FTC prohibirá a Avast vender datos de navegación con fines publicitarios

La Comisión Federal de Comercio de EE.UU. (FTC) ordenará a Avast el pago de 16,5 millones de dólares y le prohibirá vender o licenciar los datos de navegación de los usuarios con fines publicitarios.

La denuncia alega que Avast violó los derechos de millones de consumidores al recopilar, almacenar y vender sus datos de navegación sin su conocimiento o consentimiento, al tiempo que les engañaba haciéndoles creer que los productos utilizados para recopilar sus datos bloquearían el seguimiento en línea.

«Mientras que las acciones judiciales de la FTC en materia de privacidad se dirigen regularmente a empresas que tergiversan sus prácticas de datos, la decisión de Avast de comercializar expresamente sus productos como si guardaran los datos de navegación de los usuarios y los protegieran del rastreo, y luego vender esos datos, es particularmente ofensiva», dijo la presidenta de la FTC, Lina M. Khan.

«Además, el volumen de datos revelados por Avast es asombroso: la denuncia alega que en 2020, Jumpshot había acumulado «más de ocho petabytes de información de navegación que se remonta a 2014.»

Específicamente, la FTC afirma que Avast Limited, con sede en el Reino Unido, ha estado recopilando información de navegación web de los consumidores sin su conocimiento o consentimiento utilizando las extensiones del navegador Avast y el software antivirus desde al menos 2014.

Los flujos de datos de Avast incluían identificadores únicos para cada navegador web y una combinación de información sobre cada sitio web visitado, marcas de tiempo, tipo de dispositivo y navegador, así como la ciudad, el estado y el país del usuario. Al describir sus prácticas de intercambio de datos, la empresa también afirmaba falsamente que sólo transfería la información personal de los usuarios de forma agregada y anónima.

La FTC también afirma que Avast almacenó esta información indefinidamente y la vendió a más de 100 terceros entre 2014 y 2020 a través de su filial Jumpshot.

Por ejemplo, Jumpshot llegó a un acuerdo con la empresa de publicidad Omnicom, que le dio acceso al 50% de los datos de los clientes de Jumpshot en seis países: Estados Unidos, Reino Unido, México, Australia, Canadá y Alemania, alega la denuncia.

Avast también habría engañado a los usuarios prometiéndoles proteger su privacidad mediante el bloqueo del rastreo de terceros. Sin embargo, no les informó de que se venderían sus datos de navegación detallados y reidentificables.

Las prácticas de recopilación de datos de la compañía quedaron al descubierto en diciembre de 2019 después de que Mozilla eliminara cuatro de las extensiones del navegador de la compañía (a saber, Avast Online Security, Avast SafePrice, AVG Online Security y AVG SafePrice) de su repositorio de complementos de Firefox tras recibir informes de que estaban rastreando la navegación web de los usuarios.

Un mes más tarde, una investigación conjunta de Motherboard y PCMag reveló que la filial Jumpshot de Avast estaba vendiendo los datos de navegación recopilados de los clientes a terceros, incluido el agente de datos de Omnicom mencionado en la denuncia de la FTC.

Además de ser condenada a pagar 16,5 millones de dólares, se prohibirá a Avast licenciar o vender a terceros, con fines publicitarios, los datos de navegación obtenidos mediante productos de la marca Avast.

Se exigirá a la empresa que obtenga el consentimiento de todos sus clientes antes de vender o licenciar datos de navegación obtenidos de productos que no sean de Avast. La FTC también exigirá a Avast que elimine todos los datos de navegación compartidos con Jumpshot, así como cualquier producto o algoritmo desarrollado por Jumpshot basado en esos datos.

Además, Avast tendrá que informar a los usuarios cuyos datos de navegación fueron vendidos a terceros sin su consentimiento de las acciones de la FTC contra la compañía.

«Avast prometió a los usuarios que sus productos protegerían la privacidad de sus datos de navegación, pero ha ocurrido todo lo contrario. Las tácticas de vigilancia de cebo de Avast comprometieron la privacidad de los consumidores y violaron la ley», dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC.

Un portavoz de Avast dijo a CiberNovedades que la compañía ya había llegado a un acuerdo con la FTC para resolver la investigación sobre los datos compartidos con la filial Jumpshot, que fue cerrada en enero de 2020.

«Estamos comprometidos con nuestra misión de proteger y empoderar la vida digital de las personas», dijo el portavoz.

«Si bien no estamos de acuerdo con la acusación de la FTC y la caracterización de los hechos, nos complace resolver este asunto y esperamos continuar sirviendo a nuestros millones de clientes en todo el mundo.»

Actualización 22 de febrero, 11:57 EST: Declaración de Avast añadida.