Amazon pagará a la Comisión Federal de Comercio (FTC, por sus siglas en inglés) más de $30 millones para resolver las acusaciones de fallas en la privacidad en sus divisiones de Alexa y Ring, según documentos presentados el miércoles.
La agencia presentó una demanda alegando que la unidad de timbre Ring de Amazon violó una parte de la Ley de la FTC que prohíbe las prácticas comerciales desleales o engañosas, que Amazon resolvió al aceptar pagar $5.8 millones.
Como parte del acuerdo propuesto, Ring debe eliminar todos los videos y datos de clientes recopilados del rostro de una persona, denominados "incrustaciones de rostros", que obtuvo antes de 2018. También debe eliminar cualquier producto de trabajo que haya derivado de esos videos.
Recibe las noticias locales y los pronósticos del tiempo directo a tu email. Inscríbete para recibir newsletters de Telemundo San Antonio aquí.
Una demanda separada alega que Amazon violó la Ley de la FTC y la Ley de protección de la privacidad en línea de los niños al retener ilegalmente la información de miles de niños a través de sus perfiles con el asistente de voz de Alexa. Amazon pagó $25 millones de dólares para resolver esa demanda.
El Departamento de Justicia presentó la queja de Alexa y propuso un acuerdo en nombre de la FTC. El gobierno alegó que Amazon mantuvo la información de voz y geolocalización asociada con los usuarios jóvenes durante años mientras evitaba que los padres usaran sus derechos para eliminar los datos de sus hijos bajo la Regla COPPA.
Según el acuerdo propuesto, Amazon tendrá que eliminar las cuentas de niños inactivas, así como algunas grabaciones de voz e información de geolocalización. También tendría prohibido usar esa información para entrenar sus algoritmos.
Amazon se ha enfrentado al escrutinio de los datos recopilados por sus altavoces inteligentes Echo orientados a los niños, que usan Alexa para responder a los comandos.
La FTC dijo en un comunicado de prensa que los patrones de habla de los niños podrían haber sido especialmente valiosos para Amazon, ya que difieren de los de los adultos. Eso significa que las grabaciones de las voces de los niños podrían haber proporcionado un importante conjunto de datos de entrenamiento para que el algoritmo de Alexa responda mejor a las voces de los niños. El gobierno alegó que Amazon no logró crear un sistema efectivo para cumplir con las solicitudes de eliminación de datos.
Además de la sanción civil de 25 millones de dólares, si el tribunal lo aprueba, se prohibirá a Amazon utilizar la información de voz de los niños y los datos de geolocalización sujetos a solicitudes de eliminación para crear o mejorar cualquier producto de datos. Amazon también deberá eliminar las cuentas infantiles inactivas en Alexa, notificar a los usuarios sobre la acción del gobierno contra la empresa y sus prácticas de retención y eliminación. Amazon también tendrá que implementar un programa de privacidad para controlar el uso de la información de geolocalización.
Ambos acuerdos deben ser aprobados por un tribunal para que surtan efecto. La capacidad de la FTC para buscar compensación monetaria para los consumidores está limitada por un fallo de la Corte Suprema de 2021 que redujo el alcance de los tipos de compensación financiera que puede imponer.
Amazon publicó publicaciones de blog en respuesta a los acuerdos en su sitio y en el sitio web de Ring. La compañía dijo que construyó Alexa con fuertes protecciones de privacidad y controles de clientes; diseñó Amazon Kids, un servicio de contenido para niños, para cumplir con COPPA; y trabajó con la FTC antes de expandir Amazon Kids para incluir a Alexa. Agregó que Ring abordó los problemas de privacidad y seguridad antes de que la FTC comenzara su investigación.
“Nuestros dispositivos y servicios están diseñados para proteger la privacidad de los clientes y brindarles control sobre su experiencia”, dijo la portavoz de Amazon, Emma Daniels, en un comunicado. “Si bien no estamos de acuerdo con las afirmaciones de la FTC con respecto a Alexa y Ring, y negamos haber violado la ley, estos acuerdos dejan atrás estos asuntos”.
LO QUE SUPUESTAMENTE PASÓ CON RING
Si bien Ring ha afirmado que sus productos ayudan a mantener a los clientes más seguros con sus cámaras de seguridad con timbre, la FTC alegó que, en cambio, Ring comprometió la información del cliente al dar acceso a contratistas externos a los videos de los clientes, incluso cuando no era necesario para realizar su trabajo.
Los empleados de Ring y aquellos que trabajaban para un contratista externo en Ucrania podían acceder y descargar los videos de cada cliente, sin restricciones técnicas o de procedimiento en la práctica antes de julio de 2017, alegó la FTC.
La agencia afirma que Ring no recibió capacitación en seguridad de datos o privacidad antes de 2018, incluso cuando el manual del empleado de la compañía prohibía el uso indebido de los datos de los clientes. También alega que Ring no implementó medidas de seguridad básicas para proteger la información de los usuarios de amenazas en línea como el "relleno de credenciales" y los ataques de "fuerza bruta", a pesar de las advertencias de los empleados, investigadores de seguridad externos e informes de los medios.
En un caso, un empleado de Ring supuestamente vio miles de videos de al menos 81 usuarias diferentes de cámaras etiquetadas para uso en espacios íntimos, como "Dormitorio principal", "Baño principal" y "Cámara espía". Entre junio y agosto de 2017, alegó la FTC, el empleado miró los videos durante al menos una hora al día en cientos de ocasiones.
Un supervisor le dijo a otro empleado que denunció el presunto acceso inapropiado que era "'normal' que un ingeniero viera tantas cuentas", según la denuncia. “Solo después de que el supervisor notó que el empleado masculino solo estaba viendo videos de ‘chicas bonitas’, el supervisor elevó el informe de mala conducta”, alega la denuncia, y el empleado finalmente fue despedido.
Ring limitó el acceso de los empleados a los videos de los clientes en septiembre de 2017, dice la denuncia, por lo que los clientes tenían que dar su consentimiento para que los agentes de atención al cliente accedieran a sus videos. Pero incluso entonces, alegó la FTC, Ring permitió que cientos de empleados y contratistas con sede en Ucrania continuaran accediendo a todos los datos de video.
“Es importante destacar que, debido a que Ring no implementó las medidas básicas para monitorear y detectar el acceso inapropiado antes de febrero de 2019, Ring no tiene idea de cuántos casos de acceso inapropiado a los datos de video confidenciales de los clientes realmente ocurrieron”, alega la denuncia.
Amazon adquirió Ring por $1,000 millones en 2018 y la compañía ahora opera como una subsidiaria de Amazon. El acuerdo ha ayudado a Amazon a aumentar su presencia en las categorías de hogar inteligente y seguridad para el hogar. Pero Ring también ha recibido críticas de los defensores de la privacidad y las libertades civiles por una controvertida asociación con miles de departamentos de policía en todo el país.
Los protocolos de seguridad de Ring han sido criticados anteriormente. En 2020, Ring dijo que despidió a cuatro empleados por espiar los videos de los clientes después de que los informes de The Intercept y The Information descubrieran que los empleados de Ring en Ucrania tenían acceso sin restricciones a los videos de las cámaras de Ring en todo el mundo.
La empresa reforzó sus medidas de seguridad después de una serie de incidentes en los que los piratas informáticos obtuvieron acceso a varias cámaras de los usuarios. En un caso, los piratas informáticos pudieron observar y comunicarse con una niña de 8 años. Ring culpó del problema a los usuarios que reutilizaron sus contraseñas.
Este artículo fue publicado originalmente en inglés por Lauren Feiner y Annie Palmer para nuestra cadena hermana CNBC.com. Para más de CNBC entra aquí.