Pryvii
Todos os artigos
Case Studies
25 de fevereiro de 2026

FTC Warning Letters to 13 Data Brokers: PADFA Compliance Now

On February 9, 2026, the FTC sent warning letters to 13 data brokers over PADFA violations, prohibiting sales of sensitive data like geolocation and health info to foreign adversaries such as China and Russia. Website owners learn how to audit third-party vendors and avoid $53,088 per-violation fines.

Compartilhar:

Cartas de Advertência da FTC a 13 Corretores de Dados: Conformidade com a PADFA Agora

Imagine acordar e descobrir que a ferramenta de análise do seu site, a rede de anúncios ou a plataforma de dados de clientes está sob escrutínio da FTC — não por causa de uma violação de dados, mas porque silenciosamente canalizou dados sensíveis dos usuários para um adversário estrangeiro como a China ou a Rússia. Em 9 de fevereiro de 2026, a Comissão Federal de Comércio (FTC) enviou cartas de advertência a 13 corretores de dados, destacando violações da Lei de Proteção de Dados dos Americanos contra Adversários Estrangeiros de 2024 (PADFAA).1 2 3 Essa medida sinaliza uma nova era de fiscalização, onde mesmo fluxos de dados indiretos por meio de fornecedores terceirizados podem expor seu negócio a multas de até $53.088 por violação.4 2 3 Para os proprietários de sites que dependem desses corretores para marketing, personalização ou insights, a mensagem é clara: audite seus fornecedores agora para evitar se tornar o próximo alvo.

O que é a PADFAA e Por que Ela é Importante?

A PADFAA, promulgada em 2024, visa uma lacuna crítica de segurança nacional: a venda descontrolada de dados pessoais sensíveis de americanos para adversários estrangeiros.1 2 Ela proíbe os corretores de dados de vender, licenciar, transferir, divulgar, fornecer acesso ou de outra forma disponibilizar dados pessoais sensíveis identificáveis de indivíduos dos EUA para países como a China, a Rússia, a Coreia do Norte ou o Irã — ou qualquer entidade que eles controlem.1 4 5 3

Um corretor de dados sob a PADFAA é amplamente definido como qualquer entidade que, por uma contraprestação valiosa, lida com dados sobre indivíduos dos EUA que não foram coletados diretamente deles. Isso inclui fornecedores que oferecem rastreamento de geolocalização, inferências de saúde a partir de aplicativos de condicionamento físico ou insights sobre status militar — exatamente o que a FTC sinalizou nessas cartas.1 2 6 A agência identificou casos em que os destinatários ofereceram "soluções e insights envolvendo o status de um indivíduo como membro das Forças Armadas", considerando esses dados sensíveis sujeitos à lei.2 6 3

As violações são consideradas práticas desleais ou enganosas sob a Seção 5 da Lei da FTC (15 U.S.C. § 45), abrindo caminho para injunções, ações de fiscalização e aquelas pesadas penalidades civis.4 3 O escopo da PADFAA se sobrepõe a leis de privacidade como a CCPA (Cal. Civ. Code § 1798.100 et seq.), que exige que as empresas conheçam seus fluxos de dados, e o Artigo 28 do GDPR sobre obrigações do processador — tornando a conformidade uma necessidade multifacetada.1 4

Desmembrando as Cartas de Advertência

As cartas da FTC, assinadas por Christopher Mufarrige, Diretor do Bureau de Proteção ao Consumidor, pediram aos destinatários que "realizassem uma revisão abrangente de suas práticas e imediatamente trouxessem esses atos e práticas para a conformidade."1 2 3 Elas não foram acusações de ilegalidade, mas lembretes claros: a FTC está observando, com funcionários da divisão de fiscalização de privacidade prontos para acompanhar.1

Elementos-chave da carta-modelo incluem:

  • Tipos de dados proibidos: Saúde, finanças, genética, biometria, geolocalização, informações de comportamento sexual, credenciais de login de conta/dispositivo e IDs emitidos pelo governo, como números de Seguro Social, passaportes ou carteiras de motorista.4 2 6 5
  • Conexão de fiscalização: A PADFAA está diretamente ligada à Seção 5(m)(1)(A) da Lei da FTC, permitindo penalidades sem provar dano ao consumidor.3
  • Chamada à ação: Descontinue práticas não conformes imediatamente e garanta adesão contínua.3

Isso não é isolado; é parte do impulso mais amplo da FTC sobre corretores de dados, ecoando ações passadas sob a Lei Gramm-Leach-Bliley e COPPA.2 Com 13 cartas emitidas e mais potencialmente por vir, os corretores de dados — e seus clientes — estão em alerta.1 7

Quem é Considerado um Corretor de Dados? Pode Ser Seu Fornecedor

Você pode pensar que os corretores de dados são empresas obscuras que você nunca ouviu falar, mas a definição da PADFAA alcança muitos elementos básicos dos sites:

  • Fornecedores de análise que vendem dados de localização agregados, mas identificáveis.
  • Plataformas de tecnologia de anúncios que trocam perfis de usuário com geolocalização precisa.
  • Ferramentas de CRM que inferem status de saúde ou financeiro a partir do comportamento.

Se o seu fornecedor terceirizado atender aos critérios — lidando com dados de pessoas dos EUA não coletados diretamente deles, por compensação — eles são um corretor de dados.1 3 Sites que usam esses para personalização ou direcionamento ampliam o risco: seus banners de consentimento podem cobrir as bases legais do Artigo 6 do GDPR, mas não tocam no ângulo de segurança nacional da PADFAA.2

Sobreposição no mundo real: Um serviço de mapeamento rastreia a geolocalização do usuário para o seu site e, em seguida, licencia para uma cadeia de corretores que alcança entidades estrangeiras. Mesmo que não seja intencional, você é responsável se não auditou.4 5

Passos Práticos: Audite Seus Fornecedores Terceirizados

Os proprietários de sites não podem se dar ao luxo de ser complacentes. Aqui está uma estrutura de auditoria prática, passo a passo, para avaliar a exposição à PADFAA — adapte-a juntamente com suas avaliações de risco de fornecedores da CCPA ou requisitos de Princípio 4.1.3 da PIPEDA.

1. Inventariar Seus Fornecedores

Mapeie todos os scripts, APIs ou serviços de terceiros que tocam dados de usuário:

  • Use ferramentas como relatórios de CSP ou logs de rede para listar rastreadores (por exemplo, Google Analytics, Facebook Pixel).
  • Categorize por tipo de dados: Ele acessa geolocalização (latitude/longitude), inferências de saúde (de wearables) ou identificadores precisos?4 2
  • Dica: Exporte o log de auditoria do seu gerenciador de tags (por exemplo, GTM) para uma visão completa.

2. Classificar Fluxos de Dados Sensíveis

Para cada fornecedor, documente:

  • Dados coletados: Localização derivada de IP, IDs de dispositivo, histórico de navegação.
  • Categorias da PADFAA correspondentes: Geolocalização se <1.850 pés de precisão; IDs governamentais se raspados.2 5
  • Destinatários: Exija Acordos de Processamento de Dados (DPAs) detalhando compartilhamento downstream. Verifique contra listas de adversários estrangeiros (China, Rússia, etc.).1 4
Tipo de DadosExemplosRisco da PADFAA se Compartilhado com Adversários
GeolocalizaçãoCoordenadas GPS, endereços mapeados por IPAlto – Permite vigilância4 2
Saúde/FinanceiroInferido a partir de dados de aplicativos, histórico de comprasAlto – Perfis para direcionamento6
Biométrico/GenéticoVarreduras faciais, uploads de DNAExtremo – Dano irreversível5
Status MilitarInferido a partir de títulos de emprego, visitas a basesSinalizado pela FTC2 3
IdentificadoresNúmeros de Seguro Social, loginsAlto – Vetor de roubo de identidade4

3. Verificação e Contratação

  • Solicite certificações da PADFAA: Peça atestados de não venda a adversários, semelhante a notificações de sub-processadores do Artigo 28(3)(h) do GDPR.
  • Atualize contratos: Inclua direitos de auditoria, notificações de violação dentro de 72 horas (espelhando CCPA §1798.150) e cláusulas de rescisão por violações da PADFAA.
  • Sinalizadores vermelhos: Fornecedores em ou de propriedade de países adversários; políticas de privacidade vagas; histórico de escrutínio da FTC.

4. Implementar Controles

  • Correções técnicas:
    • Geobloqueie IPs adversários na borda (Cloudflare, Akamai).
    • Anonimize dados: Agregue geolocalização para o nível de bloco censitário; hash identificadores.1
  • Monitoramento:
    • Questionários trimestrais de fornecedores.
    • Varreduras automatizadas para novos rastreadores (por exemplo, via extensões de navegador).
  • Treinamento: Eduque equipes sobre a PADFAA juntamente com salvaguardas do Princípio 7 da PIPEDA.

5. Resposta a Incidentes e Notificação

Se você detectar uma violação:

  • Interrompa fluxos de dados imediatamente.
  • Documente remediação (a FTC adora evidências de boa fé).3
  • Auto-relate se houver risco material, potencialmente mitigando penalidades.

Esse processo normalmente leva de 2 a 4 semanas para sites de tamanho médio, mas escala com automação. Pequenas empresas: Comece com os 10 principais fornecedores que lidam com 80% dos dados.

Implicações Mais Amplas para Conformidade de Sites

A PADFAA não existe isoladamente. Ela se cruza com leis estaduais como CCPA/CPRA, exigindo divulgações de "venda" (opção de não participar para compartilhamento), e regimes internacionais:

  • GDPR: Processadores devem garantir que sub-processadores não exportem para "terceiros países" sem adequação (Rússia/China carecem disso – Artigo 45).4
  • PIPEDA: Organizações responsáveis por dados transferidos (Princípio 4.1.3), com salvaguardas contra acesso não autorizado.

Tendências de fiscalização mostram escalada: Pós-advertência, espere ações judiciais da FTC espelhando a multa de $520M da Epic Games por COPPA. Sites que ignoram riscos de fornecedores enfrentam responsabilidade conjunta, como visto em ações CCPA §1798.145(c)(6) contra plataformas.2

Para desenvolvedores: Incorpore verificações da PADFAA em revisões de SDK. Gerentes de produto: Priorize em RFPs. Proprietários: Orçem $5K-20K anualmente para auditorias — mais barato que multas de $53K.

Principais Conclusões

  • Aja agora: As cartas de 9 de fevereiro da FTC a 13 corretores provam que a fiscalização da PADFAA está ativa — revise fornecedores hoje.1 2
  • Dados sensíveis são amplos: Geolocalização, saúde, status militar — todos fora dos limites para adversários.4 6
  • Multas doem: Até $53.088 por violação sob a Seção 5 da Lei da FTC.3
  • Audite sistematicamente: Inventarie, classifique, contrate, controle, monitore — repita trimestralmente.
  • Conformidade holística: Empilhe a PADFAA sobre CCPA, GDPR, PIPEDA para proteção robusta.

Ao tratar a PADFAA como um sinal de risco de fornecedor, os sites fortalecem a privacidade e a segurança nacional. Fique vigilante; a FTC está.

(Contagem de palavras: 1.128)

Sources

Footnotes

  1. wiley.law

  2. ftc.gov

  3. ftc.gov

  4. jdsupra.com

  5. digitalpolicyalert.org

  6. thewbkfirm.com

  7. ftc.gov

Compartilhar:

Artigos relacionados

Case Studies

Multa da CCPA contra Todd Snyder: Armadilhas do Opt-Out por Terceiros

A multa de $345 mil da Califórnia contra a Todd Snyder por atrasar opt-outs via ferramentas de terceiros não monitoradas alerta os sites a vetar fornecedores de privacidade e agilizar solicitações de direitos do consumidor sob a CCPA.

Fique em conformidade com o Pryvii

Escaneie seu site em busca de problemas de conformidade com privacidade de acordo com 17 regulamentações incluindo GDPR, CCPA e UK GDPR.

FTC Warning Letters to 13 Data Brokers: PADFA Compliance Now — Pryvii Blog | Pryvii