La Agencia de Seguridad Nacional de Estados Unidos (NSA) admitió haber comprado registros de navegación en Internet a intermediarios de datos para identificar los sitios web y las aplicaciones que utilizan los estadounidenses y que de otro modo requerirían una orden judicial, dijo la semana pasada el senador estadounidense Ron Wyden.
«El gobierno de Estados Unidos no debería financiar ni legitimar una industria turbia cuyas flagrantes violaciones de la privacidad de los estadounidenses no sólo son poco éticas, sino ilegales», Wyden dicho en una carta dirigida a la directora de Inteligencia Nacional (DNI), Avril Haines, además de tomar medidas para «garantizar que las agencias de inteligencia estadounidenses sólo compren datos sobre estadounidenses que hayan sido obtenidos de manera legal».
Los metadatos sobre los hábitos de navegación de los usuarios pueden suponer un grave riesgo para la privacidad, ya que la información podría utilizarse para recopilar datos personales sobre un individuo en función de los sitios web que frecuenta.
Esto podría incluir sitios web que ofrecen recursos relacionados con la salud mental, asistencia para sobrevivientes de agresión sexual o abuso doméstico y proveedores de telesalud que se centran en anticonceptivos o medicamentos abortivos.
En respuesta a las preguntas de Wyden, la NSA dijo que ha desarrollado regímenes de cumplimiento y que «toma medidas para minimizar la recopilación de información de personas estadounidenses» y «continúa adquiriendo sólo los datos más útiles y relevantes para los requisitos de la misión».
La agencia, sin embargo, dijo que no compra ni utiliza datos de ubicación recopilados de teléfonos utilizados en Estados Unidos sin una orden judicial. También dijo que no utiliza información de ubicación obtenida de sistemas telemáticos automotrices de vehículos ubicados en el país.
Ronald S. Moultrie, subsecretario de defensa para inteligencia y seguridad (USDI&S), dijo que los componentes del Departamento de Defensa (DoD) adquieren y utilizan información disponible comercialmente (CAI) de una manera que «se adhiere a altos estándares de protección de la privacidad y las libertades civiles». en apoyo de misiones legales de inteligencia o ciberseguridad.
La revelación es otro indicio más de que las agencias de inteligencia y de aplicación de la ley están comprando datos potencialmente confidenciales de empresas que requerirían una orden judicial para adquirirlos directamente de las empresas de comunicaciones. A principios de 2021, era reveló La Agencia de Inteligencia de Defensa (DIA) fue comprar y usar datos de ubicación nacional recopilados de teléfonos inteligentes a través de intermediarios de datos comerciales.
La divulgación sobre la compra de datos personales sin orden judicial llega después de que la Comisión Federal de Comercio (FTC) prohibiera a Outlogic (anteriormente X-Mode Social) e InMarket Media vender información de ubicación precisa a sus clientes sin el consentimiento informado de los usuarios.
A Outlogic, como parte de su acuerdo con la FTC, también se le ha prohibido recopilar datos de ubicación que podrían usarse para rastrear las visitas de las personas a lugares sensibles, como clínicas de salud médica y reproductiva, refugios para víctimas de violencia doméstica y lugares de culto religioso.
La compra de datos confidenciales de estas «compañías turbias» ha existido en un área legal gris, señaló Wyden, y agregó que los consumidores no conocen a los intermediarios de datos que compran y revenden estos datos, quienes a menudo no saben quiénes son sus datos. se comparte o dónde se utiliza.
Otro aspecto notable de estas prácticas de datos oscuras es que las aplicaciones de terceros que incorporan kits de desarrollo de software (SDK) de estos corredores de datos y proveedores de tecnología publicitaria no notifican a los usuarios sobre la venta y el intercambio de datos de ubicación, ya sea con fines publicitarios o nacionales. seguridad.
«Según la FTC, no basta con que un consumidor dé su consentimiento para que una aplicación o un sitio web recopile dichos datos, se debe informar al consumidor y aceptar que sus datos se vendan a ‘contratistas gubernamentales con fines de seguridad nacional'», dijo el demócrata de Oregón. dicho.
«No conozco ninguna empresa que proporcione este tipo de advertencias a los consumidores antes de que se recopilen sus datos. Como tal, es probable que la infracción de la ley afecte a toda la industria y no se limite a este corredor de datos en particular».