FCC multa con 200 millones de dólares a grandes operadoras de EE. UU. por compartir datos de ubicación sin autorización
(docs.fcc.gov)- La FCC confirmó multas por un total cercano a 200 millones de dólares contra AT&T, Sprint, T-Mobile y Verizon por un caso en el que el acceso a la información de ubicación en tiempo real de los clientes fue compartido con terceros sin consentimiento
- Las operadoras vendían el acceso a la información de ubicación a agregadores, que luego lo revendían a proveedores externos de servicios basados en ubicación
- Aunque el esquema trasladaba a los receptores posteriores la responsabilidad de obtener el consentimiento de los clientes, en varios casos no se obtuvo un consentimiento válido y las medidas de protección tampoco fueron suficientes
- Las multas son de más de 12 millones de dólares para Sprint, más de 80 millones de dólares para T-Mobile, más de 57 millones de dólares para AT&T y aproximadamente 47 millones de dólares para Verizon; Sprint y T-Mobile se fusionaron después de iniciada la investigación
- La Sección 222 de la Communications Act exige proteger la información de los clientes, incluida la ubicación, y obtener consentimiento explícito; las mismas obligaciones aplican al compartirla con terceros
Estructura de venta de información de ubicación y monto de las multas
- El 29 de abril de 2024, la FCC impuso multas a las grandes operadoras inalámbricas de Estados Unidos por compartir ilegalmente el acceso a la información de ubicación de sus clientes
- Sprint: más de 12 millones de dólares
- T-Mobile: más de 80 millones de dólares
- AT&T: más de 57 millones de dólares
- Verizon: aproximadamente 47 millones de dólares
- Cada operadora vendía el acceso a la información de ubicación de los clientes a agregadores, y estos la revendían a proveedores externos de servicios basados en ubicación
- Las operadoras intentaron trasladar a los receptores posteriores la obligación de obtener el consentimiento de los clientes, pero en varios casos no se obtuvo un consentimiento válido
- Incluso después de enterarse de que las medidas de protección no eran efectivas, las cuatro operadoras siguieron operando programas de venta de acceso a información de ubicación sin tomar medidas razonables para impedir accesos no autorizados
- La presidenta de la FCC, Jessica Rosenworcel, subrayó que estos datos son información sensible que puede revelar los desplazamientos y la identidad de los clientes
Origen de la investigación y base legal
- La investigación comenzó a partir de una carta pública del senador Ron Wyden en 2018 y de reportes públicos sobre casos de uso relacionados
- Según los reportes públicos, a través de un servicio de consulta de ubicación operado por Securus, proveedor de servicios de comunicación para centros penitenciarios, un sheriff de Missouri pudo rastrear la ubicación de varias personas
- La FCC determinó que, incluso después de detectar accesos no autorizados, las cuatro operadoras no implementaron medidas de protección razonables para verificar si los proveedores de servicios basados en ubicación efectivamente obtenían el consentimiento de los clientes
- La Sección 222 de la Communications Act y otras normas relacionadas imponen a las operadoras las siguientes obligaciones
- Medidas razonables para proteger cierta información de los clientes, incluida la información de ubicación
- Mantener la confidencialidad de la información de los clientes
- Obtener consentimiento explícito y afirmativo del cliente antes de usar, divulgar o permitir el acceso a la información
- Aplicar las mismas obligaciones al compartir información de clientes con terceros
Confirmación de las órdenes y acciones posteriores
- Estas Forfeiture Orders confirman los Notices of Apparent Liability emitidos en febrero de 2020
- Las multas de AT&T y Sprint son iguales a las de la etapa de NAL
- Las multas de T-Mobile y Verizon se redujeron tras una revisión adicional de los materiales presentados en respuesta al NAL
- La ley no permite aumentar el monto de decomiso por determinadas infracciones después de emitido el NAL
- Órdenes relacionadas:
- La presidenta de la FCC creó en 2023 la Privacy and Data Protection Task Force, una organización que coordina dentro de la agencia las necesidades relacionadas con elaboración de normas, aplicación y concientización pública en materia de privacidad y protección de datos
- La FCC señaló que este anuncio es una comunicación informal de una acción de la Comisión, y que la publicación del texto completo de la orden de la Comisión constituye la acción oficial
1 comentarios
Opiniones en Hacker News
El punto clave es la transparencia. No una “política de privacidad”, sino poder ver a quién le vendió o entregó la empresa mi información, y qué restricciones tenía esa venta
La idea es simple. Si recopilaron mi información y permitieron que otras entidades accedieran a ella, deberían informarlo y permitir verificarlo y bloquearlo fácilmente. Con solo que la gente sepa lo que realmente está pasando, desaparecería la mayor parte del abuso de datos personales
Sería mejor eliminar por completo la compraventa de datos personales, pero como primer paso podría imponerse “multas enormes a las empresas que no rastreen con precisión qué entidades tocaron los datos del usuario”
200 millones de dólares es cambio suelto. Estas telecos llevan mucho tiempo haciendo esto y nada va a cambiar
A lo sumo, solo agregarán una nota al pie en la política de privacidad
Securus era originalmente una empresa enfocada principalmente en servicios relacionados con personas encarceladas en EE. UU., pero recopiló datos de todos y luego reempaquetó esas capacidades y relaciones como servicio. Tras la decisión de la FCC, parece haber desaparecido en un intento torpe de evitar litigios adicionales
https://securustechnologies.tech/investigative/investigation...
Todavía no hay detalles técnicos sobre la precisión del rastreo. No está claro dónde termina el módem de la operadora y dónde empiezan el firmware o el hardware, y eso podría ser intencional. Es poco probable que pudieran consultar coordenadas GPS en tiempo real; es mucho más probable que consultaran el ASN desde la estación base para dar un rango aproximado de la ubicación del usuario
La FCC se queda con una multa de 200 millones, no hay cárcel y de esos 200 millones de dólares las personas cuya privacidad fue vulnerada reciben 0 dólares. En resumen, un lunes cualquiera, como siempre
A los accionistas no les gusta la situación de “nos multaron por esto, aun así seguimos y ahora nos vuelven a multar”. Y si la empresa ya fue multada de verdad antes por lo mismo, entonces el gobierno, los tribunales y los jurados también verán con más escepticismo la defensa de “no lo sabíamos”
Antes trabajé en un hedge fund, y cada mes comprábamos datos de ping de celulares de 125 millones de estadounidenses
Todo tipo de algoritmos de deep learning analizaban compras, bodegas y otros flujos de personas. La gente no tiene idea de hasta qué punto lo entienden los inversionistas privados. Es mucho más profundo de lo que muestran los números públicos, y algunas de las personas más inteligentes del planeta extraen una enorme cantidad de información de los hábitos diarios de los estadounidenses. A estos datos se les han aplicado casi todos los algoritmos estadísticos que conoce la humanidad
Por ejemplo, supongamos que compro todo en efectivo, uso una SIM prepago y un teléfono cuyo historial de compra no está a mi nombre, y no ejecuto nada que no haya compilado yo mismo desde el código fuente. Si usara algo como NixOS en el teléfono, ¿mis datos serían lo bastante inútiles como para no entrar en esos datasets? ¿O ya se volvieron tan buenos uniendo demasiados puntos de datos que usar solo efectivo ya casi no sirve de nada?
Con base en los ingresos diarios combinados de T-Mobile, AT&T y Verizon, les toma unas 9 horas generar 196 millones de dólares
Si asumimos ingresos diarios combinados de 45.5 millones para T-Mobile, 125.6 millones para AT&T y 349.3 millones para Verizon, el total sería 520.4 millones de dólares. Dividido entre 24 horas da 21.6 millones por hora, y al dividir la multa de 196 millones resulta en unas 9.07 horas
Sería más interesante verlo en términos de ganancias, que están más cerca del impacto real
La parte de “compartió el acceso a la información de ubicación de los clientes sin consentimiento” por sí sola no parece suficiente para impedir que la telefónica agregue “compartir datos de ubicación” en un EULA o política de privacidad que nadie lee, y luego afirme que ahora sí obtuvo el consentimiento y siga haciéndolo
Si no se exige ofrecer una opción separada para rechazarlo, a largo plazo parece un tope temporal de velocidad que no cambia nada
La comisión reconoció que los requisitos de consentimiento previo no son suficientes para proteger el CPNI de los clientes. En particular, porque métodos como el “pretexting”, en los que alguien obtiene ilegalmente información del cliente fingiendo ser un cliente específico o una persona autorizada, pueden eludir los requisitos de consentimiento previo
Puede que agreguen una frase como “para prevención de fraude y/u otros fines”, o puede que no. Lo mismo con las aseguradoras. He visto cláusulas así y estoy bastante seguro de que sacan los datos de la operadora móvil
¿No compran las autoridades de justicia de EE. UU. estos datos comerciales para darle la vuelta al requisito de una orden judicial?
¿Alguna vez multaron a AT&T por permitir que la NSA interceptara todo el tráfico de red desencriptado? Eso parece mucho más grave
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...
Artículos relacionados:
Cape recauda 61 millones de dólares de A16Z y otros para un servicio móvil que no usa datos personales
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/
Estas son sanciones civiles. Me pregunto qué límites tiene la FCC, o dentro de qué alcance puede moverse si no los tiene
¿Podrían haber impuesto una multa mayor? Y también me pregunto si eso influye en la decisión del DOJ de impulsar cargos penales o no