La Comisión Federal de Comercio (FTC) ordenó a Avast pagar unos 15,3 millones de dólares en daños y perjuicios tras concluir que la empresa recopilaba y vendía los datos de navegación de los usuarios sin el aviso o consentimiento adecuados. Avast es una empresa global de ciberseguridad conocida por su software antivirus y herramientas de seguridad para consumidores. La FTC afirmó que la empresa engañó a los usuarios al promocionar sus productos como protectores de la privacidad mientras recopilaba información detallada sobre la actividad en línea.
El programa de reembolsos marca la fase final de un acuerdo anunciado anteriormente. Se están emitiendo pagos a más de 100.000 consumidores elegibles que presentaron reclamaciones válidas. Los reembolsos se entregan por cheque, PayPal o Zelle. El acuerdo también exige que Avast deje de vender o licenciar los datos de navegación recogidos a través de sus productos y que introduzca un programa integral de cumplimiento de privacidad.
Los reguladores dijeron que Avast utilizó su software antivirus y extensiones de navegador para recopilar historiales de navegación, consultas de búsqueda, metadatos e información sobre dispositivos. Los datos se transfirieron a una filial que los vendió a anunciantes y corredores de datos. La FTC afirmó que los usuarios no fueron debidamente informados de que su actividad sería rastreada y que la información recopilada no fue suficientemente anonimizada para evitar su identificación.
La FTC argumentó que las afirmaciones de marketing sobre bloquear el seguimiento y proteger la privacidad eran engañosas porque la empresa realizaba el tipo de recopilación de datos que los usuarios buscaban evitar. Los reguladores afirmaron que esta conducta violaba los estándares de protección al consumidor porque los usuarios no podían dar su consentimiento informado. Añadieron que la escala de la distribución de datos generaba riesgos, incluyendo la posibilidad de que terceros pudieran relacionar registros de navegación con individuos específicos.
El acuerdo exige que Avast elimine los datos de navegación previamente recopilados y que se asegure de que los productos futuros cumplan con las obligaciones de privacidad. La empresa debe documentar cómo recopila, comparte y almacena la información de los usuarios, y debe presentar informes de cumplimiento regulares. Los reguladores describieron el caso como un ejemplo de un escrutinio creciente de las prácticas de datos en el sector de la ciberseguridad del consumidor.
Se recomienda a los consumidores que crean que se han visto afectados revisar los avisos oficiales de la FTC o del administrador de reembolsos. Las autoridades dijeron que no se requiere ninguna tasa para recibir un pago. Advirtieron a los usuarios que tengan cuidado con mensajes fraudulentos que afirman ofrecer compensación pero solicitan información personal o financiera.
Los especialistas en privacidad afirmaron que el caso subraya la importancia de revisar los términos de recogida de datos antes de instalar el software de seguridad. Afirmaron que las herramientas gratuitas o de bajo coste pueden depender del intercambio de datos para generar ingresos, y que las declaraciones de privacidad poco claras deberían acoger precaución. Añadieron que se espera que las empresas que ofrecen productos de seguridad cumplan con estándares más altos porque los usuarios confían en ellas para proteger información sensible.