La FTC anuncia acciones de ejecución contra las divisiones Alexa y Ring de Amazon por violaciones a la privacidad del usuario

El 31 de mayo, la Comisión Federal de Comercio (FTC o Comisión) anunció dos acciones de cumplimiento separadas contra Amazon: una involucraba a su servicio de voz basado en la nube, Alexa, y la otra involucraba a Ring, su sistema de timbre inteligente. Aunque las dos acciones de cumplimiento se basan en diferentes conjuntos de hechos, ambas quejas se centran en acusaciones de que Alexa y Ring violaron la privacidad de los usuarios de varias maneras, incluso a través de prácticas engañosas de retención de datos, acceso excesivo de los empleados a los datos de los usuarios y seguridad cibernética inadecuada. practicas Como parte de estos acuerdos, Amazon deberá pagar más de $30 millones al gobierno federal. La compañía ha respondido a las acusaciones de la FTC con respecto a las acciones de aplicación de Ring y Alexa.

Estos acuerdos resaltan los tipos de actividades en las que la FTC puede centrar su futura atención de cumplimiento (y, de hecho, la agencia ya ha anunciado otra acción de cumplimiento que involucra datos de niños desde que se publicaron estos acuerdos). En particular, las quejas subyacentes en este caso reflejan una concepción amplia de lo que la FTC cree que constituyen prácticas "desleales" en el sentido de la Sección 5 de la Ley de la FTC, abarcando prácticas como el acceso excesivo de los empleados a los datos de los clientes, controles de ciberseguridad inadecuados, la retención innecesaria de datos de clientes y el incumplimiento de las solicitudes de eliminación. En el futuro, las empresas pueden esperar que la FTC confíe en esta interpretación amplia de las prácticas desleales para sancionar a las empresas que violen la privacidad de los datos de sus clientes.

Además, las empresas que operan en el espacio de la inteligencia artificial (IA) deben tener en cuenta que la FTC considera el cumplimiento de la privacidad como un requisito previo para desarrollar estos modelos. Como parte de la orden propuesta para Alexa, la FTC exigió a Amazon que elimine las cuentas de niños inactivas y ciertas grabaciones de voz e información de geolocalización, y también prohibió a la empresa usar dichos datos para entrenar sus algoritmos, porque alegó que la información se procesó en violación. de la Ley de protección de la privacidad en línea de los niños (COPPA). A medida que los productos de IA continúan proliferando, las empresas deben saber que la FTC está prestando mucha atención a cómo se desarrollan estos modelos (y el impacto que estos productos de IA pueden tener) y utilizará la devolución de datos como remedio cuando lo considere apropiado.

Estas acciones de cumplimiento continúan lo que ha sido un año activo para el cumplimiento de la FTC en el espacio de seguridad y privacidad de datos, y la Comisión ya ha iniciado varias acciones de cumplimiento contra empresas por uso indebido de datos de salud, señaló un mayor escrutinio de las tecnologías biométricas y advirtió a las empresas de los riesgos legales. riesgos de usar herramientas de IA. Dado este entorno de mayor escrutinio regulatorio, las empresas deben asegurarse de desarrollar, implementar y adherirse a políticas sólidas y transparentes de recopilación y uso de datos.

En esta publicación, resumimos las quejas de la FTC y las órdenes estipuladas propuestas en las acciones de cumplimiento de Amazon y destacamos los puntos clave para las empresas que buscan comprender cómo estas acciones de cumplimiento podrían afectar sus programas de seguridad y privacidad de datos en el futuro.

ACCIÓN DE APLICACIÓN DE ALEXA

La queja

Alexa es el servicio de asistente de voz de Amazon que permite a los usuarios acceder a una variedad de productos y servicios a través de dispositivos de hardware (como los parlantes Amazon Echo) y una aplicación móvil. Las ofertas de Alexa incluyen, entre otras cosas, productos y servicios dirigidos específicamente a los niños, como el altavoz inteligente "Echo Dot Kids Edition" y el servicio "FreeTime Unlimited on Alexa", que brinda a los niños acceso a audiolibros, juegos y otras ofertas. En particular, como parte de su funcionamiento, el servicio de Alexa recopila grabaciones de voz e información de geolocalización de los usuarios.

La narrativa central de la queja de la FTC contra Alexa es que Amazon supuestamente participó en prácticas desleales y engañosas al representar a los consumidores que Alexa era una oferta consciente de la privacidad que permitía a los usuarios ejercer control sobre cómo se recopilaban los datos confidenciales (incluidos los datos de voz y geolocalización). , utilizado y retenido por Amazon. Estas representaciones, alega la Comisión, chocaron con la realidad de las prácticas de recopilación y uso de datos de Alexa, y constituyeron violaciones de la Sección 5 de la Ley FTC y la Regla COPPA.

Las alegaciones específicas de la denuncia incluyen lo siguiente.

1. Representaciones engañosas con respecto a la eliminación de datos de geolocalización.La FTC alega que Amazon hizo declaraciones engañosas sobre la capacidad de los usuarios de la aplicación Alexa para eliminar la información de geolocalización recopilada por la aplicación, afirmando que Amazon no aplicó las solicitudes de eliminación a los datos alojados en "ubicaciones secundarias de almacenamiento de datos" y continuó usando esos datos para fines de mejora del producto.

2. Representaciones engañosas con respecto al acceso, eliminación y retención de las grabaciones de voz del usuario. La denuncia alega que Amazon hizo declaraciones engañosas con respecto a su manejo de las grabaciones de voz. Específicamente, la FTC alega que Amazon retuvo las transcripciones escritas de las grabaciones de voz incluso después de eliminar los archivos de audio que las acompañaban, otorgó un acceso demasiado amplio a los empleados a las grabaciones de voz y retuvo indefinidamente las grabaciones de voz de los niños de forma predeterminada.

3. Prácticas de privacidad injustas. La denuncia destaca una serie de supuestas prácticas de privacidad que la FTC determinó que eran injustas, entre ellas (1) retener las grabaciones de voz de los niños durante más tiempo del razonablemente necesario; (2) aislar los datos de geolocalización de las solicitudes de eliminación de usuarios y continuar accediendo a dichos datos con fines de mejora del producto, incluso después de que se haya enviado una solicitud de eliminación; (3) no cumplir plenamente con las solicitudes de eliminación de datos de geolocalización y grabaciones de voz; y (4) no notificar a los consumidores que Amazon no había satisfecho las solicitudes de los consumidores de eliminar la información de geolocalización o las grabaciones de voz propias o de sus hijos.

4. Violaciones de la regla COPPA. La denuncia alega que las prácticas de seguridad y privacidad de datos relacionadas con Alexa de Amazon violaron la Regla COPPA, 16 CFR Parte 312, que impone requisitos a los operadores de servicios en línea dirigidos a niños menores de 13 años. 16 CFR § 312.3. Entre los requisitos violados, alega la denuncia, estaban los requisitos para proporcionar un aviso que informe a los padres de su derecho a eliminar la información personal de sus hijos y la oportunidad de ejercer ese derecho, consulte 16 CFR §§ 312.4, 312.6, así como prohibiciones de retener información personal de los niños durante más tiempo del necesario para cumplir con el propósito para el cual se recopiló esa información, consulte 16 CFR § 312.10.

La orden estipulada propuesta

La orden estipulada propuesta impone los siguientes requisitos clave a Amazon.

1. Eliminación de Información. Amazon está obligado a implementar un proceso para identificar los perfiles de niños inactivos de Alexa y eliminar la información personal de los niños asociada con dichos perfiles. Además, Amazon debe garantizar la eliminación de cualquier geolocalización, voz o información personal de los niños que un usuario (o el padre del usuario infantil) haya solicitado previamente la eliminación, y tiene prohibido utilizar posteriormente cualquiera de esos datos para crear o mejorar modelos y otras herramientas relacionadas con los datos.

2. Programa de privacidad. Amazon debe implementar un programa de privacidad centrado en su recopilación y uso de información de geolocalización. Este programa debe incluir características tales como evaluaciones de riesgo anuales, implementación de salvaguardas (incluidas revisiones de privacidad, capacitación de empleados y controles de acceso) y selección de proveedores de servicios.

3. No hay tergiversaciones sobre la privacidad de la geolocalización y la información de voz.Amazon tiene prohibido tergiversar las prácticas de retención, acceso y eliminación de datos de Alexa con respecto a la geolocalización y la información de voz, incluida la medida en que los usuarios pueden ejercer control sobre esas prácticas.

4. Avisos de retención y eliminación de datos.Amazon debe proporcionar a los consumidores divulgaciones de retención y eliminación de datos que expliquen por qué se recopila información de voz y/o geolocalización y los mecanismos a través de los cuales los usuarios pueden solicitar la eliminación de dicha información.

5. Sentencia monetaria de $25 millones.Amazon debe pagar 25 millones de dólares como sanción civil.

ACCIÓN DE APLICACIÓN DEL ANILLO

La queja

Ring es una empresa de cámaras de seguridad para el hogar que fue adquirida por Amazon en 2018. Ring vende "cámaras de seguridad, timbres y accesorios y servicios relacionados conectados a Internet y habilitados para video", incluidas cámaras que monitorean espacios privados dentro de los hogares de los consumidores. Como parte de sus ofertas, Ring almacena y analiza grabaciones de video capturadas por sus dispositivos.

En términos generales, la queja de la FTC contra Ring alega que la empresa otorgó a los empleados un acceso demasiado amplio a los datos de video de los clientes, no notificó a los clientes ni obtuvo el consentimiento del cliente para que sus empleados vieran las grabaciones de video y no implementó prácticas razonables de seguridad de datos para proteger sus dispositivos del compromiso de ciberseguridad. Estas prácticas, alega la denuncia, equivalían a prácticas engañosas e injustas procesables en virtud de la Sección 5 de la Ley de la FTC.

Las alegaciones específicas de la denuncia incluyen lo siguiente.

1. Acceso excesivo de los empleados a las grabaciones de video de los clientes.La denuncia alega que Ring no impuso restricciones adecuadas sobre el acceso de los empleados a las grabaciones de video de los clientes, lo que resultó en que todos los empleados de Ring (además de cientos de contratistas) pudieran acceder y descargar cualquier video de cliente, independientemente de si tenían un propósito comercial legítimo. para tal actividad.

2. No notificar a los clientes y obtener el consentimiento para la revisión humana de las grabaciones de video. La denuncia alega además que incluso cuando los empleados y contratistas de Ring tenían un propósito comercial legítimo para acceder a las grabaciones de los clientes, Ring no notificó ni obtuvo el consentimiento de los clientes para dicha revisión humana. En particular, la queja tiene como objetivo los Términos de servicio y la Política de privacidad de Ring anteriores a enero de 2018. Antes de diciembre de 2017, alega la denuncia, Ring no reveló en estos documentos que sus empleados y contratistas podrían revisar todas las grabaciones de video, sino que incluyó una descripción general del derecho de la empresa a usar dichas grabaciones para mejorar y desarrollar productos. Del mismo modo, la denuncia señala que la Política de privacidad de Ring de diciembre de 2017 a enero de 2018 "describía el uso [de Ring] de grabaciones de dispositivos para mejorar y desarrollar productos", pero sostiene que esta descripción estaba "enterrada... en un lenguaje legal denso y extenso".

3. Prácticas de Ciberseguridad Inadecuadas. La denuncia alega que Ring no implementó "medidas de seguridad estándar" para prevenir ataques comunes de ciberseguridad. Específicamente, a pesar de las múltiples señales de alerta, incluidos los compromisos de seguridad cibernética, los informes de vulnerabilidad y los informes de los medios sobre ataques contra competidores, Ring supuestamente se negó a implementar salvaguardas básicas o implementó protecciones que eran "demasiado pequeñas y demasiado tarde".

La orden estipulada propuesta

La orden estipulada propuesta impone los siguientes requisitos clave a Ring.

1. Eliminación de grabaciones de video y productos derivados anteriores a marzo de 2018.Se requiere Ring para eliminar grabaciones de video cubiertas anteriores a marzo de 2018, "Face Embeddings" anteriores a marzo de 2018 y productos de trabajo (por ejemplo, modelos y algoritmos) desarrollados a partir de la revisión de grabaciones anteriores a marzo de 2018.

2. Programa de Privacidad y Seguridad de Datos. Se requiere que Ring implemente un programa de privacidad y seguridad de datos, que incluye características tales como evaluaciones periódicas de riesgos, desarrollo de una política para prohibir la revisión humana de las grabaciones de video de los clientes a menos que se cumplan ciertas condiciones, capacitación de empleados, controles de acceso a datos (como autenticación multifactor) , requisitos para contraseñas seguras, encriptación de grabaciones de video de clientes en tránsito y en reposo, y garantías de prueba y monitoreo. Ring también debe validar su cumplimiento con el programa antes mencionado mediante evaluaciones bienales por parte de un evaluador externo independiente.

3. Informes de incidentes.Ring debe proporcionar informes a la FTC de "Incidentes cubiertos", definidos para incluir cualquier incidente que tenga como resultado que Ring notifique a una entidad gubernamental o que involucre el compromiso de grabaciones de video de 10 o más cuentas de Ring.

4. Sin tergiversaciones sobre el acceso a los datos de los empleados y las protecciones de ciberseguridad.Ring tiene prohibido tergiversar sus prácticas con respecto al acceso de empleados y contratistas a las grabaciones de video de los clientes, así como la medida en que sus productos están protegidos contra "ataques en línea resultantes del uso indebido de credenciales de autenticación válidas por parte de actores externos".

5. Sentencia monetaria de $5.8 millones.Ring debe pagar a la FTC 5,8 millones de dólares, que la Comisión puede utilizar para compensar a los consumidores.

CONCLUSIONES CLAVE DE AMBAS ACCIONES DE APLICACIÓN

1. Interpretación Expansiva de las Prácticas Desleales. En ambas denuncias, la FTC adopta una concepción amplia de lo que constituye prácticas desleales en el sentido de la Ley de la FTC. Incluidas dentro del alcance de esta concepción amplia se encuentran prácticas que van desde el acceso excesivo de los empleados a los datos del cliente y controles de seguridad cibernética inadecuados (Ring) hasta la retención innecesaria de datos del cliente y el incumplimiento de las solicitudes de eliminación (Alexa). En conjunto, estas acciones de cumplimiento indican que la FTC está ampliando cada vez más su interpretación de las prácticas desleales.

2. Devolución de datos como remedio. Además de las otras sanciones que impuso en su acción de ejecución con respecto a Alexa, la FTC también exigió a Amazon que eliminara los datos que usó para capacitar a Alexa, que la FTC alegó que se procesaron en violación de la Sección 5 de la Ley de la FTC y COPPA. La devolución de datos es un remedio que la FTC ha usado antes y es probable que continúe usándolo en el futuro para acciones de aplicación que involucren herramientas de IA. Las empresas que operan en este espacio deben ser conscientes de este riesgo potencial en lo que respecta a sus programas de cumplimiento de privacidad.

3. Especificidad con respecto a los usos internos de la información personal. La queja de Ring destaca la necesidad de que las empresas especifiquen claramente en su documentación de privacidad cómo pretenden utilizar los datos de los clientes. En esa queja, la FTC enfatizó la supuesta falla de Ring en revelar específicamente a los clientes que sus grabaciones de video estarían sujetas a revisión humana. En este contexto, razonó la FTC, las descripciones generales de las grabaciones de video que se usaban para mejorar y desarrollar productos internos eran insuficientes. En el futuro, las empresas deben tener cuidado de no depender de la "mejora y el desarrollo de productos internos" como una divulgación general para los usos internos de los datos de los clientes y, en cambio, deben tratar de brindar más especificidad en cuanto a cómo se usará la información del cliente (incluido quién la usará). ).

4. Limitación del acceso de los empleados a la información personal. Las quejas de la FTC también destacan la necesidad de que las empresas restrinjan el acceso de los empleados a la información del cliente a aquellos que tengan una verdadera justificación comercial para acceder. La FTC criticó tanto a Ring como a Alexa por supuestamente no limitar adecuadamente el grupo de empleados y contratistas con acceso a información confidencial de los clientes, y es probable que esta sea un área de enfoque para que la Comisión avance.

5. Cumplimiento total de las solicitudes de eliminación. La queja de Alexa debería servir como un claro recordatorio para las empresas de la necesidad de cumplir plenamente con las solicitudes de eliminación de datos. Esto incluye el flujo hacia abajo de dichas solicitudes de eliminación para garantizar que los datos se eliminen, por ejemplo, en las ubicaciones secundarias de almacenamiento de datos en cuestión en la queja de Alexa. Y las empresas, por supuesto, deben asegurarse de no seguir utilizando, aunque solo sea para fines internos, los datos que un cliente ha solicitado que se eliminen.