Los intermediarios de datos de localización de aplicaciones telefónicas son una amenaza creciente para nuestra privacidad y seguridad. Sólo has hecho clic en una pequeña casilla al bajarte una app. Ahora esa app rastrea todos tus movimientos y los envía a un intermediario, que luego vende tus datos de localización al mejor postor, desde anunciantes hasta la policía.
Así que es una buena noticia que la Comisión Federal de Comercio haya emprendido una exitosa acción judicial contra X-Mode Social (y su sucesor Outlogic).
La denuncia de la queja ilustra los peligros creados por esta industria. La empresa recopila nuestros datos de localización a través de kits de desarrollo de software (SDK) incorporados a aplicaciones de terceros, a través de las propias aplicaciones de la empresa y mediante la compra de datos a otros intermediarios. La denuncia alegaba que la empresa vende después estos datos de localización en bruto, que pueden correlacionarse fácilmente con personas concretas. Entre los clientes de la empresa figuran empresas de marketing y contratistas de la Administración.
La orden propuesta contiene un sólido conjunto de normas para proteger al público de esta empresa.
Normas generales para todos los datos de localización:
- X-Mode no puede recopilar, utilizar, conservar o divulgar los datos de localización de una persona sin su consentimiento expreso. Esto incluye los datos de localización que la empresa recopiló en el pasado.
- La orden define los "datos de localización" como cualquier dato que pueda revelar la ubicación exacta de una persona o de su dispositivo móvil, incluidos los procedentes de GPS, torres de telefonía móvil, WiFi y Bluetooth.
- X-Mode debe adoptar políticas y medidas técnicas para impedir que los destinatarios de sus datos los utilicen para localizar una manifestación política, una institución LGBTQ+ o el domicilio de una persona.
- X-Mode debe, a petición de una persona, borrar sus datos de localización, e informarle de cada entidad que recibió sus datos de localización.
Normas más estrictas para los datos sensibles de localización:
- X-Mode no puede vender, divulgar ni utilizar datos de localización "sensibles".
- La orden define los lugares "sensibles" como instalaciones médicas (como centros de planificación familiar), instituciones religiosas, oficinas sindicales, escuelas, refugios para supervivientes de violencia doméstica y servicios para inmigrantes.
- Para aplicar esta norma, la empresa debe elaborar una lista exhaustiva de lugares sensibles.
- Sin embargo, X-Mode puede utilizar datos de localización sensibles si tiene una relación directa con una persona relacionada con esos datos, la persona da su consentimiento expreso y la empresa utiliza los datos para prestar un servicio que la persona ha solicitado directamente.
Como explican el Presidente y los Comisarios de la FTC en una declaración declaración que acompaña al anuncio de esta orden:
La explosión de modelos de negocio que monetizan la información personal de las personas ha dado lugar a un tráfico y comercialización rutinarios de los datos de localización de los estadounidenses. Como ha declarado la FTC, vender abiertamente los datos de localización de una persona al mejor postor puede exponer a las personas al acoso, la estigmatización, la discriminación o incluso la violencia física. Y, como ha reconocido recientemente un tribunal federal, una invasión de la intimidad por sí sola puede constituir un "perjuicio sustancial" que infrinja la ley, incluso si esa invasión de la intimidad no conlleva un perjuicio ulterior o secundario.
X-Mode ha cuestionado las implicaciones de las declaraciones de la FTC en relación con el acuerdo, y afirmó que la FTC no encontró ningún caso de uso indebido de datos.
La Ley de la FTC prohíbe "los actos o prácticas desleales o engañosos en el comercio o que afecten a éste". Según la Ley, una práctica es "desleal" si (1) la práctica "puede causar un perjuicio sustancial a los consumidores"; (2) la práctica "no puede ser razonablemente evitada por los propios consumidores"; y (3) el perjuicio "no se ve compensado por beneficios compensatorios para los consumidores o la competencia". La FTC ha presentado argumentos contundentes en el sentido de que la intermediación de datos de localización por parte de X-Mode es desleal y, por tanto, ilegal.
La acción coercitiva de la FTC contra X-Mode envía una señal clara de que otros intermediarios de datos de localización deberían revisar a fondo su propio modelo de negocio o arriesgarse a consecuencias legales similares.
La FTC ha tomado recientemente muchas otras medidas positivas para proteger la privacidad de los datos frente a la vigilancia corporativa. En 2023, la agencia limitó el uso del reconocimiento facial por parte de Rite Aid y multó a Amazon's Ring por no proteger los datos de sus clientes. En 2022, la agencia interpuso una demanda por prácticas comerciales desleales contra otro intermediario de datos de localización, Kochavay empezó a estudiar la publicación de nuevas normas contra la vigilancia comercial de datos.