"Un poco más sobre DP": las compañías de televisión estadounidenses dejarán de vender geodatos de clientes

La semana pasada, las compañías estadounidenses de telecomunicaciones Verizon, AT&T y Sprint Corp dijeron que ya no venderían datos de ubicación de dispositivos de los usuarios a los corredores.

Debajo del recorte, explicaremos por qué los operadores de telecomunicaciones tomaron esa decisión.


/ foto Bertram Nudelbach CC

Problema con los datos de geolocalización

Un agente de datos es una organización que recopila y vende información sobre los usuarios de diversos servicios. Los corredores analizan el historial de búsquedas y compras en la red, así como la información especificada en los perfiles de redes sociales (estado civil, educación, intereses, etc.). A menudo, sus clientes son empresas que realizan campañas publicitarias específicas. Por ejemplo, los servicios de los corredores recurrieron a Facebook .

Los corredores también recopilan datos sobre la geolocalización de los usuarios: compran esta información de los operadores móviles. Los datos de ubicación del dispositivo son utilizados por los sistemas antifraude y las empresas que brindan asistencia de emergencia en la carretera, en caso de avería del automóvil o en caso de accidente.

Sin embargo, a fines de junio se supo que varios proveedores de telecomunicaciones de EE. UU. Dejarán de vender datos sobre la ubicación de los dispositivos de sus clientes. La decisión se produjo después de que el senador Ronald Lee Wyden anunciara que algunos corredores transfirieron datos a terceros y los usaron sin el consentimiento de los usuarios para "rastrear" los teléfonos.

También se supo que uno de los corredores que colaboraron con Verizon pasó los geodatos a organizaciones que los usaban para rastrear personas.

Por lo tanto, Verizon anunció que dejarían de vender datos de ubicación a corredores de datos. Poco después de que Verizon, AT&T, Sprint Corp y T-Mobile también cambiaron sus políticas de ubicación de clientes.


/ foto Catálogo de libros CC

Preocupaciones de seguridad

Una de las razones para negarse a vender datos de geolocalización fue también el hecho de que muchos de los sitios de "corretaje" están mal protegidos. En caso de piratear uno de ellos, los piratas informáticos podrán establecer la ubicación de cualquier teléfono en los Estados Unidos.

El investigador y especialista en seguridad de la información Alex Haynes analizó los sitios web de los corredores de datos de EE. UU. En busca de vulnerabilidades y descubrió que la mitad recibió una puntuación inferior a A al aprobar la prueba de SSL Labs . Y en varios recursos, reveló inyecciones SQL.

Y hubo casos en que la información transmitida a los corredores cayó en manos de terceros sin el conocimiento de los proveedores. En 2011, los atacantes "piratearon" la compañía de marketing Epsilon, y las direcciones de correo electrónico de millones de personas (de la lista de marketing de la compañía) "se filtraron" a la red. Como resultado, los propietarios de estos correos electrónicos fueron atacados por spammers y se convirtieron en víctimas de phishing selectivo .

Y en 2015, los crackers del agente de datos Experian "filtraron" información personal a 15 millones de usuarios, incluidos sus nombres, direcciones, números de seguridad social y pasaportes.

Reglamento de corredores de datos de EE. UU.

A la luz de los acontecimientos recientes, y dado que los corredores trabajan con los datos personales de los usuarios, algunos legisladores estadounidenses han decidido prestar atención a la regulación de esta área.

Por ejemplo, en mayo de este año, el Estado de Vermont aprobó la Ley H.764 , según la cual todos los corredores de datos que trabajan en el estado de Vermont o que recopilan información sobre sus residentes deben registrarse anualmente con las autoridades locales, observar todas las medidas de seguridad prescritas por la ley, e informar las filtraciones de datos a las fuerzas del orden (que anteriormente era opcional).

Las autoridades de otros estados también están tomando medidas para ajustar los requisitos de procesamiento de DP. Por ejemplo, a partir de septiembre de este año, las compañías que operan en Colorado deberán notificar a los clientes y las autoridades estatales sobre la "fuga de datos" dentro de los 30 días, y los residentes de California pueden tener derechos adicionales con respecto a la EP si una nueva iniciativa "pasa la prueba ".

Entre estos derechos: el derecho a proporcionar información recopilada por cualquier empresa al propietario de la DP; El derecho a exigir que las empresas no vendan ni proporcionen DP a terceros con fines comerciales.

De esto podemos concluir que el gobierno y los proveedores de EE. UU. Son gradualmente conscientes del peligro que representan las filtraciones de datos personales, por lo tanto, tratan de proteger a la población del país de posibles amenazas debido a una regulación legislativa más estricta.

---

PD: Un par de materiales más del primer blog corporativo de IaaS:

• Lo que se refiere a los datos personales desde el punto de vista del regulador ruso
• Protección de datos personales: un enfoque europeo
• Procesamiento de datos personales: lo que dice la ley

Publicaciones de PPS sobre un tema de nuestro blog en Habré:

• “Según el RGPD”: cómo las redes sociales cambian las políticas de privacidad y los principios de trabajo con DP
• Fecha límite perdida, o por qué más de la mitad de las empresas no estaban listas para el RGPD
• La reforma de los derechos de autor de la UE podría cambiar completamente el estado de la web

---

La actividad principal de la empresa IT-GRAD es la provisión de servicios en la nube:

Infraestructura virtual (IaaS) | Alojamiento PCI DSS | Nube FZ-152 | Alquile 1C en la nube

---