FTC: los grandes servicios sociales y de video realizaron una vigilancia masiva de usuarios
(ftc.gov)- Un informe del personal de la FTC concluye que los principales servicios de redes sociales y streaming de video vigilaron ampliamente a los consumidores para monetizar datos personales y que además carecían de protecciones suficientes para niños y adolescentes
- La investigación se basó en las respuestas a las órdenes 6(b) que la FTC envió en diciembre de 2020 a 9 empresas, y abarcó a Amazon/Twitch, Meta/Facebook, YouTube, X/Twitter, Snap, ByteDance/TikTok, Discord, Reddit y WhatsApp
- Las empresas analizadas podían recopilar y conservar datos de usuarios, no usuarios e incluso información de data brokers, y sus prácticas de minimización, retención y eliminación de datos fueron evaluadas como sumamente inadecuadas
- El modelo de negocio de muchas empresas estaba centrado en la publicidad segmentada, lo que incentivó la recolección masiva de datos; además, esos datos se usaban en tecnologías de rastreo como píxeles y en sistemas automatizados e IA, pero los usuarios casi no tenían derecho de rechazo
- El informe del personal de la FTC recomienda una ley federal de privacidad, políticas de minimización y retención de datos, límites al rastreo de información sensible, mayor transparencia y verificación de sistemas automatizados, y una ampliación de la protección de niños y adolescentes tomando a COPPA como estándar mínimo
Empresas investigadas y alcance del informe
- El informe del personal de la FTC examinó las prácticas de recolección y uso de datos de los principales servicios de redes sociales y streaming de video
- El informe del personal se basa en las respuestas de 9 empresas a las órdenes 6(b) emitidas en diciembre de 2020
- Las 9 empresas y servicios investigados fueron los siguientes
- Amazon.com, Inc.: propietaria de la plataforma de gaming Twitch
- Facebook, Inc.: actualmente Meta Platforms, Inc.
- YouTube LLC
- Twitter, Inc.: actualmente X Corp.
- Snap Inc.
- ByteDance Ltd.: propietaria de la plataforma de videos compartidos TikTok
- Discord Inc.
- Reddit, Inc.
- WhatsApp Inc.
- Las órdenes de la FTC revisaron cómo las empresas manejan la información personal y demográfica
- Recopilación, seguimiento y uso de información personal y demográfica
- Forma en que muestran anuncios y contenido a los consumidores
- Si aplican algoritmos o análisis de datos a la información personal y demográfica, y de qué manera
- Impacto de estas prácticas en niños y adolescentes
Problemas en las prácticas de recopilación y retención de datos
- Las empresas investigadas recopilaron grandes volúmenes de información personal de los consumidores y la monetizaron por miles de millones de dólares al año
- La presidenta de la FTC, Lina M. Khan, dijo que estas prácticas de vigilancia amenazan la privacidad y pueden exponer a las personas a diversos daños, desde robo de identidad hasta acoso
- Las empresas podían recopilar y conservar indefinidamente los siguientes datos
- Datos de usuarios
- Datos de personas que no usan la plataforma
- Información obtenida de data brokers
- Las amplias prácticas de intercambio de datos aumentan la preocupación sobre si existía suficiente control y supervisión del tratamiento de esa información
- Las prácticas de recopilación, minimización y retención de datos fueron calificadas como “woefully inadequate”
- Algunas empresas respondían a las solicitudes de eliminación de usuarios, pero aun así no borraban todos los datos del usuario
Modelo de ingresos por publicidad y sistemas automatizados
- El modelo de negocio de muchas empresas estaba diseñado para monetizar datos de usuarios, especialmente mediante publicidad segmentada, que representaba la mayor parte de sus ingresos
- Estos incentivos chocan con la privacidad del usuario y pueden impulsar una mayor recopilación de datos
- Algunas empresas usaban tecnologías de rastreo invasivas para la privacidad, como píxeles, para habilitar publicidad basada en preferencias e intereses del usuario
- La información personal de usuarios y no usuarios se incorporaba a varios sistemas automatizados
- Algoritmos
- Análisis de datos
- IA
- Los usuarios y no usuarios casi no tenían o no tenían ninguna forma de rechazar el uso de sus datos en sistemas automatizados
- La forma de monitorear y probar el uso de sistemas automatizados variaba entre empresas y carecía de consistencia y suficiencia
Protección de niños y adolescentes y cuestión de COPPA
- Se evaluó que los servicios de redes sociales y streaming de video no protegían adecuadamente a niños y adolescentes en sus sitios
- El informe cita investigaciones que vinculan a las redes sociales y la tecnología digital con efectos negativos en la salud mental de usuarios jóvenes
- Muchas empresas afirmaban que no había niños en sus plataformas porque sus servicios no estaban dirigidos a menores o porque no permitían la creación de cuentas infantiles
- El informe del personal de la FTC consideró esto un intento evidente de evadir las responsabilidades bajo la Children’s Online Privacy Protection Act Rule
- Los servicios de redes sociales y streaming de video a menudo trataban a los adolescentes igual que a los usuarios adultos
- La mayoría de las empresas permitía que los adolescentes usaran la plataforma sin restricciones de cuenta
Impacto competitivo y recomendaciones de la FTC
- Las prácticas de datos de estas empresas también pueden afectar a la competencia
- Las empresas que acumulan una cantidad considerable de datos de usuarios pueden asegurar poder de mercado y, como resultado, derivar en prácticas perjudiciales que priorizan la captura de datos por encima de la privacidad del usuario
- Si la competencia entre servicios de redes sociales y streaming de video es limitada, también se reducen las opciones para los consumidores
- El informe del personal de la FTC recomienda a responsables de políticas públicas y empresas lo siguiente
- El Congreso debería aprobar una ley federal integral de privacidad que limite la vigilancia, establezca protecciones básicas y otorgue derechos sobre sus datos a los consumidores
- Las empresas deben limitar la recopilación de datos e implementar políticas específicas y exigibles de minimización y retención de datos
- Deben limitar el intercambio de datos con terceros y afiliadas, y eliminar los datos de consumidores que ya no sean necesarios
- Las políticas de privacidad deben ser claras, simples y fáciles de entender para los consumidores
- Las empresas no deben recopilar información sensible mediante tecnologías publicitarias de rastreo invasivas para la privacidad
- Deben revisar cuidadosamente sus políticas y prácticas de segmentación publicitaria basadas en categorías sensibles
- Deben abordar la falta de control del usuario y la falta de transparencia sobre cómo se usan los datos en sistemas automatizados
- Deben aplicarse estándares más estrictos de prueba y monitoreo a los sistemas automatizados
- No deben ignorar la realidad de que hay niños usando sus plataformas, y deben considerar a COPPA como requisito mínimo y ofrecer medidas de seguridad adicionales
- Los adolescentes no son adultos, por lo que deben recibir protecciones de privacidad más fuertes
- El Congreso debería aprobar una ley federal de privacidad que cierre las brechas de protección para adolescentes mayores de 13 años que COPPA no cubre
- La comisión de la FTC votó 5-0 para publicar el informe del personal
- La Chair Khan y los Commissioners Alvaro Bedoya, Melissa Holyoak y Andrew N. Ferguson emitieron declaraciones por separado
1 comentarios
Opiniones de Hacker News
Falta una forma de aumentar la responsabilidad de las empresas que manejan mal los datos de los usuarios.
No tiene sentido que me notifiquen por correo postal de una filtración de datos ocurrida meses atrás, que incluía incluso mi número de Seguro Social, y que lo único que pueda hacer sea congelar mi crédito en varias agencias de crédito.
Después de sufrir públicamente burnout y una caída, un amigo me ayudó a conseguir trabajo de medio tiempo en una empresa de procesamiento de pagos con tarjeta de crédito. Hace unos dos meses, mientras yo no estaba, el jefe hizo que un conductor de Uber enviara un correo porque había que procesar algo, y como resultado se envió a un cliente la base de datos completa de clientes, que incluía cuentas bancarias, números de Seguro Social, nombres, direcciones y datos financieros.
Lo ocultaron durante 11 días y, cuando me enteré, dije: “Esto es grave y, además de PCI, legalmente hay que notificar a los clientes afectados dentro de 45 días”. Pero el jefe dijo que “no lo haría”, así que presenté mi renuncia y volví a quedar desempleado.
Ahora yo, que intenté hacer lo correcto, estoy buscando trabajo con urgencia, mientras que quienes causaron el problema hacen como si no hubiera pasado nada, posiblemente comprometieron a toda la base de clientes y parece que no habrá castigo a menos que yo los denuncie ante PCI. Incluso si lo hago, no recibo ninguna compensación.
No entiendo por qué, vaya a donde vaya, la gerencia siempre hace cosas sospechosas. Solo quiero trabajar con Linux y centros de datos bajo alguien honesto.
Mi gran proyecto paralelo todavía no está listo ni siquiera para un lanzamiento temprano y, aunque originalmente no quería aceptar VC ni inversionistas, ahora estoy pensando en ceder.
https://www.nerdwallet.com/article/finance/how-to-freeze-cre...
Creo que será difícil hasta que exista un organismo regulador independiente capaz de regular a toda la industria tecnológica. Así como la FDA decide qué medicamentos e ingredientes se permiten, también podría haber una entidad que evalúe los riesgos que las funciones de las empresas tecnológicas tienen para la salud mental de las personas.
Pero para que una entidad así llegue a existir, probablemente haga falta una tragedia, igual que con las razones por las que se creó inicialmente la FDA.
https://www.fda.gov/about-fda/fda-history/milestones-us-food...
Aunque llegan 15 años tarde al empezar recién ahora a tomárselo en serio y pensar en contraatacar, más vale tarde que nunca.
Lo siguiente debería ser poner bajo control de verdad a las agencias de crédito.
Nunca acepté que conservaran mis datos; aun así los filtraron todos y ahora encima me mandan publicidad no deseada. Es un desastre.
Para congelar mi crédito no me queda otra que relacionarme con estas empresas, y si no lo hago quedo a merced de que le entreguen mi información a quien quieran sin mi permiso. Es realmente absurdo.
Me parece raro que empresas como Meta y Google valgan cientos de miles de millones de dólares solo porque encontraron una forma legal de llenar bases de datos con información sobre ti.
En otro momento de la historia, alguien lo habría llamado vigilancia, pero encontraron la forma de hacerlo legalmente y eso vale cientos de miles de millones de dólares.
Técnicamente, registrar datos de forma remota es trivial siempre que haya consentimiento. Es como si levantáramos un muro imaginario llamado ley, gastáramos miles de millones de dólares en encontrar formas de rodearlo y luego equiparáramos eso con prosperidad económica. La relación entre los servicios de streaming y el intercambio de archivos es parecida.
No entiendo por qué insisten en llamar a las redes sociales simplemente una base de datos.
Lina Khan está empujando fuerte últimamente. De verdad parece que le importan los derechos humanos en línea.
Facebook y YouTube son defensores con voluntad y capacidad de proteger datos sensibles de sus clientes. Si ves el documental de Ashley Madison, hubo un desprecio arrogante por la privacidad de los clientes y aun así casi no hubo responsabilidad.
Donde los consumidores son más vulnerables es en estos actores pequeños e irresponsables.
Si Trump llega a la presidencia, la va a destituir; y aunque gane Harris, si los republicanos controlan el Senado, temo que Harris pueda entregar a Khan como moneda de cambio para conseguir confirmaciones.
“Data is a Toxic Asset”, de Schneier on Security, 2016: https://www.schneier.com/blog/archives/2016/03/data_is_a_tox...
Esta parte es especialmente problemática:
“Muchas empresas compartieron datos de forma amplia, lo que genera serias preocupaciones sobre si los controles y la supervisión del tratamiento de datos de las empresas son suficientes”.
Vale la pena leer el informe completo[0]. Mejor no quedarse solo con el resumen.
“Pero estos hallazgos no deben verse de forma aislada. Surgen de modelos de negocio casi indistinguibles en nueve empresas: modelos que cosechan datos para publicidad dirigida, diseño algorítmico y ventas a terceros. Con pocas salvaguardas significativas, las empresas tienen incentivos para desarrollar métodos de recopilación cada vez más invasivos”.
[0]: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
La vigilancia se propaga como un cáncer. Sigue creciendo, devorando cada punto de datos con la excusa de que “simplemente es necesario”, y al final te mata.
También habría que agregar a la lista a los fabricantes de autos que vigilan con cámaras y micrófonos dentro del habitáculo.
Más detalles: https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...