La solicitud de rechazo de recolección de datos personales a Flock Safety y la respuesta de la empresa

 (honeypot.net)
2 puntos por GN⁺ 15 일 전 | 1 comentarios | Compartir por WhatsApp
  • Un residente de California presentó ante Flock Safety una solicitud de eliminación de datos personales y de prohibición de recolección relacionados con él, su familia y sus vehículos
  • La empresa rechazó la solicitud afirmando que solo es un procesador de datos (Processor) y que el control de los datos pertenece a las instituciones clientes
  • En su respuesta explicó la prohibición de venta de datos, la política de eliminación automática a los 30 días y el alcance de recolección centrado en imágenes de vehículos en espacios públicos
  • El solicitante sostiene que Flock Safety en realidad procesa directamente información de identificación personal, por lo que sí tendría la obligación de eliminarla
  • Aún no se ha definido una acción legal, aunque se mantiene abierta la posibilidad de contratar un abogado

La solicitud de eliminación de datos personales a Flock Safety y su respuesta

  • Un residente de California envió por correo electrónico a Flock Safety una solicitud de eliminación de datos personales y de prohibición de recolección conforme a la CCPA (Ley de Privacidad del Consumidor de California)
    • La solicitud exigía eliminar de todas las bases de datos la información relacionada con él, su vehículo y los miembros de su familia, y prohibir su futura recolección y almacenamiento
  • Flock Safety respondió que no podía procesar la solicitud
    • En el correo de respuesta, el nombre del destinatario estaba mal escrito dos veces
    • La empresa indicó explícitamente que “Flock Safety es un proveedor de servicios y procesador que trata datos en nombre de sus clientes, y los propietarios y controladores de los datos son los clientes”
    • Por lo tanto, señaló que la solicitud de eliminación debía presentarse directamente no a Flock Safety, sino a la institución que utiliza el servicio (cliente)
  • La empresa también explicó con más detalle sus políticas de recolección y conservación de datos
    • Según el contrato con el cliente, el alcance y las limitaciones del tratamiento de datos quedan definidos, y el cliente es el propietario de los datos
    • Prohibición de venta de datos: Flock Safety procesa los datos conforme a las instrucciones del cliente y no los vende ni los comparte con fines comerciales
    • Información recolectada: los lectores de placas vehiculares (LPR) no recopilan información sensible como nombres o direcciones, sino únicamente imágenes de vehículos y datos de apariencia captados en espacios públicos
    • Propósito de uso: los clientes usan los datos con fines de seguridad, como gestión de seguridad pública, respuesta a incidentes y resolución de delitos
    • Periodo de conservación: por defecto, los datos se eliminan automáticamente después de 30 días, aunque el cliente puede ajustar el plazo según la ley o sus políticas
  • Flock Safety indicó además que para más detalles se consulten la Privacy Policy y la LPR Policy

Interpretación legal y postura del individuo

  • El solicitante considera que la respuesta de Flock Safety es legalmente incorrecta
    • La razón es que, en la práctica, Flock Safety sí recopila y procesa información de identificación personal (PII)
    • Según su interpretación de la CCPA, quien procesa este tipo de información tiene la obligación de responder a solicitudes de eliminación
  • Por ahora no está definida una acción legal, aunque sigue abierta la posibilidad de contratar a un abogado

Lecturas relacionadas

1 comentarios

 
GN⁺ 15 일 전
Comentarios en Hacker News

  • Yo escribí este artículo. No esperaba que Flock atendiera mi solicitud, pero lo intenté como experimento. Sin embargo, su respuesta me dejó inquieto. Dijeron que “los datos pertenecen al cliente y el cliente decide su uso y compartición”, lo cual choca de frente con el espíritu de la CCPA. Son mis datos, así que no entiendo por qué sus clientes tendrían el control. No tenía muchas expectativas, pero igual fue decepcionante que me rechazaran de esta manera

    • Básicamente, lo que dijeron fue: “no nos contactes a nosotros, contacta al dueño de la cámara”. Pero los datos están almacenados en los servidores de Flock. El punto clave es que solo por prestar espacio de almacenamiento no dejan de tener responsabilidad sobre los datos. Más aún, el problema es que el diseño mismo del sistema está hecho para provocar invasiones a la privacidad. Esa es precisamente la crítica central contra Flock, y sería interesante si esto llegara a discutirse en los tribunales
    • Me pregunto si no valdría la pena volver a contactarlos y pedirles “entonces denme la lista de clientes y avísenme cada vez que tengan uno nuevo”
    • Sería interesante ver a un juez revisar cuánto control real tiene Flock sobre el sistema. Si construyeron un sistema que facilita tanto la recolección de datos personales, también deberían hacer igual de sencillo el proceso para atender solicitudes de eliminación. Al final, el mundo llegó a este punto donde las empresas toman la privacidad a la ligera porque los consumidores lo han tolerado. Qué bueno que haya personas interesadas en este tipo de problemas. Me pregunto si habrá alguna forma de apoyar económicamente los costos de una acción legal
    • Si lograran involucrar a youtubers como LegalEagle, probablemente esto recibiría más atención. También sería interesante que Benn Jordan participara como testigo experto
    • Pero, ¿de verdad son “mis datos”? Si voy manejando y me capta la cámara Ring de la casa de alguien, ¿realmente podría afirmar que la propiedad de ese video me pertenece?

  • No sé si este tipo de solicitud tenga sentido legalmente. Por ejemplo, si una ciudad instala un sistema ALPR para recolectar pruebas de delitos, una persona no puede simplemente pedirle a Flock “no recopilen mis datos”. Bajo la ley actual, eso suena como una exigencia demasiado amplia

  • En publicaciones recientes el nombre de la empresa aparece solo como “Flock” y ya no como “Flock Safety (YC S17)”; en este post anterior también pasó. Me pregunto si cambió la forma de mostrar YC

    • Tal vez YC quiere tomar distancia de la controversia de privacidad, aunque sinceramente dudo que tengan ese nivel de criterio
    • En general parece que esa clase de etiqueta se usa menos últimamente. De todos modos, el título lo escribe quien envía el enlace, así que no es algo automatizado

  • Flock respondió de forma parecida en Minnesota diciendo que “no somos el controlador de datos”. Y eso pese a que la MCDPA otorga el derecho a pedir eliminación

    • Eso es cumplir con la ley. Es poco probable que sus clientes estatales o municipales quieran aceptar ese tipo de solicitudes

  • La diferencia entre “Flock puede hacer lo que quiera” y “Flock debe borrar los datos si se lo piden” al final es la ley. Como los ciudadanos eligen a los legisladores, si quieren que esto sea prioridad tienen que presionar con el voto

  • Parece una pelea difícil. Flock sostiene que los datos son propiedad del gobierno y que ellos solo son un proveedor de almacenamiento. Si le mandaras una solicitud de eliminación a AWS o Google Cloud, probablemente responderían “solo los almacenamos”. En la práctica, sin una orden judicial será difícil obligarlos a borrar algo. Aun así, el hecho de que Flock afirme que no usa los datos para otros fines refuerza la analogía con el almacenamiento en la nube

    • Pero en la práctica, ¿hay alguna forma de verificar que un proveedor de nube no esté mirando los datos aparte de que aparezca un denunciante interno?

  • Según la política de LPR de Flock, dicen explícitamente que pueden usar los datos para cumplir exigencias legales o resolver problemas de seguridad y privacidad. Entonces, ¿este caso no entraría justamente como un tema de privacidad? Además, en la sección “Trust Us” falta transparencia sobre el uso de machine learning

    • Si miras su “Transparency Portal”, en realidad más del 30% de las agencias locales ni siquiera aparecen con nombre

  • Según las leyes en EE. UU. sobre este tipo de recolección de datos, la solicitud de eliminación debe hacerse al gobierno local. Se puede encontrar información relacionada en deflock.org. El sitio lo opera un residente de Boulder, Colorado

    • Sería divertido crear un sistema que mande solicitudes automáticamente a todos los gobiernos locales

  • Si Flock procesa datos PII, entonces todos sus clientes pasan a ser subprocesadores (subprocessors). Por lo tanto, Flock tendría que firmar acuerdos de procesamiento de datos (DPA) con ellos. Si llega una solicitud de eliminación, también tendría que trasladarse a todos los subprocesadores como AWS, GCP y Cloudflare

    • Pero en realidad es al revés. Flock es el subprocesador, y la ciudad o municipalidad que encargó recolectar esos datos es el controlador. Por lo tanto, la solicitud debe hacerse a ellos

  • Si esa excusa de ellos fuera válida, la CCPA quedaría inservible

    • Pero puede que desde el inicio la solicitud no haya sido válida. Por ejemplo, no puedes pedirle a una empresa que opera cámaras de velocidad para la policía que “borre mi foto”. Los datos pertenecen al gobierno
    • Además, desde el momento en que se crea una regulación, empiezan a surgir formas de rodearla. Incluso antes de que exista la ley, ya se diseña la salida para esquivarla