La Comisión Federal de Comercio de EE. UU. (FTC, por sus siglas en inglés) anunció el lunes que presentó una demanda contra el corredor de datos Kochava Inc. por vender datos de geolocalización de “cientos de millones de dispositivos móviles”, dice, que podrían usarse para rastrear los movimientos de personas, incluidos aquellos hacia y desde lugares sensibles. Específicamente, la FTC dijo que los datos podrían revelar las visitas de las personas a lugares como clínicas de salud reproductiva, violencia doméstica o refugios para personas sin hogar, centros de recuperación de adicciones y lugares de culto.
Esta información personal y privada podría exponer a las personas a “amenazas de estigma, acoso, discriminación, pérdida de empleo e incluso violencia física”, explicó la FTC en comunicado de prensa.
La demanda tiene como objetivo detener las prácticas de recopilación de datos de Kochava que involucran datos sensibles de geolocalización y solicitará que la empresa elimine los datos que ya ha recopilado.
Su llegada también indica que la FTC está tomando medidas enérgicas contra los corredores de datos móviles cuyos negocios dependen de la recopilación y reventa de datos de los teléfonos inteligentes de los consumidores, una práctica industrial de larga data que tiene numerosas implicaciones de privacidad pero que a menudo es desconocida para los usuarios finales que se ven afectados. La medida también sigue a un replanteamiento significativo del seguimiento por parte de Apple, que actualizó su sistema operativo móvil para permitir a los consumidores optar por no participar en algunas prácticas de recopilación de datos por aplicación.
Más recientemente, el Comité de Supervisión de la Cámara de Representantes de los EE. UU. comenzó a investigar cómo las prácticas comerciales de las aplicaciones de seguimiento de períodos y los corredores de datos podrían potencialmente armar los datos de salud privados de los consumidores en la era posterior a Roe v. Wade, informó TechCrunch.
Kochava, con sede en Idaho, no es un nombre familiar, pero tiene una huella considerable en la industria de recopilación de datos. La empresa es un corredor de datos de ubicación que proporciona datos de geolocalización precisos de los teléfonos inteligentes de los consumidores y también compra datos de otros corredores para revenderlos a los clientes. Estas fuentes de datos a menudo son utilizadas por clientes que desean analizar cosas como el tráfico peatonal en las tiendas locales u otras ubicaciones. Estos datos en sí son muy precisos: incluyen cosas como coordenadas de latitud y longitud con marca de tiempo que muestran la ubicación exacta de los dispositivos móviles, que además se asocia con un identificador único, como una ID de dispositivo y otra información, como una dirección IP, tipo de dispositivo y más.
Este ID de dispositivo, o ID de publicidad móvil, es un identificador único que se asigna al dispositivo móvil de un consumidor para ayudar a los vendedores que desean anunciarse al usuario final. Aunque los consumidores pueden restablecer esta ID en cualquier momento, deben saber hacerlo y comprender en qué parte de la configuración de su dispositivo está disponible esta opción.
Según la propia descripción de Kochava de su producto, citada por las quejas de la FTC, la empresa ofrece a los clientes “datos brutos de latitud/longitud con volúmenes de alrededor de 94 mil millones de transacciones geográficas por mes, 125 millones de usuarios activos mensuales y 35 millones de usuarios activos diarios, en promedio observando más de 90 transacciones diarias por dispositivo.” Vende sus fuentes de datos por suscripción en sitios de acceso público, incluso en AWS Marketplace hasta junio de 2022. Para acceder a la fuente, un comprador necesitaría una cuenta gratuita de AWS y $ 25,000 para la suscripción a la fuente de datos de ubicación de Kochava. También estaba disponible una muestra de datos que contenía más de 327 millones de filas y 11 columnas de datos relacionados con más de 61,8 millones de dispositivos móviles únicos.
Estos datos no son anónimos, dice la FTC, y pueden usarse para identificar al usuario o propietario del dispositivo móvil. Esto es posible porque otros corredores de datos venden específicamente servicios que funcionan para hacer coincidir estas identificaciones de publicidad móvil con información fuera de línea, como nombres y direcciones físicas de los consumidores.
Además de poder rastrear a los consumidores que visitan lugares sensibles, la FTC señaló que los datos podrían usarse para hacer inferencias sobre la identificación LGBTQ+ de un consumidor o visitas a otras instalaciones médicas más allá de las que brindan atención reproductiva. También podría usarse para vincular esa actividad con la dirección de la casa de alguien.
Y, a la luz de la reversión de Roe v. Wade, la FTC señala que estos datos podrían usarse no solo para identificar a las personas que visitan las clínicas de salud reproductiva, sino también a los profesionales médicos que realizan o asisten en la realización de servicios de aborto. Este fue el tema de un informe reciente de Placa base de VICE, pero se había centrado en un corredor de datos diferente conocido como SafeGraph. El corredor junto con Placer.ai acordaron en julio dejar de vender datos de ubicación de personas que visitan clínicas de aborto después de que la senadora Warren y otros 13 senadores escribió a las empresas para solicitar respuestas sobre sus prácticas de recopilación de datos y les pidió que dejaran de vender datos relacionados con las visitas a las clínicas de aborto.
Ese mismo mes, Google dijo que eliminaría automáticamente el historial de ubicación de lugares “particularmente personales” de las cuentas de los usuarios, incluidas clínicas de aborto, refugios, centros de tratamiento de adicciones y otros. También aconsejó a sus usuarios de Fitbit cómo eliminar sus registros manualmente.
La FTC tiene como objetivo enjuiciar a Kochava en base a numerosas violaciones de la Ley de la FTC, incluidas las relacionadas con la venta desleal de datos confidenciales y daños al consumidor. Está buscando una orden judicial permanente para prevenir futuras violaciones y cualquier reparación adicional según lo determine el tribunal.
“Donde los consumidores buscan atención médica, reciben asesoramiento o celebran su fe es información privada que no debe venderse al mejor postor”, dijo Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC, en un declaración. “La FTC está llevando a Kochava a los tribunales para proteger la privacidad de las personas y detener la venta de su información confidencial de geolocalización”.
La votación de la Comisión que autorizó la presentación de la denuncia contra Kochava fue de 4 a 1, y el comisionado Noah Joshua Phillips fue el único que votó en contra.
1. Hoy @FTC demandó al corredor de datos Kochava por vender datos de geolocalización que pueden usarse para rastrear personas en centros de recuperación de adicciones, clínicas de salud reproductiva, lugares de culto, refugios y otros lugares sensibles.https://t.co/um54nTOHCQ
— Lina Khan (@linakhanFTC) 29 de agosto de 2022
La noticia de esta última acción no sorprende. la agencia tenia advirtió a las empresas en julio planeaba hacer cumplir la ley sobre el uso ilegal y el intercambio de datos confidenciales de los consumidores y dijo este mes que era explorando nuevas reglas eso tomaría más medidas enérgicas contra las empresas que “recopilan, analizan y se benefician de la información sobre las personas”.
Sin embargo, esta no es la primera acción que ha tomado la FTC que apunta directamente a una empresa involucrada en la recopilación de datos confidenciales. El año pasado, la FTC tomó medidas contra la aplicación de seguimiento de fertilidad Flo por compartir datos confidenciales con terceros. La aplicación no recibió una sanción financiera, pero se destacó por ser la primera vez que el regulador ordenó una notificación de una acción de privacidad de este tipo.
Kochava dijo que publicará su declaración hoy a las 2:30 pm EDT. Actualizaremos entonces con su respuesta.
“Cosechar nuestros comportamientos de ubicación se ha convertido en una forma importante en que las aplicaciones, los operadores de telefonía móvil y otras empresas de ‘inteligencia de ubicación’ monetizan nuestra información”, señaló Jeff Chester, director ejecutivo de derechos digitales y defensor de la protección del consumidor. Centro para la Democracia Digital, en un comunicado posterior al anuncio de la FTC. “La FTC dice que la información sobre los lugares que visitamos son datos confidenciales y no se pueden usar de la manera que espera el negocio de marketing de vigilancia. Con un voto bipartidista que apoya la demanda, la acción de la comisión de hoy demuestra que la privacidad es un tema clave para ambas partes. Está advirtiendo a la industria de datos y plataformas que tiene una lucha seria en sus manos”, dijo.