Entre las categorías más sensibles de datos recopilados por dispositivos conectados se encuentran la ubicación e información precisa de una persona sobre su salud. Los teléfonos inteligentes, los automóviles conectados, los rastreadores de acondicionamiento físico portátiles, los productos "Smart Home" e incluso el navegador en el que está leyendo esto son capaces de observar o obtener información confidencial sobre los usuarios. De pie solo, estos puntos de datos pueden representar un riesgo incalculable para la privacidad personal. Ahora considere la intrusión sin precedentes cuando estos dispositivos conectados y las compañías de tecnología recopilen esos datos, los combinen y los vendan o monetizan. Esto no es algo de ficción distópica. Es una pregunta que los consumidores hacen en este momento.
La conversación sobre la tecnología tiende a centrarse en los beneficios. Pero hay una ironía detrás de escena que necesita ser examinada a la intemperie: la medida en que la información altamente personal que las personas eligen no revelar incluso a familiares, amigos o colegas se comparte con extraños completos. Estos extraños participan en el ecosistema de Broker de datos y tecnología de datos a menudo sombrías, donde las empresas tienen un motivo de ganancias para compartir datos a una escala y granularidad sin precedentes.
Cuando los consumidores usan sus dispositivos conectados, y a veces incluso cuando no lo hacen, estos dispositivos pueden hacer ping regularmente torres celulares, interactuar con redes WiFi, capturar señales GPS y crear un registro integral de sus paradero. Los datos de la ubicación pueden revelar mucho sobre las personas, incluidos dónde trabajamos, dormimos, socializamos, adoran y buscamos tratamiento médico. Si bien muchos consumidores pueden ofrecer felizmente sus datos de ubicación a cambio de consejos de origen público en tiempo real sobre la ruta más rápida a casa, probablemente piensen de manera diferente sobre tener su identidad en línea en línea de discusión asociada con la frecuencia de sus visitas a un terapeuta o médico de cáncer .
Más allá de la información de ubicación generada automáticamente por los dispositivos conectados de los consumidores, millones de personas también generan activamente sus propios datos confidenciales, incluso mediante el uso de aplicaciones para probar su azúcar en la sangre, registrar sus patrones de sueño, monitorear su presión arterial o rastrear su estado físico o compartir la cara y otra información biométrica para usar las funciones de aplicación o dispositivo. La potente combinación de datos de ubicación y datos de salud generados por el usuario crea una nueva frontera de daños potenciales para los consumidores.
El mercado de esta información es opaca y una vez que una empresa la ha recopilado, los consumidores a menudo no tienen idea de quién la tiene o qué se está haciendo con ella. Después de que se recopila de un consumidor, los datos ingresan a un gran e intrincado piso de ventas frecuentado por numerosos compradores, vendedores y participantes. Existen los sistemas operativos móviles que proporcionan los mecanismos para recopilar los datos. Luego están los editores de aplicaciones y desarrolladores de desarrollo de software (SDK) que integran herramientas en aplicaciones móviles para recopilar información de ubicación y proporcionar los datos a terceros.
La siguiente parada en el mercado turbio puede ser agregadores de datos y corredores, compañías que recopilan información de múltiples fuentes y luego venden acceso a él (o análisis derivados de él) a vendedores, investigadores e incluso agencias gubernamentales. Estas compañías a menudo construyen perfiles sobre los consumidores y dibujan inferencias sobre ellos en función de los lugares que han visitado. La cantidad de información que recopilan es asombrosa. Por ejemplo, en un Estudio de 2014la FTC informó que los corredores de datos usan datos para hacer inferencias confidenciales, como clasificar a un consumidor como "padre expectante". Según el informe, un corredor de datos se jactó de los accionistas en un informe anual de 2013 de que tenía 3.000 puntos de datos para casi todos los consumidores en los Estados Unidos. En muchos casos, los agregadores y corredores de datos no tienen interacción con los consumidores o las aplicaciones que están utilizando. Por lo tanto, las personas se quedan en la oscuridad sobre cómo las empresas se están beneficiando de su información personal.
Ahora consideremos un subconjunto particularmente sensible en la intersección de la ubicación y la salud: información relacionada con asuntos reproductivos personales, por ejemplo, productos que rastrean los períodos de las mujeres, monitorean su fertilidad, supervisa su uso anticonceptivo o incluso atacan a las mujeres que consideran el aborto.
Las preocupaciones que muchos han expresado sobre el riesgo de mal uso son más que solo teóricos. En 2017, por ejemplo, el Fiscal General de Massachusetts llegó a un acuerdo con la compañía de marketing Copley Advertising, LLC, y su director para usar la tecnología de ubicación para identificar cuándo las personas cruzaron una "cerca" digital secreta cerca de una clínica que ofrece servicios de aborto. Según esos datos, la compañía envió anuncios dirigidos a sus teléfonos con enlaces a sitios web con información sobre alternativas al aborto. El AG de Massachusetts afirmó que la práctica violaba la ley estatal de protección al consumidor.
Y recientemente, la FTC alcanzó un Acuerdo con FLO Healthalegando que la compañía compartió con terceros, incluidos Google y Facebook, información de salud confidencial sobre mujeres recopiladas de su período y aplicación de seguimiento de fertilidad, a pesar de prometer mantener esta información privada.
El uso indebido de la ubicación móvil y la información de salud, incluidos los datos de salud reproductiva, expone a los consumidores a daños significativos. Los delincuentes pueden usar datos de ubicación o salud para facilitar las estafas de phishing o cometer robo de identidad. Los acosadores y otros delincuentes pueden usar datos de ubicación o salud para infligir lesiones físicas y emocionales. La exposición de la información de salud y las condiciones médicas, especialmente los datos relacionados con la actividad sexual o la salud reproductiva, puede someter a las personas a discriminación, estigma, angustia mental u otros daños graves. Esas son solo algunas de las lesiones potenciales, daños que se exacerban por la explotación de la información obtenida a través de la vigilancia comercial.
La Comisión se compromete a utilizar el alcance completo de sus autoridades legales para proteger la privacidad de los consumidores. Haremos cumplir enérgicamente la ley si descubrimos una conducta ilegal que explota la ubicación, la salud u otros datos confidenciales de los estadounidenses. Las acciones de cumplimiento pasadas de la FTC proporcionan una hoja de ruta para las empresas que buscan cumplir con la ley.
¿Qué deben considerar las empresas al pensar en la recopilación de información confidencial del consumidor, incluida la ubicación y los datos de salud?
Los datos confidenciales están protegidos por numerosas leyes federales y estatales. Existen numerosas leyes estatales y federales que rigen la recopilación, el uso y el intercambio de datos del consumidor delicados, incluidos muchos aplicados por la Comisión. La FTC ha traído cientos de casos para proteger la seguridad y la privacidad de la información personal de los consumidores, algunos de los cuales han incluido sanciones civiles sustanciales. Además de la sección 5 de la Ley de la FTC, que prohíbe ampliamente las prácticas comerciales injustas y engañosas, la Comisión también hace cumplir la Regla de salvaguardasel Regla de notificación de violación de la saludy el Regla de protección de la privacidad en línea para niños.
Las afirmaciones de que los datos son "anónimos" o "han sido anonimizados" a menudo son engañosos. Las empresas pueden intentar aplicar las preocupaciones de privacidad de los consumidores al afirmar que anonimizan o agregan datos. Las empresas que hacen afirmaciones sobre el anonimato deben estar en guardia de que estas afirmaciones pueden ser una práctica comercial engañosa y violar la Ley de la FTC cuando sea falso. Investigaciones significativas han demostrado que los datos "anonimizados" a menudo se pueden reidentificar, especialmente en el contexto de los datos de ubicación. Un conjunto de investigadores demostró que, en algunos casos, era posible identificar de manera única el 95% de un conjunto de datos de 1.5 millones de personas que usan cuatro puntos de ubicación con marcas de tiempo. Las empresas que hacen reclamos falsos sobre el anonimato pueden esperar escuchar de la FTC.
La FTC toma medidas enérgicas contra las empresas que abusan de los datos de los consumidores. Como han demostrado los casos recientes, la FTC no tolera a las empresas que recolectan demasiado, retienen indefinidamente o mal uso los datos del consumidor. Ad Exchange OpenX recientemente pagó $ 2 millones por recopilar datos de ubicación de los niños sin el consentimiento de los padres. La Comisión también tomó medidas contra Kurbo/Weight Watchers para, entre otras cosas, retener indefinidamente los datos confidenciales del consumidor. El acuerdo requiere que la compañía pague una multa de $ 1.5 millones por violar COPPA, eliminar todos los datos recopilados ilegalmente y también elimine los algoritmos de producto de trabajo creados con esos datos. Hace solo unas semanas, la Comisión ingresó una orden final que requería CafePress que pague reparación y minimice su recopilación de datos porque, según la queja de la Comisión, recopiló y retuvo de manera incorrecta los datos del consumidor, y no respetó las solicitudes de deleción de los consumidores, entre otras cosas. .
La FTC tiene Orientación adicional para empresas sobre privacidad del consumidor y seguridad de datos. Además, lea lo último del Departamento de Salud y Servicios Humanos sobre el tema.
