Os termos de um acordo da FTC aplicam-se apenas a esse negócio, é claro. Mas as empresas informadas sabem que há muito que pode ser aprendido com o alegado passo em falso de outra pessoa. A FTC ação policial contra Upromise não é exceção.
De acordo com a denúncia, o programa de poupança universitária introduziu uma barra de ferramentas que coletava informações pessoais dos usuários sem divulgar adequadamente a extensão do que estava acontecendo. De acordo com os termos do pedido proposto, a Upromise notificará os usuários sobre como desinstalar as barras de ferramentas que já estão em seus computadores, obterá a aprovação dos usuários antes de instalar ou reativar qualquer barra de ferramentas e divulgará claramente suas práticas de coleta de dados no futuro. O acordo também proíbe declarações falsas sobre a privacidade e segurança das informações pessoais das pessoas e exige que a Upromise implemente um programa abrangente de segurança da informação, incluindo avaliações de segurança independentes a cada dois anos durante os próximos 20 anos.
O que este caso e outras ações recentes de aplicação da lei devem significar para a sua empresa?
Saiba antes de começar. Antes de virar a chave, você precisa saber quantos cavalos tem sob o capô. Da mesma forma, antes de lançar uma nova tecnologia – como uma barra de ferramentas ou um aplicativo – certifique-se de deixar claro quais informações ela coleta. Melhor ainda, inclua a tomada de decisões, verificação e monitoramento de segurança de dados no processo de design. Geralmente é mais fácil acertar desde o início do que fazer engenharia reversa de uma correção dias antes da entrega ou em resposta a um “ops” de segurança.
Crie-o com cuidado. Não muito tempo atrás, os profissionais de marketing presumiam que quanto mais informações reunissem, melhor – e se algo fosse tecnologicamente viável, a todo vapor. Mas o risco de uma violação de segurança dispendiosa ou de uma falha preocupante nos dados ensinou aos executivos experientes que essa mentalidade é tipo muuuito século 20 . Hoje em dia, as suas políticas devem ser o produto de uma tomada de decisão deliberada e abrangente que considere cuidadosamente a segurança dos dados, a recolha de informações, a divulgação aos consumidores e outros factores-chave.
Conte. De um modo geral, a lei dá às empresas flexibilidade na elaboração dos seus programas de recolha de dados. Mas a melhor prática é dizer aos usuários o que você coleta, comunicá-lo em palavras que as pessoas comuns entenderão e honrar a política declarada.
Mantenha o controle sobre seus provedores de serviços. De acordo com a reclamação da FTC contra a Upromise, a empresa contratou um prestador de serviços para desenvolver a barra de ferramentas e o recurso de ofertas personalizadas que levantaram preocupações sobre a coleta de dados. Mas, ao abrigo da Lei FTC, as empresas podem ser responsáveis pelo que outros fazem em seu nome. Como parte do programa completo de segurança da informação, o pedido proposto exige que a Upromise tome medidas razoáveis para “selecionar e reter prestadores de serviços capazes de proteger adequadamente as informações pessoais” e incluir termos contratuais exigindo que os prestadores de serviços “implementem e mantenham salvaguardas.” A disposição do pedido é juridicamente vinculativa apenas para a Upromise, mas é um bom conselho considerar na próxima vez que você trabalhar com uma empresa externa.