A Comissão Federal de Comércio (FTC) ordenou que a Avast pagasse cerca de 15,3 milhões de dólares em danos após concluir que a empresa coletou e vendeu dados de navegação dos usuários sem aviso ou consentimento adequados. A Avast é uma empresa global de cibersegurança conhecida por seu software antivírus e ferramentas de segurança para consumidores. A FTC afirmou que a empresa enganou os usuários ao promover seus produtos como protetores de privacidade enquanto coletava informações detalhadas sobre a atividade online.
O programa de reembolso marca a etapa final de um acordo anunciado anteriormente. Pagamentos estão sendo feitos para mais de 100.000 consumidores elegíveis que apresentaram reivindicações válidas. Os reembolsos são entregues por cheque, PayPal ou Zelle. O acordo também exige que a Avast pare de vender ou licenciar dados de navegação coletados por meio de seus produtos e que introduza um programa abrangente de conformidade com a privacidade.
Os reguladores disseram que a Avast utilizou seu antivírus e extensões de navegador para coletar históricos de navegação, consultas de busca, metadados e informações sobre dispositivos. Os dados foram transferidos para uma subsidiária que os vendeu para anunciantes e corretores de dados. A FTC afirmou que os usuários não foram devidamente informados de que suas atividades seriam rastreadas e que as informações coletadas não foram suficientemente anonimizadas para impedir a identificação.
A FTC argumentou que as alegações de marketing sobre bloqueio de rastreamento e proteção da privacidade eram enganosas porque a empresa praticava o tipo de coleta de dados que os usuários buscavam evitar. Os reguladores afirmaram que essa conduta violava os padrões de proteção ao consumidor porque os usuários não podiam dar consentimento informado. Eles acrescentaram que a escala da distribuição dos dados gerava riscos, incluindo a possibilidade de terceiros poderem associar registros de navegação a indivíduos específicos.
O acordo exige que a Avast exclua os dados de navegação previamente coletados e garanta que futuros produtos cumpram as obrigações de privacidade. A empresa deve documentar como coleta, compartilha e armazena informações dos usuários, e deve enviar relatórios regulares de conformidade. Os reguladores descreveram o caso como um exemplo de crescente escrutínio das práticas de dados no setor de cibersegurança do consumidor.
Consumidores que acreditam ter sido afetados são aconselhados a revisar avisos oficiais da FTC ou do administrador do reembolso. Autoridades disseram que não é exigida taxa para receber o pagamento. Eles alertaram os usuários para terem cautela com mensagens fraudulentas que alegam oferecer compensação, mas solicitam informações pessoais ou financeiras.
Especialistas em privacidade afirmaram que o caso ressalta a importância de revisar os termos de coleta de dados antes de instalar o software de segurança. Eles disseram que ferramentas gratuitas ou de baixo custo podem depender do compartilhamento de dados para gerar receita, e que declarações de privacidade pouco claras devem incentivar cautela. Eles acrescentaram que as empresas que oferecem produtos de segurança devem atender a padrões mais altos porque os usuários confiam nelas para proteger informações sensíveis.