La Comisión Federal de Comunicaciones de EE. UU. (FCC) multa a las mayores operadoras móviles por compartir datos de ubicación

 (docs.fcc.gov)
1 puntos por GN⁺ 2024-04-30 | 1 comentarios | Compartir por WhatsApp
  • La FCC impuso multas por un total cercano a los 200 millones de dólares a AT&T, Sprint, T-Mobile y Verizon por compartir ilegalmente información de ubicación con terceros sin el consentimiento de los clientes
    • Sprint y T-Mobile se fusionaron después de que comenzara la investigación, y enfrentan multas de 12 millones y 80 millones de dólares, respectivamente
    • A AT&T se le impuso una multa de más de 57 millones de dólares, y a Verizon una de alrededor de 47 millones de dólares

Incumplimiento de la obligación de proteger los datos de los clientes

  • Una investigación de la Oficina de Cumplimiento de la FCC concluyó que cada operadora vendió acceso a la información de ubicación de sus clientes a "agregadores", que luego revendían ese acceso a terceros proveedores de servicios basados en ubicación
  • Cada operadora intentó trasladar a los receptores posteriores de la información de ubicación la obligación de obtener el consentimiento del cliente, lo que significa que en la mayoría de los casos no se obtuvo un consentimiento válido
  • Esta falla inicial se agravó aún más cuando las operadoras siguieron vendiendo acceso a la información de ubicación sin tomar medidas razonables para protegerla contra accesos no autorizados, incluso después de reconocer que las salvaguardas no eran efectivas

Obligación de proteger la información del cliente conforme a la Sección 222 de la Ley de Comunicaciones

  • De acuerdo con la ley, incluida la Sección 222 de la Ley de Comunicaciones, las operadoras deben tomar medidas razonables para proteger cierta información de los clientes, incluida la información de ubicación
  • Además, las operadoras deben mantener la confidencialidad de la información del cliente y obtener un consentimiento activo y explícito antes de usar, divulgar o permitir el acceso a esa información
  • Estas obligaciones también se aplican de la misma manera cuando las operadoras comparten información de clientes con terceros

Declaraciones de Loyaan A. Egal, director de la Oficina de Cumplimiento de la FCC

  • "La protección y el uso de datos personales sensibles, como la información de ubicación, son inviolables"
  • "Si cae en manos equivocadas o se usa con fines maliciosos, nos pone a todos en riesgo"
  • "Dado que fuerzas hostiles extranjeras y ciberdelincuentes han priorizado obtener esta información, una de las principales prioridades de la Oficina de Cumplimiento es garantizar que los proveedores de servicios cuenten con salvaguardas razonables para proteger los datos de ubicación de los clientes y obtener un consentimiento válido para su uso"

Confirmación final de las Notices of Apparent Liability (NAL) emitidas en febrero de 2020

  • Las Forfeiture Orders anunciadas hoy confirman de manera definitiva las Forfeiture Orders emitidas a estas operadoras en febrero de 2020
  • Los montos de las multas para AT&T y Sprint no cambiaron desde la etapa de NAL
  • Las multas de T-Mobile y Verizon se redujeron tras una revisión adicional de las presentaciones de las partes en respuesta al NAL
  • La ley no permite aumentar el monto de las multas por ciertas infracciones después de la emisión de un NAL

Opinión de GN⁺

  • Se trata de un problema muy grave que las operadoras hayan filtrado sin autorización información sensible de ubicación de sus clientes y además no hayan implementado correctamente salvaguardas para impedirlo. Esto es aún más preocupante considerando que fuerzas hostiles extranjeras y ciberdelincuentes buscan activamente este tipo de información
  • Sin embargo, esta medida parece llegar demasiado tarde. Al parecer, las multas ya se habían anticipado en 2020, pero que la decisión final haya llegado recién cuatro años después parece problemático. Se necesitan medidas rápidas y severas ante filtraciones de información de clientes
  • Por otro lado, es posible que montos de este tamaño no representen un gran golpe para operadoras de esta escala. Para evitar que se repitan filtraciones de datos de clientes, podrían hacer falta mecanismos de sanción más fuertes
  • Las operadoras de telecomunicaciones en Corea deberían tomar este caso como advertencia, reforzar aún más las salvaguardas para proteger la información de los clientes y esforzarse por cumplir estrictamente con las normativas pertinentes. En particular, deberían ser aún más cuidadosas con información sensible como los datos de ubicación

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-04-30
Opiniones de Hacker News

Aquí tienes un resumen de los puntos clave de los comentarios de Hacker News, en formato de lista con viñetas usando Markdown:

  • El problema central es la transparencia:

    • Los usuarios quieren ver a quiénes las empresas han vendido o entregado su información y qué limitaciones tiene esa venta.
    • Si una empresa recopila datos de usuarios y permite que otra entidad acceda a ellos, debería informar a los usuarios y facilitar el bloqueo.
    • La mayor parte del abuso de los datos personales desaparecería si la gente supiera que eso está ocurriendo.

  • La multa de $200M es insignificante para estas operadoras:

    • Bastarían aproximadamente 9 horas de ingresos diarios combinados de T-Mobile, AT&T y Verizon para generar $196 millones en ingresos.
    • Probablemente no cambie nada más allá de agregar una nota al pie en la política de privacidad.

  • Preocupaciones sobre la efectividad de la medida de la FCC:

    • Sin exigir una exclusión voluntaria por separado, las operadoras podrían simplemente añadir "compartir datos de ubicación" al EULA o a la política de privacidad y seguir adelante con el "consentimiento".
    • Esto parece un obstáculo temporal que no cambia nada a largo plazo.

  • Reacciones positivas a la medida de la FCC:

    • Algunos se alegran de ver que la FCC está tomando medidas y la animan a seguir haciéndolo.

  • Preguntas sobre si las fuerzas del orden eluden las órdenes judiciales:

    • Hay preocupación de que las autoridades de EE. UU. puedan comprar este tipo de datos comerciales para evitar tener que obtener una orden judicial.

  • Startup relacionada que ofrece servicio móvil sin datos personales:

    • Cape recaudó $61M de A16Z y otros para un servicio móvil que no usa datos personales.

  • Comparación con el escándalo de vigilancia de AT&T/NSA:

    • Algunos se preguntan si alguien fue multado por permitir que la NSA interviniera todos los datos de red descifrados de AT&T, lo que parece más grave.

  • Preguntas sobre el impacto en los agregadores de datos de ubicación:

    • Algunos sienten curiosidad por saber si alguien que usa proveedores como Zumigo, LocationSmart o Microbilt ha notado señales de datos más débiles o menor disponibilidad relacionadas con esto.
    • Se espera que las fuentes de rastreo sigan disponibles, pero con nuevas divulgaciones "más transparentes".

  • Cuestionando si Google Fi vende datos de ubicación de los usuarios:

    • Un comentarista siente curiosidad por saber si el propio servicio móvil de Google, Google Fi, vende los datos de ubicación en tiempo real de sus usuarios.