Desde el comienzo de este año, la FTC ha anunciado cuatro casos innovadores que abordan problemas con la forma en que las empresas recopilan y, en algunos casos, el mal uso, los datos de ubicación de las personas. Si su empresa recopila, compra, vende o usa datos de ubicación, tome un minuto para leer sobre las acciones de aplicación más recientes de la FTC contra corredores de datos y agregadores: Mobilewalla, Gravy/Venntel, Inmarket y X-Mode/Outlagic, y considere estos estos Takeaways:
Los datos de ubicación son información personal confidencial. En las cuatro quejas, la FTC dice que los agregadores de datos recopilaron miles de millones de puntos de datos de ubicación vinculados a identificadores y marcas de tiempo persistentes únicos que podrían ofrecer información sobre los movimientos de las personas. Los identificadores persistentes únicos facilitan el juego de los movimientos de alguien con otra información de identificación personal (PII), como su nombre, dirección o dirección de correo electrónico, de materiales disponibles públicamente u otros corredores de datos. Los datos de ubicación son información personal confidencial. Dada la sensibilidad, si la recoge o la vende, debe protegerla cuidadosamente.
Ciertos datos de ubicación confidencial nunca deben usarse o venderse. La FTC afirma que cada una de las compañías involucradas en estas cuatro quejas vendió injustamente información de ubicación que revela las visitas de las personas a lugares particularmente sensibles, como instalaciones médicas y lugares de culto. En Mobilewalla y Gravy/Venntel, la FTC también alegó que las compañías dirigieron injustamente a las personas basadas en características sensibles. Cierta información de ubicación es tan sensible que requiere protecciones elevadas. Esto podría incluir información sobre visitas o permanecer en los siguientes ubicaciones: instalaciones médicas, organizaciones religiosas, instalaciones correccionales, oficinas de sindicatos, ubicaciones que brindan servicios a individuos LGBTQ+, ubicaciones de manifestaciones políticas, ubicaciones que brindan educación o cuidado infantil a menores, raciales o étnicos organizaciones, ubicaciones que brindan refugio o servicios sociales, e instalaciones militares, oficinas o edificios. En la mayoría de los casos, las empresas no deben usar ni vender estos datos en absoluto.
Obtenga permiso de las personas y monitoree las empresas con las que trabaja. Cuando se trata de datos de ubicación, asegúrese de tener el consentimiento de cada persona para cada uso aplicable. Ya sea que recopile el consentimiento directamente o confíe en terceros, debe asegurarse de que las personas proporcionen consentimiento informado antes de usar sus datos de ubicación. Consulte las cuatro quejas por los métodos para obtener o verificar el consentimiento que la FTC alega que fueron inadecuadas. Por ejemplo, no debe obtener el consentimiento de una persona para usar sus datos para un propósito, al tiempo que oculta o ignora convenientemente otros fines para los cuales pretendía usar los datos. Debe verificar el consentimiento informado de una persona para la recopilación específica de datos de ubicación para el propósito que utilizará sus datos, incluso cuando se obtuviera el consentimiento de la persona a través de un tercero. Las disposiciones contractuales vagas sin supervisión o monitoreo del cumplimiento de los proveedores no constituyen verificación. Y piense en cómo monitoreará las empresas a las que está vendiendo datos, no solo las empresas de las que compra datos. ¿Sus contratos incluyen restricciones estrictas sobre cómo los destinatarios de los datos pueden usarlo? ¿Cómo utilizará medios técnicos para detectar el mal uso, monitorear vigilantemente el cumplimiento y terminar las relaciones por falta de cumplimiento?
La transparencia es clave. Si recopila y vende datos de ubicación, genere confianza con los consumidores a través de la transparencia en sus prácticas comerciales. Por ejemplo, divulgue públicamente un programa de retención que explique los propósitos por los que está recopilando la información de las personas, las razones de su negocio para mantener los datos y un plazo establecido y razonable para eliminarla. No olvide proporcionar formas fáciles para que las personas retiren su consentimiento para la recopilación y el uso de sus datos de ubicación, para solicitar la eliminación de los datos de ubicación recopilados previamente y solicitar la identidad de cualquier persona a quien se haya vendido sus datos o compartido.
Evaluar sus riesgos y establecer y mantener un programa de privacidad sólido diseñado para proteger los datos de ubicación y otra información personal. Las órdenes contra Mobilwalla, Gravy/Venntel, InMarket y X-Mode/Outlagic buscan garantizar que las empresas cumplan con la ley. Además de exigirles que digan la verdad sobre cómo manejan la información de las personas, incluida la medida en que la información de ubicación está desidentificada, las órdenes requieren que las empresas diseñen, implementen, mantengan y documenten salvaguardas para proteger la información personal que manejan. Si recopila y vende los datos de las personas, consulte los pedidos para asegurarse de que su propio programa de privacidad verifique todas las casillas. Y, mientras lo hace, asegúrese de tener herramientas para honrar las elecciones de las personas para optar por no participar o eliminar los datos de ubicación. Aquí hay algunas preguntas a considerar a medida que evalúa sus riesgos:
- ¿Tiene su consentimiento para recopilar, usar y vender datos de ubicación?
- ¿Filtras visitas a ubicaciones sensibles?
- ¿Revela cuánto tiempo mantiene los datos de ubicación? ¿Mantiene los datos más tiempo de lo necesario?
- ¿Honras las preferencias de exclusión de la gente?
- ¿Tiene un programa de privacidad robusto?
Si la respuesta a alguna de estas preguntas es "no", ahora es el momento de corregir el barco.
