Como provará um certo personagem esquivo de videogame infantil, a geolocalização precisa pode ser uma informação altamente sensível. De acordo com um acordo que a FTC acaba de anunciar com a OpenX Technologies, Inc. – uma plataforma de licitação em tempo real que permite publicidade direcionada em sites e aplicativos – a OpenX enganou as pessoas sobre seu direito de cancelar a coleta de dados de localização precisa. Além do mais, a OpenX coletou informações pessoais de crianças menores de 13 anos, violando Regras de proteção da privacidade on-line para crianças. Para resolver o processo, a OpenX pagará uma multa civil de US$ 2 milhões e fará mudanças significativas na forma como faz negócios. O que sua empresa pode aprender com o último acordo?
A OpenX, com sede na Califórnia, opera uma troca de anúncios programática – uma plataforma de lances em tempo real que realiza leilões de espaço publicitário. A integração do kit de desenvolvimento de software (SDK) do OpenX é uma das maneiras pelas quais as empresas podem facilitar a veiculação de anúncios em seus aplicativos. Esse código permite que o OpenX colete dados dos dispositivos dos clientes, permitindo que o OpenX veicule anúncios nesses aplicativos.
A publicidade programática permite que os anunciantes escolham entre diferentes critérios para entregar anúncios direcionados ao seu público preferido. OpenX gerencia licitações competitivas e facilita a exibição dos anúncios dos licitantes vencedores. Pode parecer um nicho de mercado, mas não é. OpenX se descreve como a maior troca de anúncios independente, com mais de 1.200 editores premium, pelo menos 50.000 aplicativos e milhares de parceiros participantes – anunciantes, agências de publicidade e redes de publicidade.
Durante anos, a OpenX informou aos clientes em sua política de privacidade:
Para desativar os dados de localização: Você pode cancelar nossa coleta, uso e transferência de dados de localização específicos usando os controles de serviços de localização nas configurações do seu dispositivo móvel.
Apesar dessas alegações, a FTC afirma que o OpenX acessou dados específicos de geolocalização de usuários do Android, mesmo depois que esses clientes optaram por não ter seus dados coletados. A reclamação alega que o OpenX usou um caminho que ignorou o modelo baseado em permissão incorporado nos aplicativos de consumo, tornando suas representações falsas ou enganosas de acordo com a Seção 5 da Lei FTC.
Mas isso não é tudo. A reclamação alega que o OpenX violou as regras da COPPA. Em sua política de privacidade, a OpenX declarou que “não se envolve em atividades que exijam notificação ou consentimento dos pais de acordo com a Lei de Proteção à Privacidade Online das Crianças (COPPA).” A OpenX, no entanto, analisa os aplicativos antes de permitir que eles participem do OpenX Ad Exchange para identificar conteúdo restrito (por exemplo, jogos de azar ou pornografia) e conteúdo (por exemplo, “finanças” ou “esportes”). Ele também afirma sinalizar conteúdo direcionado a crianças para que não se envolva em atividades que exijam a conformidade com a COPPA.
Mas, apesar do que o OpenX diz, centenas de aplicativos direcionados a crianças que o OpenX analisou não foram banidos do OpenX Ad Exchange nem sinalizados como direcionados a crianças. Muitos desses aplicativos incluem termos que identificam o público-alvo como “crianças”, “para crianças”, “jogos infantis” ou “aprendizagem pré-escolar” e incluem classificações etárias indicando que são direcionados a crianças menores de 13 anos. O resultado: as crianças que usaram esses aplicativos direcionados a crianças foram alvo de anúncios que usavam suas informações pessoais, incluindo sua localização geográfica precisa, em violação às regras da COPPA e aos próprios compromissos de privacidade da OpenX.
Além da multa civil de US$ 2 milhões, o acordo exige que a OpenX exclua todos os dados coletados para veicular anúncios direcionados e estabeleça um programa de privacidade abrangente para garantir a conformidade com a COPPA. Isso inclui uma revisão periódica para identificar aplicativos adicionais direcionados a crianças e bani-los do Ad Exchange da empresa.
O que outras empresas podem tirar do acordo OpenX?
O caso envia uma mensagem alta e clara de “ouçam” à indústria de tecnologia de publicidade. Todas as empresas – especialmente as membros da onipresente (mas muitas vezes invisível) indústria de tecnologia de publicidade – deveriam prestar atenção aos dados que estão coletando. A recolha de grandes quantidades de dados é “apenas” uma abordagem sensata que as empresas sensatas abandonaram ao longo do último século.
Você tem permissão para coletar o que você faz? Preste atenção aos dados que você coleta e certifique-se de ter as permissões apropriadas para controlar esses dados. Você deve respeitar as preferências declaradas do consumidor.
“Configure e esqueça” pode funcionar para panelas elétricas, mas não para a coleta de dados do consumidor. Coletar certos dados de uma só vez não significa que tudo estará bem para sempre. As empresas inteligentes incorporam verificações periódicas de conformidade em seus procedimentos. Dê uma nova olhada no que você está coletando, se ainda é permitido coletar esses dados e se seus motivos comerciais ainda se mantêm à luz das mudanças na tecnologia e na natureza da sua empresa.
As empresas que não atendem o consumidor ainda podem ter obrigações sob a COPPA. A maioria das empresas sabe que, de acordo com as regras da COPPA, os sites e aplicativos “dirigidos a crianças” são cobertos Mas as regras também estabelecem que um site ou serviço online – incluindo uma aplicação – “será considerado dirigido a crianças quando tiver conhecimento real de que está a recolher directamente informações pessoais de utilizadores de outro site ou serviço online dirigido a crianças”. Essa definição se aplica a você?
Procurando recursos para agilizar sua conformidade com a COPPA? Visite a página de privacidade infantil da FTC.