SPOTTING: La empresa estadounidense tiene información sobre mi ubicación.
Hay 160 aplicaciones en mi teléfono. No sé qué están haciendo, pero decidí averiguarlo.
Tenía la sensación de que estas aplicaciones me estaban espiando. Por supuesto, no me escuchan, pero monitorean constantemente dónde estoy. Que cada uno de mis pasos se transmita a alguien: cuando voy al supermercado, bebo o charlo con amigos.
Sé que hay quien compra y vende esta información. ¿Cómo nos rastrean y qué quieren hacer con nuestros datos?
Para llegar al fondo, comencé un experimento en febrero. Instalé un montón de aplicaciones en mi teléfono de repuesto y luego comencé a llevarlo conmigo a todas partes.
O casi en todas partes. Lo dejé en casa cuando me hicieron la prueba de COVID-19 en abril.
Facilidad de abuso
La sensación de ser observado aumentó con los años y tenía motivos para ello. Esta primavera formé parte del equipo de NRK (Norwegian Broadcasting Corporation) que documentó cómo se rastrearon más de 8.300 teléfonos móviles en hospitales o refugios para mujeres.
Por 35,000 NOK (€ 3,300 / $ 4,000), obtuvimos acceso a datos de ubicación que muestran dónde viajaron decenas de miles de noruegos en 2019.
Uno de ellos era Karl Björn Bernhardsen, de 31 años, de Stavanger. La información nos permitió identificarlo fácilmente a partir de los datos que, según el proveedor de datos , han sido anonimizados.
Cuando lo llamamos, pudimos decirle dónde estaba casi todos los días de 2019. Zoo. Entrevista de trabajo. En el hospital, donde permaneció varios días como padre de su primer hijo.
Entonces Karl nos dijo que si cae en las manos equivocadas, cualquiera puede usar esta información.
Traición
A menudo se nos dice que el rastreo comercial no es tan malo: "Solo se usa para publicidad". Pero hay muchos otros interesados en la huella digital de nuestros teléfonos.
En una publicación reciente de Vice Motherboard, se descubrió que el ejército de EE. UU. Está comprando datos de ubicación y que la aplicación de oración musulmana está compartiendo datos de ubicación de usuarios con contratistas de defensa.
"Parece una traición", dijo el director local del Consejo de Relaciones Estadounidenses-Islámicas.
En 2018, el dueño de un restaurante cerrado Kentucky Fried Chicken fue arrestado en una ciudad fronteriza en Arizona. Se sospecha que está involucrado en el tráfico de drogas desde México a través de un túnel debajo de la frontera con Estados Unidos.
TÚNEL: Un túnel de 180 metros que comienza en la casa mexicana y termina en el restaurante interior de KFC.
Según el Wall Street Journal (WSJ) , el crimen se resolvió en parte porque el Servicio de Inmigración y Control de Aduanas (ICE) de EE. UU. Utiliza datos de ubicación distribuidos comercialmente.
Según un artículo del WSJ, parece que los datos comerciales supuestamente se transmitieron al departamento de deportación de ICE. La Oficina de Aduanas y Protección Fronteriza de los Estados Unidos (CBP) también ha adquirido acceso a datos de ubicación "globales" .
Hay una razón por la que se pide a los periodistas de NRK que piensen detenidamente antes de llevar el teléfono a una fuente confidencial. Las autoridades pueden acceder a información sobre su ubicación incluso sin el permiso de la corte.
Si mis datos de ubicación caen en las manos equivocadas, también podrían afectar a otras personas. Constantemente tememos que sea posible identificar quién proporcionó información de manera confidencial.
Necesito acceso a mis datos
La empresa que suministró información al ICE sobre el restaurante de comida rápida se llama Venntel. Según los registros de la empresa, está ubicada en un clúster industrial en Virginia.
En la misma área, puede encontrar nombres familiares del sector de defensa, por ejemplo, Lockheed Martin, la compañía que creó el F-35, y el ex empleador de Edward Snowden, Booz Allen Hamilton. Basta con hacer un viaje de 20 minutos hacia el este y se encontrará en Langley, Virginia, donde se encuentra la sede de la CIA.
GRUPO DE DEFENSA: Venntel está registrado en este edificio en el Clúster Industrial de Virginia, EE. UU.
El 20 de agosto, solicité una copia de toda la información que Venntel tenía sobre mí. Como resultado del RGPD de 2018, todos los europeos tienen derecho a hacerlo.
Al día siguiente, el departamento legal de Venntel me pidió algunas de las direcciones que había visitado recientemente.
"Después de recibir esta información, primero verificaremos si el ID de anunciante que proporcionó está en nuestra base de datos", decía el correo electrónico.
El ID de anunciante es lo que tiene cada teléfono inteligente. Este identificador es la clave para rastrear a los usuarios de teléfonos a través del tiempo y las aplicaciones. Los propietarios de teléfonos pueden restringir la facilidad de acceso a este identificador, pero pocos lo hacen .
Le he proporcionado a Venntel la dirección de mi oficina en el edificio NRK y mi apartamento en Oslo.
Los datos de ventas
Casi un mes después, recibí un interesante adjunto de correo electrónico de Venntel. Contenía información sobre dónde había estado 75406 veces desde el 15 de febrero. De repente, tuve la oportunidad de seguir todos mis pasos: en un paseo, en un bar, visitando a mi abuela en el sur de Noruega.
PUNTOS: La foto de la izquierda muestra el registro de mis movimientos en las cercanías de mi apartamento. En la foto de la derecha puede ver un mapa de la oficina de NRK en el área de Marienlyst de Oslo. Con el tiempo, se ha acumulado una gran cantidad de ubicaciones registradas en estos lugares.
No hay números de teléfono ni nombres en los datos. Sin embargo, casi cualquiera podría darse cuenta fácilmente de que estos son mis movimientos. Una simple búsqueda en Google y en la guía telefónica revelaría que Martin Gundersen vive en Sorgentfrigata en Oslo y trabaja para NRK Marienlyst.
Venntel también me notificó que estaba compartiendo mi información con sus clientes. Sus clientes utilizan esta información para fines tales como la aplicación de la ley federal y la seguridad nacional.
Venntel se negó a revelar quiénes son estos clientes.
Un secreto muy bien guardado
¿Cómo podrían mis datos de ubicación terminar con Venntel en los EE. UU.? Ninguna de las aplicaciones que instalé mencionó a esta empresa. En ninguna parte, ni siquiera en una confusa política de privacidad que casi nadie lee antes de hacer clic en Aceptar.
Venntel pudo informarme que recibió mi información de su empresa matriz, Gravy Analytics, y que rara vez conocía las aplicaciones asociadas con ella.
Gravy Analytics es un corredor de datos de marketing. La empresa recopila cantidades masivas de datos de consumidores para mejorar la orientación de sus anuncios. Gravy Analytics también afirma no saber nada sobre el origen de la mayoría de los datos. Sin embargo, la respuesta a la solicitud de acceso contenía los nombres de dos nuevas empresas más: Predicio (Francia) y Complementics (EE. UU.).
Las nuevas solicitudes de acceso revelaron que algunos de los datos de ubicación que finalmente terminaron en Venntel provinieron del desarrollador de aplicaciones eslovaco Sygic, que tiene 70 aplicaciones en su cartera.
La página web del desarrollador afirma que su aplicación más popular tiene 200 millones de usuarios.
El 15 de febrero instalé dos aplicaciones de navegación de Sygic. Ambos me pidieron que aceptara los términos de personalización de anuncios.
Si eres una de esas personas que apenas lee lo que consienten, entonces no estás solo. De hecho, muy pocas personas leen los términos de uso de las aplicaciones y servicios instalados.
Hice clic en "Acepto". Desde entonces, se ha llegado a un acuerdo vinculante entre la aplicación y yo.
Leyes de privacidad violadas
Parece que cuando Gravy Analytics recibió los datos, se violó el acuerdo con Sygic. Gravy Analytics establece en su política de privacidad que mi información personal se puede utilizar en un conjunto de servicios para socios y clientes de la empresa. Según su propia política de privacidad, sus objetivos incluyen, entre otras cosas, detección de fraudes, aplicación de la ley y seguridad nacional.
En otras palabras, Gravy Analytics ha compartido mis datos de ubicación con su subsidiaria, que brinda estos servicios específicos.
Lo que nos devuelve a mi acuerdo con Sygic el 15 de febrero.
Consulté con tres abogados, Malgorzata Agnieszka Sindecka, Lee Baygrave y Arve Feyen; todos son especialistas en privacidad. Creen que la capacidad de usar mi información personal para fines para los que no he dado mi consentimiento es una clara violación del GDPR, ya que esta ley impone restricciones y requisitos estrictos sobre lo que se puede hacer con la información personal.
REQUISITOS ESTRICTOS: "Si resulta que los socios pueden usar información personal para fines distintos a los que usted acordó, perderá su privacidad", dice Sindetska.
Esta proliferación de funciones es inaceptable. Según la profesora asociada de la Facultad de Derecho de la Universidad de Bergen, Malgorzata Agnieszka Sindecka, tal práctica socava no solo el principio de restricciones específicas, sino también los principios de transparencia y honestidad definidos en el GDPR.
Pronóstico del tiempo divertido con un truco
Además, según los archivos de datos de Gravy Analytics y Venntel, la aplicación meteorológica Fu *** Weather también me siguió. A partir de la descripción, la aplicación debe presentar el pronóstico del tiempo de una manera sarcástica y cáustica. ¿Quién no quiere darle vida a su pronóstico del tiempo diario con un montón de lenguaje soez?
Al instalar la aplicación este otoño, acepté que mis datos se pueden usar para análisis y "monetización", es decir. financiar la aplicación.
Los mismos tres abogados que consulté creen que este acuerdo no cumple con el RGPD porque no queda claro qué se entiende por "monetización". Además, la recopilación de análisis no es coherente con todas las prácticas comerciales de Venntel.
MALAS CONDICIONES DEL TIEMPO: Funny Weather no recomienda sacar la cabeza por la ventana para comprobar el tiempo, ya que puede arruinar tu estado de ánimo.
El desarrollador de Funny Weather Lavius Fras no trabaja para ninguna gran empresa. Dijo que no conocía a Venntel, pero dijo que no ocultó el modelo de negocio de la aplicación.
"El hecho de que me asocie con empresas que utilizan algunos de los datos a los que tiene acceso la aplicación para ganar dinero no es confidencial", me escribió Lavius Fras en un correo electrónico.
Frase reconoce que el apéndice podría haber sido más claro sobre las implicaciones de poder "monetizar". Pretende realizar cambios en la política de privacidad para ello, pero sigue manteniendo que los usuarios han sido debidamente informados.
Incapacidad de rastrear
La forma en que los datos de Funny Weather llegaron a Venntel sigue siendo un misterio, pero es probable que pasen por la empresa francesa Predicio, que figura como intermediaria en la política de privacidad de la aplicación.
De qué otras aplicaciones Venntel puede recibir datos es un secreto muy bien guardado. Incluso los propietarios de aplicaciones móviles no saben en qué están involucrados.
“No conocemos a Venntel”, dijo Zuzana Kasanova de Sygic cuando le pregunté cómo llegaron a estar mis datos con la empresa.
Kasanova declaró que mi consentimiento se obtuvo legalmente de acuerdo con el GDPR, y que los socios de su empresa bajo el contrato están obligados a usar mis datos solo con fines de marketing.
“Según la información que ha proporcionado, no está claro que la fuente de los datos que recibió Venntel sobre usted fuera Sygic GPS Navigation. Si resulta que es así, entonces se trata de una violación de los acuerdos que hemos celebrado con nuestros socios ".
El análisis técnico de NRK muestra que los datos de Sygic terminaron en Venntel. Por ejemplo, el ID utilizado por Complementics para los datos de Sygic también está presente en los datos de Venntel.
Kasanova no respondió a la pregunta de qué implicaciones tendrá esto para las asociaciones de Sygic con Predicio o Complementics.
Un sistema construido sobre la ilegalidad
Con la introducción del GDPR 2018, los defensores de la privacidad han logrado una importante victoria. La ley paneuropea estaba destinada a proporcionar una supervisión más estricta de las empresas que comercializan datos de usuarios. Sin embargo, algunas partes de la industria de la publicidad digital no han cambiado mucho.
“Las empresas están tratando de apegarse a las viejas prácticas y disfrazarlas como algo diferente, pero en el fondo siguen siendo las mismas”, dice David Martin de Bruselas.
Dirige la División de Derechos Digitales de BEUC, el grupo paraguas de organizaciones europeas de consumidores. Según Martin, "partes del sistema de publicidad digital se basan en una violación casi sistemática del GDPR".
Él comparte la opinión de la mayoría de los defensores de la privacidad: GDPR es excelente en teoría, pero en la práctica tiene serios defectos.
David Martin, BEUC.
El activista de privacidad e investigador austriaco Wolfi Crystal ha investigado cómo las empresas utilizan nuestros datos durante muchos años. Recientemente, ayudó al Consejo de Consumidores de Noruega con el informe "Fuera de control" que documenta muchas posibles violaciones de la privacidad en el ecosistema de aplicaciones.
“En la mayoría de los casos, es difícil o incluso imposible rastrear el movimiento de datos personales entre aplicaciones, intermediarios de datos y sus clientes”, dice.
Según Krystle, las autoridades de protección de datos de la UE no pueden o no quieren poner fin a las violaciones del RGPD.
“No veremos ningún cambio sin imponer enormes multas y prohibiciones al procesamiento de datos. Los estados miembros de la UE y la Comisión de la UE deben actuar ”, dice.
La pregunta es si a alguien le gustaría escucharlo. Y también en lo fácil que será procesar por presuntas violaciones. Arve Føyen, socio del bufete de abogados Føyen Torkildsen, cree que es difícil sancionar a empresas como Venntel, ya que no tienen oficinas en Europa.
“Me temo que esto crea una impresión ilusoria de la aplicación de las reglas, pero en la práctica es simplemente imposible emprender acciones legales”, explica Feyen.
Álbum de fotos digital
Han pasado varios meses desde que traje mi teléfono de repuesto al hotel deportivo Ullevålseter, un lugar popular en el bosque de Nordmark para tomar café y gofres.
En mi pantalla, veo los puntos serpenteando por los senderos del bosque. Muchos racimos donde descansé; donde caminé rápidamente, se dispersan con menos frecuencia.
MERIENDA: Vengo del camino correcto. Luego me detuve en el patio, confundiéndome un poco, y luego encontré un banco de madera a la derecha. En general, esta foto captura 36 minutos del domingo 9 de agosto.
Era un domingo caluroso de finales de verano. Los tábanos pululaban, especialmente sobre las áreas pantanosas.
Por lo general, olvidamos la mayoría de los lugares en los que hemos estado y lo que hicimos allí. Sin embargo, un par de pistas son suficientes para que vuelvan los recuerdos. Recuperar mis pasos ese domingo de verano fue como hojear un viejo álbum, cada página tiene su propia historia.
Pero lo curioso es que estos datos, mis movimientos, los almacena otra persona.
Es muy desagradable seguir tus propios pasos, incluso si no están asociados con ninguna aventura amorosa, reuniones secretas o problemas delicados de salud.
La mayoría de nosotros tenemos momentos en nuestras vidas que no queremos compartir. Incluso con sus seres queridos, jefes o el estado.
Pude recuperar el flujo de datos de las aplicaciones móviles a Venntel, pero aún quedaban muchas preguntas sin respuesta. ¿Qué clientes de Venntel recibieron información sobre mí? ¿Eran estas empresas del sector de defensa, de inteligencia o del FBI?
Respuestas que son difíciles de conseguir
Gravy Analytics no respondió a nuestras múltiples solicitudes. Su subsidiaria Venntel se negó a ser entrevistada por teléfono o correo electrónico.
En una breve declaración, Venntel afirma que los movimientos de mi teléfono no fueron transmitidos por ICE o CBP. También escribió que no tiene nada que ver con los proveedores de aplicaciones Sygic o Lavius Fras. (NRK nunca ha declarado que tienen un vínculo directo, pero ha documentado que la empresa obtiene información de estas aplicaciones a través de terceros).
"No dejaremos más comentarios sobre nuestras relaciones comerciales o interpretación de la legislación", escribió Venntel.
En una declaración a NRK, la Protección Fronteriza de EE. UU. (CBP) dijo que tiene acceso limitado a los datos disponibles comercialmente y que se está utilizando de acuerdo con las reglas y regulaciones pertinentes. (El texto completo de la declaración se puede encontrar al final del artículo).
El oficial de prensa de CBP, Jason Givens, no respondió a las preguntas de seguimiento sobre las restricciones que se imponen a los CBP cuando se trata de recuperar datos sobre ciudadanos europeos o teléfonos ubicados fuera de las fronteras estadounidenses.
El FBI y el ICE también tienen acuerdos con Venntel, pero no respondieron preguntas sobre la capacidad de la compañía para rastrear a los europeos dentro y fuera de Europa.
Cuando Predicio respondió a la solicitud de acceso el 11 de agosto, la empresa no mencionó las transferencias de datos de Venntel en febrero-julio. (La aplicación Funny Weather se instaló el 10 de agosto). Predicio no respondió a mis repetidas solicitudes de entrevistas.
El cofundador de Complementics, Walter Harrison, afirmó que mis datos solo se utilizaron para análisis de marketing. Harrison no quiso participar en la entrevista y no respondió preguntas sobre la relación de la empresa con Gravy Analytics. Cuando Vice Motherboard le preguntó a Harrison sobre Gravy Analytics, él dijo que el socio contractual de la compañía "no puede compartir directa o indirectamente ningún dato recibido de Complementics con ninguna agencia de inteligencia, inmigración o aplicación de la ley de Estados Unidos".
: , , . , . Venntel (, , , ), Gravy Analytics (, , , ), Sygic (, ), Predicio (, ), og Complementics (, , ). .
« — . , . , , . , , „ “ 1974 , , , , . , ».
ICE
« (U.S. Immigration and Customs Enforcement, ICE) , . Venntel : FPDS. GDPR ICE Venntel».
CBP
«- (U.S. Customs and Border Protection, CBP) , . , , CBP .
CBP , , , . , CBP . CBP, , CBP , ».
Los servidores de alquiler para cualquier propósito son solo servidores virtuales de nuestra empresa.
Durante mucho tiempo hemos estado utilizando exclusivamente unidades de servidor rápidas de Intel y no ahorramos en hardware , solo en equipos de marca y las soluciones más modernas del mercado para brindar servicios.
