FCC multa grandes operadoras dos EUA em US$ 200 milhões por compartilhamento não autorizado de dados de localização
(docs.fcc.gov)- A FCC confirmou multas que somam quase US$ 200 milhões contra AT&T, Sprint, T-Mobile e Verizon por um caso em que o acesso a informações de localização em tempo real de clientes foi compartilhado externamente sem consentimento
- As operadoras venderam o acesso a dados de localização a agregadores, que por sua vez o revenderam a provedores terceirizados de serviços baseados em localização
- A estrutura transferia aos destinatários subsequentes a responsabilidade de obter o consentimento dos clientes, mas em vários casos não houve consentimento válido, e as salvaguardas também não foram suficientes
- As multas são de mais de US$ 12 milhões para a Sprint, mais de US$ 80 milhões para a T-Mobile, mais de US$ 57 milhões para a AT&T e cerca de US$ 47 milhões para a Verizon; Sprint e T-Mobile se fundiram após o início da investigação
- A Section 222 do Communications Act exige a proteção de informações de clientes, incluindo dados de localização, e consentimento explícito; as mesmas obrigações se aplicam ao compartilhamento com terceiros
Estrutura de venda de dados de localização e valor das multas
- Em 29 de abril de 2024, a FCC aplicou multas a grandes operadoras móveis dos EUA por compartilharem ilegalmente o acesso a dados de localização de clientes
- Sprint: mais de US$ 12 milhões
- T-Mobile: mais de US$ 80 milhões
- AT&T: mais de US$ 57 milhões
- Verizon: cerca de US$ 47 milhões
- Cada operadora vendeu o acesso a dados de localização de clientes a agregadores, que o revenderam a provedores terceirizados de serviços baseados em localização
- As operadoras tentaram repassar aos destinatários subsequentes a obrigação de obter consentimento dos clientes, mas em vários casos não foi obtido consentimento válido dos clientes
- Mesmo depois de tomarem conhecimento de que as salvaguardas não eram eficazes, as quatro operadoras continuaram operando programas de venda de acesso a dados de localização sem medidas razoáveis para impedir acessos não autorizados
- A presidente da FCC, Jessica Rosenworcel, destacou que esses dados são informações sensíveis capazes de revelar os trajetos e a identidade dos clientes
Origem da investigação e base legal
- A investigação começou a partir de uma carta pública do senador Ron Wyden em 2018 e de reportagens públicas sobre casos de uso relacionados
- Segundo as reportagens, por meio de um serviço de consulta de localização operado pela Securus, fornecedora de serviços de comunicação para unidades correcionais, um xerife do Missouri conseguiu rastrear a localização de várias pessoas
- A FCC concluiu que, mesmo depois de tomarem conhecimento do acesso não autorizado, as quatro operadoras não estabeleceram salvaguardas razoáveis para verificar se os provedores de serviços baseados em localização de fato obtinham o consentimento dos clientes
- A Section 222 do Communications Act e outras leis relacionadas impõem às operadoras as seguintes obrigações
- Medidas razoáveis para proteger determinadas informações de clientes, incluindo dados de localização
- Manutenção da confidencialidade das informações dos clientes
- Obtenção de consentimento explícito e afirmativo do cliente antes de usar, divulgar ou permitir acesso às informações
- Aplicação das mesmas obrigações também ao compartilhar informações de clientes com terceiros
Confirmação das ordens e medidas posteriores
- Estes Forfeiture Orders confirmam os Notices of Apparent Liability emitidos em fevereiro de 2020
- As multas da AT&T e da Sprint permanecem iguais às da etapa de NAL
- As multas da T-Mobile e da Verizon foram reduzidas após análise adicional dos materiais apresentados nas respostas ao NAL
- A lei não permite aumentar o valor de confisco por violações específicas após a emissão do NAL
- Ordens relacionadas:
- A presidente da FCC criou em 2023 a Privacy and Data Protection Task Force, que coordena dentro da agência demandas relacionadas à elaboração de regras, fiscalização e conscientização pública nas áreas de privacidade e proteção de dados
- A FCC afirmou que este anúncio é uma divulgação informal de uma ação da comissão, e que a publicação do texto completo da ordem da comissão constitui a ação oficial
1 comentários
Comentários do Hacker News
O ponto central é a transparência. Não uma “política de privacidade”, mas querer ver para quem a empresa vendeu ou repassou minhas informações, e quais restrições estavam associadas a essa venda
O conceito é simples. Se coletaram meus dados e permitiram que outras partes tivessem acesso a eles, deveriam informar isso e permitir que eu verificasse isso facilmente e bloqueasse. Se as pessoas souberem o que realmente está acontecendo, a maior parte do abuso de dados pessoais desapareceria
Seria melhor eliminar de vez a compra e venda de dados pessoais, mas como primeiro passo seria viável algo como “multas enormes para empresas que não rastrearam exatamente quais entidades tocaram nos dados do usuário”
US$ 200 milhões é troco. Essas operadoras fazem isso há muito tempo, e nada vai mudar
No máximo, vão acrescentar uma nota de rodapé à política de privacidade
A Securus era originalmente uma empresa focada principalmente em serviços ligados ao sistema prisional dos EUA, mas coletou os dados de todos e depois reempacotou essa capacidade e esses relacionamentos como serviço. Depois da decisão da FCC, parece ter desaparecido numa tentativa tosca de evitar mais processos
https://securustechnologies.tech/investigative/investigation...
Ainda não há detalhes técnicos sobre a precisão do rastreamento. É nebuloso onde termina o modem da operadora e onde começam firmware/hardware, e isso talvez seja intencional. É improvável que fosse possível consultar coordenadas GPS em tempo real; é muito mais provável que consultassem o ASN a partir da torre de celular para fornecer uma faixa aproximada da localização do usuário
A FCC arrecadou uma multa de US$ 200 milhões, mas não houve prisão, e dos US$ 200 milhões nada vai para as pessoas cuja privacidade foi violada. No fim, é só uma segunda-feira comum, tudo como sempre
Os acionistas não gostam da situação de “já fomos multados por isso, continuamos mesmo assim, e agora vamos ter de pagar multa de novo”. E, se a empresa já foi realmente multada no passado pela mesma coisa, governos, tribunais e jurados também ficam mais céticos em relação à defesa de “não sabíamos”
Eu trabalhava em um hedge fund, e eles compravam todo mês dados de ping de celular de 125 milhões de americanos
Todo tipo de algoritmo de deep learning analisava compras, armazéns logísticos e outros fluxos de pessoas. As pessoas não fazem ideia do nível de entendimento que investidores privados já alcançaram. É muito mais profundo do que aparece nos números públicos, e algumas das pessoas mais inteligentes do planeta extraem fatos impressionantes dos hábitos cotidianos dos americanos. Quase todos os algoritmos estatísticos conhecidos pela humanidade já foram aplicados a esses dados
Por exemplo, suponha que eu compre tudo em dinheiro, use um SIM pré-pago e um celular sem meu nome no histórico de compra, e não execute nada que eu mesmo não tenha compilado a partir do código-fonte. Se eu usasse algo como NixOS no celular, meus dados seriam inúteis o bastante para ficarem fora desses conjuntos? Ou eles já estão tão acostumados a conectar tantos pontos de dados que viver só no dinheiro perdeu quase todo o sentido?
Com base na receita diária combinada de T-Mobile, AT&T e Verizon, elas levam cerca de 9 horas para faturar US$ 196 milhões
Supondo receita diária combinada de US$ 45,5 milhões para a T-Mobile, US$ 125,6 milhões para a AT&T e US$ 349,3 milhões para a Verizon, isso dá um total de US$ 520,4 milhões por dia. Dividindo por 24 horas, dá US$ 21,6 milhões por hora; dividindo a multa de US$ 196 milhões por isso, chegamos a cerca de 9,07 horas
Uma forma mais interessante seria olhar para o lucro, que está mais próximo do impacto real
A parte de “compartilhar o acesso às informações de localização do cliente sem consentimento” por si só não parece suficiente para impedir que as operadoras simplesmente adicionem “compartilhamento de dados de localização” a um EULA ou política de privacidade que ninguém lê, aleguem que agora receberam consentimento e continuem fazendo isso
Se não exigirem uma opção separada de recusa, no longo prazo isso parece mais uma lombada temporária que não muda nada de verdade
A comissão reconheceu que apenas a exigência de consentimento prévio não é suficiente para proteger o CPNI dos clientes. Em especial porque táticas como “pretexting”, em que alguém finge ser um cliente específico ou uma pessoa autorizada para obter ilegalmente informações do cliente, podem contornar a exigência de consentimento prévio
Pode haver ou não uma frase como “prevenção a fraudes e/ou outros fins”. Seguradoras também fazem isso. Já vi cláusulas desse tipo e tenho quase certeza de que puxam os dados da operadora móvel
As autoridades policiais dos EUA não compram esses dados comerciais para contornar a exigência de mandado?
A AT&T já foi multada por permitir que a NSA interceptasse todo o tráfego de rede descriptografado? Isso parece muito mais grave
https://techcrunch.com/2018/06/25/nsa-att-intercept-surveill...
Post relacionado:
A Cape captou US$ 61 milhões de A16Z e outros para um serviço móvel que não usa dados pessoais
https://news.ycombinator.com/item?id=40080673
https://techcrunch.com/2024/04/18/cape-dials-up-61m-from-a16...
https://www.cape.co/
Estas são sanções civis. Fico curioso sobre quais limites a FCC tem, ou em que faixa ela atua, caso não haja limites
Ela poderia ter aplicado uma multa maior? E também fico curioso se isso influencia a decisão do DOJ de buscar punição criminal