarie, attività politiche e opinioni religiose, derivate dai dati sulla posizione dei consumatori.
Gravy Analytics e Venntel, con sede in Virginia, avrebbero ottenuto informazioni sulla posizione dei consumatori da altri fornitori di dati e hanno affermato di raccogliere, elaborare e curare più di diciassette miliardi di segnali da circa un miliardo di dispositivi mobili al giorno. I dati sulla posizione venduti dalle aziende possono essere utilizzati per identificare i consumatori e non sono resi anonimi, secondo la denuncia.
La denuncia sostiene che Gravy Analytics ha utilizzato il geofencing, che crea un confine geografico virtuale, per identificare e vendere elenchi di consumatori che hanno partecipato a determinati eventi correlati a condizioni mediche e luoghi di culto e ha venduto elenchi aggiuntivi che associano singoli consumatori ad altre caratteristiche sensibili.
La FTC afferma che le aziende hanno esposto i consumatori a potenziali danni alla privacy, che potrebbero includere la divulgazione di decisioni mediche o sanitarie, attività politica e pratiche religiose. La divulgazione non autorizzata di caratteristiche sensibili mette i consumatori a rischio di stigma, discriminazione, violenza e altri danni, secondo la denuncia.
In base all’ordine proposto, Gravy Analytics e Venntel non potranno vendere, concedere in licenza, trasferire, condividere, divulgare o utilizzare dati sensibili sulla posizione, tranne in circostanze limitate che coinvolgono la sicurezza nazionale o le forze dell’ordine. L’ordine richiede inoltre alle aziende di mantenere un programma di dati sensibili sulla posizione progettato per sviluppare un elenco di posizioni sensibili e impedire l’uso, la vendita, la licenza, il trasferimento, la condivisione o la divulgazione delle visite dei consumatori a tali posizioni, comprese le posizioni associate a:
- Strutture mediche
- Organizzazioni religiose
- Istituti penitenziari
- Uffici sindacali
- Scuole o strutture per l’infanzia
- Servizi di supporto alle persone in base a background razziali ed etnici
- Servizi di accoglienza per senzatetto, vittime di abusi domestici, rifugiati o immigrati
- Installazioni militari
L’ordinanza richiede, inoltre, alle aziende di eliminare tutti i dati storici sulla posizione e tutti i prodotti dati sviluppati utilizzando tali dati. Richiede inoltre che le aziende informino i clienti che hanno ricevuto dati storici sulla posizione negli ultimi tre anni della richiesta della Commissione che tali dati debbano essere eliminati, de-identificati o resi non sensibili. Le aziende possono conservare i dati storici sulla posizione se assicurano che siano de-identificati o resi non sensibili o se i consumatori hanno acconsentito all’uso dei propri dati.
Richiede inoltre alle aziende di mantenere un programma di valutazione dei fornitori progettato per garantire che i consumatori abbiano fornito il consenso alla raccolta e all’uso di tutti i dati che potrebbero rivelare la posizione esatta di un dispositivo mobile o del consumatore.
Alle aziende sarà anche vietato rilasciare dichiarazioni false circa la misura in cui:
- esaminano i quadri di conformità e consenso dei fornitori di dati, le informative ai consumatori, gli avvisi campione e i controlli di adesione
- raccogliere, utilizzare, mantenere, divulgare o eliminare qualsiasi informazione coperta
- i dati che raccolgono, utilizzano, conservano o divulgano sono resi anonimi
La Commissione ha votato 5-0 per emettere il reclamo amministrativo e accettare l’accordo di consenso con le aziende. Il commissario Alvaro Bedoya ha rilasciato una dichiarazione di consenso a cui hanno aderito per intero la presidente Lina Khan e la commissaria Rebecca Kelly Slaughter e in parte il commissario Holyoak. Holyoak ha rilasciato una dichiarazione di consenso separata a cui ha aderito in parte Bedoya. Il commissario Andrew Ferguson ha rilasciato una dichiarazione di consenso e di dissenso .
