FCC dos EUA multa as maiores operadoras por compartilhamento de dados de localização

 (docs.fcc.gov)
1 pontos por GN⁺ 2024-04-30 | 1 comentários | Compartilhar no WhatsApp
  • A FCC aplicou quase US$ 200 milhões em multas à AT&T, Sprint, T-Mobile e Verizon por compartilharem ilegalmente informações de localização com terceiros sem o consentimento dos clientes
    • Sprint e T-Mobile se fundiram após o início da investigação e enfrentam multas de US$ 12 milhões e US$ 80 milhões, respectivamente
    • A AT&T recebeu multa de mais de US$ 57 milhões, e a Verizon, de cerca de US$ 47 milhões

Violação da obrigação de proteger os dados dos clientes

  • A investigação do Enforcement Bureau da FCC constatou que cada operadora vendeu acesso às informações de localização dos clientes para "agregadores", que então revendiam esse acesso a terceiros prestadores de serviços baseados em localização
  • Cada operadora tentou transferir aos destinatários posteriores das informações de localização a obrigação de obter o consentimento dos clientes, o que significa que, na maioria dos casos, não foi obtido um consentimento válido dos clientes
  • Essa falha inicial se agravou ainda mais quando as operadoras continuaram vendendo acesso às informações de localização sem adotar medidas razoáveis para proteger contra acessos não autorizados, mesmo depois de perceberem que as salvaguardas não eram eficazes

Obrigação de proteger informações dos clientes nos termos da Seção 222 da Lei de Telecomunicações

  • De acordo com a lei, incluindo a Seção 222 da Lei de Telecomunicações, as operadoras devem adotar medidas razoáveis para proteger determinadas informações dos clientes, incluindo dados de localização
  • Além disso, as operadoras devem manter a confidencialidade das informações dos clientes e obter consentimento ativo e explícito dos clientes antes de usar, divulgar ou permitir acesso a essas informações
  • Essas obrigações se aplicam da mesma forma quando as operadoras compartilham informações dos clientes com terceiros

Declaração de Loyaan A. Egal, diretor do Enforcement Bureau da FCC

  • "A proteção e o uso de dados pessoais sensíveis, como informações de localização, são invioláveis"
  • "Se caírem nas mãos erradas ou forem usados com intenções maliciosas, colocam todos nós em risco"
  • "Como forças hostis estrangeiras e cibercriminosos têm priorizado obter essas informações, é prioridade máxima do Enforcement Bureau garantir que os prestadores de serviço tenham proteções razoáveis para resguardar os dados de localização dos clientes e obter consentimento válido para seu uso"

Confirmação final dos Notices of Apparent Liability (NAL) emitidos em fevereiro de 2020

  • As Forfeiture Orders anunciadas hoje confirmam em definitivo as Notices of Apparent Liability emitidas a essas operadoras em fevereiro de 2020
  • Os valores das multas da AT&T e da Sprint não mudaram desde a etapa do NAL
  • As multas da T-Mobile e da Verizon foram reduzidas após análise adicional das manifestações apresentadas pelas partes em resposta ao NAL
  • A lei não permite aumentar o valor da multa para determinadas violações após a emissão de um NAL

Opinião do GN⁺

  • Considero extremamente grave que as operadoras tenham vazado sem autorização informações sensíveis de localização dos clientes e ainda não tenham implementado adequadamente salvaguardas para impedir isso. Isso é ainda mais preocupante considerando que forças hostis estrangeiras e cibercriminosos estão mirando esse tipo de informação
  • Ainda assim, a medida parece ter demorado demais. Ao que tudo indica, a aplicação das multas já havia sido anunciada em 2020, e o fato de a decisão final só ter saído quatro anos depois parece problemático. Medidas rápidas e rigorosas para vazamentos de dados de clientes parecem necessárias
  • Por outro lado, é possível que o valor das multas não represente um grande impacto para operadoras desse porte. Para evitar reincidência em vazamentos de dados de clientes, podem ser necessários mecanismos de sanção mais duros
  • As operadoras de telecomunicações no Brasil deveriam tomar este caso como alerta, reforçar ainda mais as salvaguardas para proteger informações dos clientes e cumprir rigorosamente as normas relevantes. No caso de informações sensíveis como dados de localização, o cuidado deve ser ainda maior

Leituras relacionadas

1 comentários

 
GN⁺ 2024-04-30
Opiniões do Hacker News

Aqui está um resumo dos principais pontos dos comentários do Hacker News, formatado como uma lista com marcadores em Markdown:

  • A questão central é a transparência:

    • Os usuários querem ver para quem as empresas venderam ou forneceram suas informações e quais limitações essa venda tem.
    • Se uma empresa coleta dados do usuário e permite que outra entidade tenha acesso, ela deve informar os usuários e facilitar o bloqueio.
    • A maior parte do abuso de dados pessoais desapareceria se as pessoas soubessem que isso está acontecendo.

  • A multa de US$ 200 milhões é insignificante para essas operadoras:

    • Bastariam aproximadamente 9 horas da receita diária combinada da T-Mobile, AT&T e Verizon para gerar US$ 196 milhões em faturamento.
    • Provavelmente nada vai mudar além de acrescentar uma nota de rodapé à política de privacidade.

  • Preocupações sobre a eficácia da ação da FCC:

    • Sem exigir um opt-out separado, as operadoras poderiam simplesmente adicionar "compartilhamento de dados de localização" ao EULA/política de privacidade e continuar com o "consentimento".
    • Isso parece um obstáculo temporário que não muda nada no longo prazo.

  • Reações positivas à ação da FCC:

    • Alguns estão felizes em ver a FCC tomando medidas e a incentivam a continuar.

  • Perguntas sobre forças de segurança contornando mandados judiciais:

    • Há preocupações de que as forças de segurança dos EUA possam comprar esse tipo de dado comercial para contornar a necessidade de obter um mandado judicial.

  • Startup relacionada oferecendo serviço móvel sem dados pessoais:

    • Cape levantou US$ 61 milhões com a A16Z e outros para um serviço móvel que não usa dados pessoais.

  • Comparação com o escândalo de vigilância da AT&T/NSA:

    • Alguns questionam se alguém foi multado pelo fato de a AT&T ter permitido que a NSA interceptasse todos os dados descriptografados da rede, o que parece muito mais grave.

  • Perguntas sobre o impacto nos agregadores de dados de localização:

    • Alguns estão curiosos para saber se alguém que usa fornecedores como Zumigo, LocationSmart ou Microbilt percebeu sinais/dados mais fracos ou menor disponibilidade relacionados a isso.
    • Há expectativa de que as fontes de rastreamento ainda continuem disponíveis, mas com novas divulgações "mais transparentes".

  • Questionando se o Google Fi vende dados de localização dos usuários:

    • Um comentarista quer saber se o próprio serviço móvel do Google, o Google Fi, vende dados de localização em tempo real de seus usuários.