De Amerikaanse toezichthouder FTC heeft twee datahandelaren en hun dochterondernemingen de verkoop van gevoelige locatiegegevens verboden. Eén van de bedrijven mag daarnaast geen gegevens van online advertentieveilingen verzamelen, anders dan om aan die veilingen mee te doen. Het is de eerste keer dat de FTC een dergelijke praktijk als een 'unfair act' bestempelt.

Het gaat onder andere om het bedrijf Gravy Analytics. Dat verzamelt volgens de FTC zonder controleerbare toestemming de locatiegegevens van particulieren en verkoopt die aan andere bedrijven en overheden. Het bleef daarnaast de locatiegegevens gebruiken, ook toen het wist dat gebruikers geen geïnformeerde toestemming hadden gegeven. Het bedrijf zou ook gevoelige eigenschappen, zoals medische of gezondheidsbeslissingen, politieke activiteiten en religieuze opvattingen, verkopen, gebaseerd op de locatiegegevens.

De FTC heeft nu een voorstel gedaan dat Gravy Analytics en dochteronderneming Venntel verbiedt om gevoelige locatiegegevens te verkopen, licenseren, delen, openbaren of gebruiken, met uitzondering van nationale veiligheid en opsporing. Daarnaast moet het bedrijf een programma implementeren dat voorkomt dat informatie over gevoelige locaties, zoals klinieken, religieuze organisaties, vakbondskantoren, militaire locaties, gevangenissen en andere plekken, worden verzameld. Verder moet het bedrijf alle eerder verzamelde locatiedata vernietigen en controleren dat als het data van andere partijen koopt de gebruikers in deze datasets ook daadwerkelijk toestemming hebben gegeven.

Advertentieveilingen

Het tweede bedrijf waar de FTC tegen optreedt is Mobilewalla, dat volgens de toezichthouder ook op grote schaal gegevens verzamelde. Het bedrijf deed voor klanten mee aan real-time advertentieveilingen. Elke keer dat iemand een website bezoekt of app gebruikt en een gerichte advertentie te zien krijgt, worden gegevens over wat hij of zij leest of bekijkt naar bedrijven gestuurd. Dit worden ook "bid requests" genoemd.

Advertentiebedrijven versturen deze gegevens naar tal van bedrijven om zo adverteerders te laten bieden om advertenties aan bezoekers te tonen. Bedrijven kunnen zo gericht adverteren. De bid requests die dit mogelijk maken bevatten vaak allerlei persoonlijke informatie van internetgebruikers, zoals hetgeen dat de bezoeker leest of bekijkt, locatiegegevens, informatie over het gebruikte apparaat, uniek tracking-ID en ip-adres.

Wanneer MobileWalla aan een advertentieveiling meedeed verzamelde het bedrijf de informatie in het bid request, ook als het de veiling niet won, aldus de FTC. De datahandelaar zou zo van januari 2018 tot juni 2020 vijfhonderd miljoen unieke advertentie-identifiers gekoppeld met precieze locatiegegevens hebben verkregen. De ruwe locatiedata die het bedrijf verzamelde was niet geanonimiseerd en er was geen beleid om gevoelige locaties uit de dataset te verwijderen. Daardoor was het mogelijk om de telefoons van gebruikers te identificeren en de gevoelige locaties die ze bezochten. Deze data werd vervolgens aan derde partijen doorverkocht.

Daarnaast werden de locatiegegevens gebruikt voor gerichte advertenties. Ook werd de data gebruikt voor het in kaart brengen van demonstranten. De FTC wil dat MobileWalla geen data van veilingen meer verzamelt of bewaart, historische locatiegegevens verwijdert, gebruikers inlicht over een manier om toestemming in te trekken en data te verwijderen, het implementeren van een privacyprogramma en een programma dat het gebruik en verkoop van gevoelige locatiegegevens voorkomt.