- Una investigación de 4 años de la FTC encontró que 9 plataformas de redes sociales y video, incluidas Facebook, YouTube y X, recopilaron y compartieron masivamente información personal para publicidad conductual en línea, y que a los consumidores les resultaba difícil controlar adecuadamente ese uso
- El alcance de la recopilación fue más allá de la actividad dentro de las plataformas e incluyó actividad en otros sitios web y apps, información de personas que ni siquiera eran usuarias, y datos comprados a corredores de datos de terceros; algunas empresas ni siquiera pudieron identificar con precisión las fuentes de los datos
- La mayoría de las empresas compartió información personal con terceros, pero algunas ni siquiera pudieron proporcionar una lista completa de todos los destinatarios, y casi no hubo verificación de terceros ni revisión del cumplimiento de restricciones de uso
- La vigilancia ocurre entre bastidores y la configuración de privacidad suele ser opaca o de eficacia limitada, por lo que algunas empresas en realidad no eliminaron los datos de usuarios incluso después de recibir solicitudes de borrado
- La EFF considera que el modelo de negocio de la publicidad conductual es la presión estructural detrás de la vigilancia comercial, y pide una ley federal de privacidad sólida que incluya minimización de datos, derechos de los usuarios, prohibición de la publicidad conductual en línea y derecho de acción privado
La investigación de la FTC revela la magnitud de la vigilancia comercial
- El nuevo informe de la FTC respalda las advertencias de larga data de la EFF: las grandes tecnológicas han estado recopilando y compartiendo información personal para su negocio de publicidad conductual en línea
- La investigación examinó durante 4 años las prácticas de datos de 9 plataformas de redes sociales y video, incluidas Facebook, YouTube y X (antes Twitter)
- No todas las empresas investigadas vulneraron la privacidad del mismo modo, pero en conjunto quedó expuesta una estructura que prioriza las ganancias por encima de la privacidad
Recopilación de datos personales más allá de lo que esperan los usuarios
- Las empresas no solo rastrearon la actividad dentro de sus propias plataformas
- Monitorearon la actividad en otros sitios web y apps
- También recopilaron información sobre personas que no eran usuarias
- Compraron datos personales a corredores de datos de terceros
- Algunas empresas no pudieron, o no quisieron, decirle a la FTC exactamente de dónde provenían los datos de usuarios
- Entre los datos recopilados había sitios web visitados, datos de ubicación, información demográfica e intereses
- Entre los intereses había intereses sensibles como “divorce support” y “beer and spirits”
- Algunas empresas solo pudieron reportar los atributos de usuarios rastreados en descripciones de alto nivel, mientras que otras entregaron hojas de cálculo con miles de atributos
Intercambio con terceros y falta de verificación
- La mayoría de las empresas informó haber compartido información personal con terceros
- Algunas afirmaron que compartían información personal de forma tan amplia que no podían proporcionar una lista completa de todos los terceros receptores
- En los casos en que sí podían identificar a los destinatarios, la lista incluía organismos de seguridad pública y otras empresas dentro y fuera de Estados Unidos
- La mayoría no tenía procesos para verificar a terceros antes de compartir datos, y ninguna empresa hacía un seguimiento continuo para comprobar si se respetaban las restricciones sobre el uso de esos datos
- Aunque las empresas aleguen fines aparentemente menos invasivos, como analítica, no hay garantía de que los datos se usen solo para eso
- La ausencia de estas salvaguardas expone a los consumidores a graves riesgos de privacidad
Procesamiento de datos difícil de entender para los consumidores
- Falta transparencia sobre cómo se recopila, comparte y usa la información personal
- Si una empresa ni siquiera puede decirle a la FTC con quién comparte los datos, es difícil esperar que se lo explique honestamente a los usuarios
- El rastreo y el intercambio ocurren entre bastidores, por lo que a los usuarios les resulta difícil saber cuánta privacidad están cediendo en cada plataforma
- Las empresas recopilan no solo datos de sus propias plataformas, sino también la actividad de los usuarios en toda la web e incluso información de no usuarios
- Para una persona, es casi imposible evitar que sus datos terminen arrastrados a una enorme red de vigilancia digital
- Incluso cuando existen controles de privacidad, muchas veces son opacos o de eficacia limitada
- Algunas empresas no eliminaron realmente los datos de usuarios incluso después de responder a solicitudes de borrado
- La magnitud y el carácter secreto de la vigilancia comercial descrita por la FTC muestran que la carga de proteger la privacidad no puede recaer solo en cada consumidor individual
La presión que genera el modelo de negocio de la publicidad conductual
- Las violaciones a la privacidad no son errores aislados, sino un problema inherente al modelo de negocio de la publicidad conductual en línea
- Las empresas reúnen enormes volúmenes de datos para construir perfiles detallados de usuarios con fines de publicidad dirigida
- Los ingresos generados por la segmentación publicitaria basada en datos personales empujan a las empresas a desarrollar métodos de recopilación cada vez más invasivos
- La FTC concluyó que el modelo de negocio de la mayoría de las empresas investigadas incentiva las invasiones a la privacidad
La legislación federal de privacidad que exige la EFF
- En ausencia de una ley federal de privacidad, las empresas pudieron recopilar y compartir los datos personales de miles de millones de usuarios con salvaguardas casi inexistentes
- El informe de la FTC confirma que la autorregulación fracasó
- Las políticas internas de privacidad de datos de las empresas son inconsistentes e insuficientes
- Dejan margen para que las empresas prioricen las ganancias por encima de la privacidad
- La FTC señaló que “no hay duda de que, sin medidas significativas, el ecosistema de vigilancia comercial empeorará”
- La EFF pide tres elementos legislativos
- Minimización de datos y derechos de los usuarios: las empresas no deberían poder procesar datos más allá de lo necesario para prestar el servicio solicitado por el usuario, y las personas deberían tener derecho a acceder, transferir, corregir y eliminar sus datos
- Prohibición de la publicidad conductual en línea: para abordar la causa raíz de la vigilancia comercial, hay que prohibir la publicidad conductual; de lo contrario, las empresas seguirán buscando maneras de eludir las leyes de privacidad para seguir lucrando con la recopilación invasiva de datos
- Aplicación sólida, incluido el derecho de acción privado: dado que los recursos públicos de fiscalización son limitados, las personas deben poder demandar a las empresas que vulneren su privacidad para evitar que las infracciones a las leyes de privacidad sigan extendiéndose
Qué se puede hacer ahora y cuáles son los límites
- Usar servicios en línea no debería significar entregar información personal a innumerables empresas para que la usen como quieran
- Al crear una cuenta en un sitio web, nadie debería tener que preocuparse de que terceros arbitrarios reciban su información o de que cada clic sea vigilado para servir anuncios
- La extensión Privacy Badger de la EFF puede ayudar a bloquear algunas de las tecnologías de rastreo mencionadas en el informe de la FTC
- La magnitud de la vigilancia comercial revelada por la investigación de la FTC es difícil de resolver solo con herramientas individuales, y hace falta una ley federal de privacidad sólida
1 comentarios
Opiniones en Hacker News
Hace poco una empresa nos hizo una demostración en la que decía poder ver el historial laboral, reporte crediticio y saldo bancario de los visitantes de un sitio con código de rastreo, en menos de 500 ms.
Decían que usaban esa información en un producto de calificación de prospectos para equipos de ventas, para que supieran a quién valía la pena perseguir y con quién estarían perdiendo el tiempo.
Fue realmente escalofriante, y los fundadores no parecían tener ningún reparo ético en comprar, vender y usar esos datos.
Los bancos no están vendiendo datos de saldos de cuentas asociados a información personal a agregadores sospechosos.
Lo más interesante y absurdo es cuántos agregadores logran vender basura de datos con tanto éxito.
Basta con integrar esto con datos de placas, registros inmobiliarios, reconocimiento de personas y ubicación en tiempo real.
Cuando un auto autónomo detecte que está fuera de control y que no puede evitar una responsabilidad inminente, podría consultar una API que entregue puntajes de evasión para cada consumidor y propiedad cercanos, y así hacer un análisis costo-beneficio por posible víctima.
Con base en ese puntaje, el vehículo podría encontrar la ruta con menor responsabilidad, e incluso asignar puntaje 0 a los objetivos no identificados para incentivar a los consumidores a conectarse a este servicio.
22 años, con estatura y peso equilibrados, pero poca capacidad para tomar decisiones.
¿Y si fuera tu hijo?
Vi que a jóvenes que pagan renta se les ofrecía este mensaje: “Flex te permite pagar la renta en un calendario que se ajusta mejor a tu presupuesto mensual y liberar flujo de efectivo”.
“Te ayuda a pagar la renta a tiempo, mejorar tu flujo de efectivo y construir tu historial crediticio”.
Fue en Francia antes del GDPR, y tenía acceso a la ubicación de los usuarios mediante acuerdos con varias apps, como apps del clima.
No recuerdo exactamente el tamaño del público objetivo, pero era una gran parte de la población francesa.
Mostraron un mapa de París y enseñaron qué ruta tomó un usuario específico después de salir de su casa, cuánto tiempo se quedó frente a cierta tienda y cuánto tiempo pasó dentro de otra.
En ese momento, a mi jefe le pareció muy emocionante.
Por fin. Todos “sabemos” que las empresas literalmente ponen las ganancias por encima de todo.
Me alegra ver que la FTC está de vuelta, y parece que solo hay avances significativos cuando existen regulaciones fuertes.
Otro ejemplo representativo es la EPA. Antes de que hubiera regulación y aplicación de la ley, la contaminación era tan grave que en algunas ciudades la gente tenía que usar máscaras antigás afuera, y con las emisiones de CFC pasó algo similar.
El desarrollo de internet se aceleró sobre todo bajo liderazgos conservadores que revirtieron regulaciones, y aunque en ese tiempo hubo mucha innovación, creo que se podría haber logrado mucho más si no hubiera estado tan concentrado en este entorno de ganancias ante todo.
No se niega a trabajar en estas empresas, y gana mucho dinero implementando estos sistemas.
No será una solución fácil ni rápida, y el público tiene que involucrarse más para que se aprueben las leyes y regulaciones necesarias.
¿Hay ejemplos de daños igual de concretos causados por la falta de regulación de la recopilación de datos?
A veces de verdad no puedo creer que haya gente que sostenga sinceramente que “no hace falta impedirlo”.
El enlace al reporte está al inicio del artículo:
https://www.ftc.gov/news-events/news/press-releases/2024/09/...
https://www.ftc.gov/system/files/ftc_gov/pdf/Social-Media-6b...
Edición: se agregó el enlace al PDF.
Es curioso que puedan segmentar grupos publicitarios con gran detalle según todo tipo de intereses específicos y contextos, pero no hayan logrado perfeccionar la tecnología para determinar si alguien es un niño.
Seguro que es una tecnología muy elusive que llevan años intentando implementar día y noche.
Casi parece que se benefician de hacerse los que no saben.
En resumidas cuentas, hicieron una investigación de 4 años para decirnos lo que ya sabíamos
La verdadera pregunta es qué va a hacer al respecto el gobierno federal, o quien sea
En la investigación científica pasa lo mismo, así que puede parecer un desperdicio de dinero
Pero hasta que realmente se hace ese trabajo, no se sabe
Los científicos y los funcionarios públicos no pueden citar el sentido común, y aunque la conclusión sea correcta, los detalles importan
La escala importa, y el mecanismo de funcionamiento importa
Porque el gobierno también quiere hacer vigilancia que no puede hacer directamente por ley
Si existe la vigilancia corporativa, el gobierno también puede usarla, así que también le conviene
Lo que realmente espero es algo como limitar la vigilancia extremadamente invasiva a empresas controladas dentro del país
De ninguna manera se limita a “decirnos lo que ya sabíamos”
Esta investigación es un primer paso importante para que el gobierno tenga certeza sobre lo que está ocurriendo antes de ejercer el poder del Estado, y eso es bueno
No es deseable ejercer el poder estatal con base en el ambiente o en rumores
La FTC de Biden ha respondido con bastante agresividad a varias prácticas anticonsumidor en toda la economía, y ese tipo de acciones suele seguir a informes como este
Creo que habrá medidas relativamente pronto
La información que almacenan las agencias de crédito y los bancos da mucho más miedo
Saben el salario y el lugar de residencia de todos los lugares donde has trabajado
Con tantas filtraciones recientes, ahora cualquiera puede encontrar esa información en la dark web
Ese caballo ya se escapó del establo hace más de 10 años
Antes trabajaba en seguridad y privacidad para reducir los riesgos de la distopía cyberpunk corporativa que se venía, pero ahora creo que el peor resultado sería que el gobierno tenga el monopolio de la vigilancia
La solución real es privilegiar legalmente o excluir ciertas categorías de información personal en procesos civiles y penales no violentos según cómo se haya recopilado, y exigir que las fuentes de recopilación de información de identificación personal relevantes para decisiones comerciales se divulguen en propuestas y contratos
Así, las aseguradoras y los acreedores tendrían que volver a asumir riesgos reales en vez de comportarse como rentistas, y la policía debería ser servidora pública, no gobernante, y tendría que demostrar que la fuente de la información personal usada como evidencia fue una fuente legal y reglamentada que incluía consentimiento explícito
No podemos detener el flujo de recolección de datos, pero sí podemos mejorar las leyes que lo gestionan
Si simplemente prohíbes la recopilación de información personal, eso puede aplicarse tanto al Estado como a los anunciantes
La información es poder, y si las aseguradoras y los productores saben todo sobre ti, te exprimen como a una víctima pobre
En mis días de mal humor, a veces creo que quienes comparten información de más se buscaron ese destino, pero hay pocos argumentos en contra de regular la recolección de información o de imponer una responsabilidad fuerte con multas monetarias severas en caso de filtraciones
La regulación en sí no sería difícil. La aplicación no será fácil, pero para muchas empresas el riesgo podría ser demasiado grande incluso para intentarlo
He llegado a considerar a la industria publicitaria como algo mucho peor que el complejo militar-industrial, y espero que algún día un poder superior castigue a sus ejecutivos involucrados con gran venganza y furia ardiente
Me parece hipócrita que el Estado regule la vigilancia de las empresas privadas
Con las técnicas de recolección de datos de esas empresas tienes la opción de no usarlas, pero no puedes rechazar la vigilancia estatal
No juguemos a poner al Estado del lado bueno y a las empresas del lado malo
Claro que, independientemente de ese problema, el Estado tampoco debería recopilar esta información
Los detectives privados solo ofrecen un pantano publicitario interminable, y eso me desgasta día tras día
Tampoco juguemos a presentar a las empresas como espectadoras inocentes y al Estado como un adversario malvado
No estamos atrapados en la oscuridad
Ya no es 2016, y si estás usando estas empresas, sabes muy bien lo que hacen
Hay que madurar y hacerse responsable de usar esos servicios, o borrar los datos e irse
No tengo ninguna simpatía por quien se sorprenda con esto en 2024
Y tú no eres dueño de tus datos
Esa idea en sí ya es un absurdo sin sentido
Si lo aceptas, la vida se vuelve mucho más simple
Si quieres crecimiento bursátil y empleos tecnológicos, eso es parte del trato
No lo creé yo ni es mi responsabilidad, pero esa es la realidad
Con esto, la fijación óptima de precios a nivel global se volverá una locura
Todo se cobrará al máximo que cada persona pueda pagar, pero la gente consumirá mucho menos y será más miserable, así que todo el sistema colapsará