La Oficina de Protección de Datos Personales de la República Checa (ÚOOÚ en sus siglas) ha impuesto una sanción económica por valor de 351 millones de coronas checas (unos 13,92 millones de euros al cambio) por violar el Reglamento General de Protección de Datos (RGPD) tras una investigación realizada sobre su división Jumpshot.
El organismo entiende que como prestador de servicios de software antivirus Avast procesa los datos personales de los usuarios que utilizan su herramienta y en el año 2019 la compañía había transmitido un historial de navegación de Internet vinculado a un identificador único de aproximadamente 100 millones de usuarios a esta filial.
Según la ÚOOÚ Jumpshot proporcionaba datos de los usuarios a especialistas de marketing que buscan obtener información sobre el comportamiento de los consumidores online y realizar un seguimiento del recorrido de los usuarios.
Además, esta oficina pudo constatar que Avast había informado erróneamente a los usuarios sobre dicha transferencia de datos con fines de análisis de tendencias y que los datos transmitidos desde diferentes instalaciones del software antivirus no estaban anonimizados y los interesados podían ser reidentificados.
Asimismo, ÚOOÚ ha puesto en tela de juicio las afirmaciones de la empresa checa que aseguraba que el propósito del procesamiento de datos era simplemente crear análisis estadísticos.
Teniendo en cuenta que el caso es de procesamiento transfronterizo de datos personales en la Unión Europea la agencia checha ha abordado la violación junto con otras autoridades supervisoras como parte de la Ventanilla Única del Consejo Europeo de Protección de Datos (EDPPB).
El presidente del organismo, Jiří Kaucký, ha comentado que "Avast es uno de los principales expertos en ciberseguridad y ofrece al público herramientas para proteger los datos y la privacidad. Sus clientes no podían esperar que esta empresa en particular transmitiera sus datos personales o datos que permitieran determinar no sólo su identidad, sino también, por ejemplo, sus intereses, preferencias, residencia, patrimonio, profesión y otros datos relacionados con su privacidad ".
El ÚOOÚ informó de la la sanción económica el pasado 15 de abril mediante un comunicado que puede leerse aquí en su totalidad.
Otras sanciones
Desafortunadamente para la empresa de ciberseguridad, no es la primera vez que es multada por violar la privacidad de sus usuarios.
En febrero la Comisión Federal de Comercio de EE.UU. (FTC) la sancionó con 16,5 millones de dólares por prácticas indebidas con la recopilación y venta de datos. La comisión dictaminó que de 2014 a 2020 había estado recolectando una gran cantidad de información de los navegadores web, algo prohibido si no se especificaba en las condiciones de la contratación aun siendo un software gratuito.
Avast había recolectado datos muy sensibles, como problemas de salud, creencias religiosas, opiniones políticas, etc, almacenándolos de manera indefinida y vendiéndoselos a más de un centenar de compañías sin el conocimiento de los afectados.