1 puntos por GN⁺ 2024-04-30 | 1 comentarios | Compartir por WhatsApp
  • La FCC confirmó multas por un total cercano a 200 millones de dólares contra AT&T, Sprint, T-Mobile y Verizon por un caso en el que el acceso a la información de ubicación en tiempo real de los clientes fue compartido con terceros sin consentimiento
  • Las operadoras vendían el acceso a la información de ubicación a agregadores, que luego lo revendían a proveedores externos de servicios basados en ubicación
  • Aunque el esquema trasladaba a los receptores posteriores la responsabilidad de obtener el consentimiento de los clientes, en varios casos no se obtuvo un consentimiento válido y las medidas de protección tampoco fueron suficientes
  • Las multas son de más de 12 millones de dólares para Sprint, más de 80 millones de dólares para T-Mobile, más de 57 millones de dólares para AT&T y aproximadamente 47 millones de dólares para Verizon; Sprint y T-Mobile se fusionaron después de iniciada la investigación
  • La Sección 222 de la Communications Act exige proteger la información de los clientes, incluida la ubicación, y obtener consentimiento explícito; las mismas obligaciones aplican al compartirla con terceros

Estructura de venta de información de ubicación y monto de las multas

  • El 29 de abril de 2024, la FCC impuso multas a las grandes operadoras inalámbricas de Estados Unidos por compartir ilegalmente el acceso a la información de ubicación de sus clientes
    • Sprint: más de 12 millones de dólares
    • T-Mobile: más de 80 millones de dólares
    • AT&T: más de 57 millones de dólares
    • Verizon: aproximadamente 47 millones de dólares
  • Cada operadora vendía el acceso a la información de ubicación de los clientes a agregadores, y estos la revendían a proveedores externos de servicios basados en ubicación
  • Las operadoras intentaron trasladar a los receptores posteriores la obligación de obtener el consentimiento de los clientes, pero en varios casos no se obtuvo un consentimiento válido
  • Incluso después de enterarse de que las medidas de protección no eran efectivas, las cuatro operadoras siguieron operando programas de venta de acceso a información de ubicación sin tomar medidas razonables para impedir accesos no autorizados
  • La presidenta de la FCC, Jessica Rosenworcel, subrayó que estos datos son información sensible que puede revelar los desplazamientos y la identidad de los clientes

Origen de la investigación y base legal

  • La investigación comenzó a partir de una carta pública del senador Ron Wyden en 2018 y de reportes públicos sobre casos de uso relacionados
  • Según los reportes públicos, a través de un servicio de consulta de ubicación operado por Securus, proveedor de servicios de comunicación para centros penitenciarios, un sheriff de Missouri pudo rastrear la ubicación de varias personas
  • La FCC determinó que, incluso después de detectar accesos no autorizados, las cuatro operadoras no implementaron medidas de protección razonables para verificar si los proveedores de servicios basados en ubicación efectivamente obtenían el consentimiento de los clientes
  • La Sección 222 de la Communications Act y otras normas relacionadas imponen a las operadoras las siguientes obligaciones
    • Medidas razonables para proteger cierta información de los clientes, incluida la información de ubicación
    • Mantener la confidencialidad de la información de los clientes
    • Obtener consentimiento explícito y afirmativo del cliente antes de usar, divulgar o permitir el acceso a la información
    • Aplicar las mismas obligaciones al compartir información de clientes con terceros

Confirmación de las órdenes y acciones posteriores

  • Estas Forfeiture Orders confirman los Notices of Apparent Liability emitidos en febrero de 2020
    • Las multas de AT&T y Sprint son iguales a las de la etapa de NAL
    • Las multas de T-Mobile y Verizon se redujeron tras una revisión adicional de los materiales presentados en respuesta al NAL
    • La ley no permite aumentar el monto de decomiso por determinadas infracciones después de emitido el NAL
  • Órdenes relacionadas:
  • La presidenta de la FCC creó en 2023 la Privacy and Data Protection Task Force, una organización que coordina dentro de la agencia las necesidades relacionadas con elaboración de normas, aplicación y concientización pública en materia de privacidad y protección de datos
  • La FCC señaló que este anuncio es una comunicación informal de una acción de la Comisión, y que la publicación del texto completo de la orden de la Comisión constituye la acción oficial

1 comentarios

 
GN⁺ 2024-04-30
Opiniones en Hacker News
  • El punto clave es la transparencia. No una “política de privacidad”, sino poder ver a quién le vendió o entregó la empresa mi información, y qué restricciones tenía esa venta
    La idea es simple. Si recopilaron mi información y permitieron que otras entidades accedieran a ella, deberían informarlo y permitir verificarlo y bloquearlo fácilmente. Con solo que la gente sepa lo que realmente está pasando, desaparecería la mayor parte del abuso de datos personales

    • Todo debería ser con consentimiento previo. La carga debería recaer en la empresa, con algo como: “queremos compartir tus datos y, si aceptas, estos son los beneficios”
    • También debería incluir a empresas como Facebook, que analizan datos para hacer inferencias más profundas sobre mí. Debería tener derecho a ver todas las conclusiones que sacaron sobre mí a partir de mis datos, para corregir suposiciones erróneas o incluso aprender más sobre mí mismo
    • Si ampliamos aún más la exigencia de “quiero ver a quién le vendió o entregó la empresa mi información y qué restricciones tenía esa venta”, una ley que obligue a las empresas a mantener una cadena de custodia (custody chain) cada vez que transfieren datos personales probablemente sería relativamente poco controversial
      Sería mejor eliminar por completo la compraventa de datos personales, pero como primer paso podría imponerse “multas enormes a las empresas que no rastreen con precisión qué entidades tocaron los datos del usuario”
    • También debe haber alternativas que la gente realmente pueda usar. Claro, si existe una función de bloqueo, eso también puede servir
    • El problema central no es la transparencia, sino la vigilancia y la impotencia
  • 200 millones de dólares es cambio suelto. Estas telecos llevan mucho tiempo haciendo esto y nada va a cambiar
    A lo sumo, solo agregarán una nota al pie en la política de privacidad

    • La cuestión es cuánto ganaron vendiendo esto. Si 200 millones de dólares son cambio suelto porque ganaron 200 mil millones, entonces no es muy relevante. Si las ganancias reales fueron mucho menores que 200 millones, entonces sí dejarán de hacerlo
    • Para ser precisos, una empresa tercera llamada Securus firmó contratos con las operadoras móviles para comprar datos de ubicación y ofrecer un producto integral con el que, en la práctica, podía rastrear a casi cualquier persona
      Securus era originalmente una empresa enfocada principalmente en servicios relacionados con personas encarceladas en EE. UU., pero recopiló datos de todos y luego reempaquetó esas capacidades y relaciones como servicio. Tras la decisión de la FCC, parece haber desaparecido en un intento torpe de evitar litigios adicionales
      https://securustechnologies.tech/investigative/investigation...
      Todavía no hay detalles técnicos sobre la precisión del rastreo. No está claro dónde termina el módem de la operadora y dónde empiezan el firmware o el hardware, y eso podría ser intencional. Es poco probable que pudieran consultar coordenadas GPS en tiempo real; es mucho más probable que consultaran el ASN desde la estación base para dar un rango aproximado de la ubicación del usuario
    • Justo por coincidencia recibí un correo de Verizon diciendo que sube 5 dólares por línea, y el Internet también sube con ATT
      La FCC se queda con una multa de 200 millones, no hay cárcel y de esos 200 millones de dólares las personas cuya privacidad fue vulnerada reciben 0 dólares. En resumen, un lunes cualquiera, como siempre
    • No se trata de la cantidad, sino del hecho de que sí hubo multa
      A los accionistas no les gusta la situación de “nos multaron por esto, aun así seguimos y ahora nos vuelven a multar”. Y si la empresa ya fue multada de verdad antes por lo mismo, entonces el gobierno, los tribunales y los jurados también verán con más escepticismo la defensa de “no lo sabíamos”
  • Antes trabajé en un hedge fund, y cada mes comprábamos datos de ping de celulares de 125 millones de estadounidenses
    Todo tipo de algoritmos de deep learning analizaban compras, bodegas y otros flujos de personas. La gente no tiene idea de hasta qué punto lo entienden los inversionistas privados. Es mucho más profundo de lo que muestran los números públicos, y algunas de las personas más inteligentes del planeta extraen una enorme cantidad de información de los hábitos diarios de los estadounidenses. A estos datos se les han aplicado casi todos los algoritmos estadísticos que conoce la humanidad

    • ¿Eso era para analizar el “mercado”, o sea, cómo consume la gente en general?
    • Me pregunto hasta dónde ha llegado la capacidad de vincular distintos datasets y revertir la anonimización
      Por ejemplo, supongamos que compro todo en efectivo, uso una SIM prepago y un teléfono cuyo historial de compra no está a mi nombre, y no ejecuto nada que no haya compilado yo mismo desde el código fuente. Si usara algo como NixOS en el teléfono, ¿mis datos serían lo bastante inútiles como para no entrar en esos datasets? ¿O ya se volvieron tan buenos uniendo demasiados puntos de datos que usar solo efectivo ya casi no sirve de nada?
  • Con base en los ingresos diarios combinados de T-Mobile, AT&T y Verizon, les toma unas 9 horas generar 196 millones de dólares
    Si asumimos ingresos diarios combinados de 45.5 millones para T-Mobile, 125.6 millones para AT&T y 349.3 millones para Verizon, el total sería 520.4 millones de dólares. Dividido entre 24 horas da 21.6 millones por hora, y al dividir la multa de 196 millones resulta en unas 9.07 horas

    • El cálculo está mal. Si los ingresos diarios son 520.4 millones de dólares, entonces generar 196 millones toma menos de medio día
      Sería más interesante verlo en términos de ganancias, que están más cerca del impacto real
  • La parte de “compartió el acceso a la información de ubicación de los clientes sin consentimiento” por sí sola no parece suficiente para impedir que la telefónica agregue “compartir datos de ubicación” en un EULA o política de privacidad que nadie lee, y luego afirme que ahora sí obtuvo el consentimiento y siga haciéndolo
    Si no se exige ofrecer una opción separada para rechazarlo, a largo plazo parece un tope temporal de velocidad que no cambia nada

    • Se necesita una ley que aborde el problema en sí. Por ejemplo, la recopilación de datos de ubicación solo debería permitirse cuando la entidad que los recopila o el servicio los necesiten explícitamente y los usen directamente, y debería prohibirse compartirlos o venderlos
    • En el documento más largo se trata este punto: https://docs.fcc.gov/public/attachments/FCC-24-41A1.pdf
      La comisión reconoció que los requisitos de consentimiento previo no son suficientes para proteger el CPNI de los clientes. En particular, porque métodos como el “pretexting”, en los que alguien obtiene ilegalmente información del cliente fingiendo ser un cliente específico o una persona autorizada, pueden eludir los requisitos de consentimiento previo
    • Si un banco incluye una cláusula de consentimiento para datos de ubicación en una solicitud de tarjeta de crédito, también queda la duda de si la telefónica tendría que hacer algo por separado
      Puede que agreguen una frase como “para prevención de fraude y/u otros fines”, o puede que no. Lo mismo con las aseguradoras. He visto cláusulas así y estoy bastante seguro de que sacan los datos de la operadora móvil
  • ¿No compran las autoridades de justicia de EE. UU. estos datos comerciales para darle la vuelta al requisito de una orden judicial?

  • ¿Alguna vez multaron a AT&T por permitir que la NSA interceptara todo el tráfico de red desencriptado? Eso parece mucho más grave
    https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...

    • Si la NSA cobrara por restaurar los respaldos de disco de todo el mundo que guardó, hasta podría lograr autofinanciarse
    • En ese caso, ambos partidos apoyaron la inmunidad retroactiva
    • Solo hay que mandarle la factura a la NSA
  • Artículos relacionados:
    Cape recauda 61 millones de dólares de A16Z y otros para un servicio móvil que no usa datos personales
    https://news.ycombinator.com/item?id=40080673
    https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
    https://www.cape.co/

  • Estas son sanciones civiles. Me pregunto qué límites tiene la FCC, o dentro de qué alcance puede moverse si no los tiene
    ¿Podrían haber impuesto una multa mayor? Y también me pregunto si eso influye en la decisión del DOJ de impulsar cargos penales o no