- La FCC multa a AT&T, SPRINT, T-MOBILE Y VERIZON con casi US$200 millones por compartir ilegalmente el acceso a los datos de ubicación de los clientes. La Comisión Federal de Comunicaciones, FCC, reveló que los operadores vendieron acceso a datos de ubicación a terceros sin el consentimiento del cliente y continuaron haciéndolo sin garantías razonables.
- En un comunicado, el organismo precisó que Sprint y T-Mobile, que se han fusionado desde que comenzó la investigación, enfrentan multas de más de 12 millones de dólares y 80 millones de dólares, respectivamente. AT&T recibe una multa de más de 57 millones de dólares y Verizon recibe una multa de casi 47 millones de dólares.
Washington, EEUU — La Comisión Federal de Comunicaciones, FCC, multó a los proveedores de servicios inalámbricos más grandes del país por compartir ilegalmente el acceso a la información de ubicación de los clientes sin consentimiento y sin tomar medidas razonables para proteger esa información contra la divulgación no autorizada.
En un comunicado emitido el lunes, el organismo Sprint y T-Mobile, que se han fusionado desde que comenzó la investigación, enfrentan multas de más de 12 millones de dólares y 80 millones de dólares, respectivamente. AT&T recibe una multa de más de 57 millones de dólares y Verizon recibe una multa de casi 47 millones de dólares.
“Nuestros proveedores de comunicaciones tienen acceso a parte de la información más confidencial sobre nosotros. Estos transportistas no protegieron la información que se les había confiado. Aquí estamos hablando de algunos de los datos más sensibles que tienen en su poder: información de ubicación en tiempo real de los clientes, que revela a dónde van y quiénes son”, dijo la presidenta de la FCC, Jessica Rosenworcel.
La funcionaria federal subrayó que «A medida que resolvamos estos casos, que fueron propuestos por primera vez por la última Administración, la Comisión sigue comprometida a responsabilizar a todos los operadores y asegurarse de que cumplan con sus obligaciones para con sus clientes como administradores de estos datos tan privados».
En 2018, el senador estadounidense Ron Wyden destacó por primera vez el caso de uso que inició la investigación de la agencia y las preocupaciones legales que surgen de él en una carta pública a su liderazgo.
Las investigaciones de la Oficina de Cumplimiento de la FCC de los cuatro operadores encontraron que cada operador vendió el acceso a la información de ubicación de sus clientes a «agregadores», quienes luego revendieron el acceso a dicha información a terceros proveedores de servicios basados en la ubicación.
Al hacerlo, cada operador intentó traspasar sus obligaciones de obtener el consentimiento del cliente a los destinatarios posteriores de la información de ubicación, lo que en muchos casos significó que no se obtuvo ningún consentimiento válido del cliente. Este fracaso inicial se agravó cuando, después de darse cuenta de que sus salvaguardas eran ineficaces, los operadores continuaron vendiendo acceso a la información de ubicación sin tomar medidas razonables para protegerla del acceso no autorizado.
Según la ley, incluida la sección 222 de la Ley de Comunicaciones, los operadores deben tomar medidas razonables para proteger cierta información del cliente, incluida la información de ubicación. Los transportistas también deben mantener la confidencialidad de dicha información del cliente y obtener el consentimiento expreso y afirmativo del cliente antes de usar, divulgar o permitir el acceso a dicha información. Estas obligaciones se aplican igualmente cuando los operadores comparten información de clientes con terceros.
«La protección y el uso de datos personales sensibles, como la información de ubicación, es sacrosanto», dijo Loyaan A. Egal, jefe de la Oficina de Cumplimiento de la FCC y presidente de su Grupo de Trabajo de Privacidad y Protección de Datos. “Cuando se coloca en las manos equivocadas o se utiliza con fines nefastos, nos pone a todos en riesgo.”
Señaló que “Los adversarios extranjeros y los ciberdelincuentes han dado prioridad a tener en sus manos esta información, y es por eso que garantizar que los proveedores de servicios cuenten con protecciones razonables para salvaguardar los datos de ubicación de los clientes y el consentimiento válido para su uso es la máxima prioridad para la Oficina de Cumplimiento”.
Las investigaciones que llevaron a las multas del lunes comenzaron luego de informes públicos de que los datos de ubicación de los clientes estaba siendo revelada por los principales proveedores de servicios inalámbricos estadounidenses, sin el consentimiento del cliente u otra autorización legal, a un Sheriff de Missouri a través de un «servicio de búsqueda de ubicación» operado por Securus, un proveedor de servicios de comunicaciones a centros penitenciarios, para rastrear la ubicación de numerosas personas.
Sin embargo, incluso después de ser informados de este acceso no autorizado, los cuatro operadores continuaron operando sus programas sin implementar salvaguardias razonables para garantizar que las docenas de proveedores de servicios basados en la ubicación con acceso a la información de ubicación de sus clientes realmente obtuvieran el consentimiento del cliente.
Las Órdenes de Decomiso anunciadas en los Avisos de Responsabilidad Aparente (NAL) fueron emitidas contra estos proveedores en febrero de 2020. El monto de la multa para AT&T y Sprint no ha cambiado desde la etapa NAL.
Tanto las multas de T-Mobile como de Verizon se redujeron luego de una revisión adicional de las presentaciones de las partes en respuesta a las NAL. La ley no permite que los montos decomisados por violaciones específicas aumenten después de la emisión de una NAL.