El 29 de agosto, la Comisión Federal de Comercio anunció que había presentado una demanda histórica contra el corredor de datos Kochava por «vender datos de geolocalización de cientos de millones de dispositivos móviles» que pueden usarse para rastrear los movimientos de las personas con marca de tiempo a ubicaciones sensibles. Estos incluyen clínicas de salud reproductiva, lugares de culto, centros de recuperación de adicciones y refugios para personas sin hogar y sobrevivientes de violencia doméstica. Kochava, alega la FTC, “permite que otros identifiquen a las personas y las expone a amenazas de estigma, acoso, discriminación, pérdida del trabajo e incluso violencia física”.
En respuesta, la empresa con sede en Idaho afirma que «opera de manera constante y proactiva en cumplimiento de todas las reglas y leyes, incluidas las específicas de privacidad». En otras palabras, Kochava se basó en una defensa central en el libro de jugadas del corredor de datos: Bueno, es legal.
Pero esto es como decir que ha leído todos los libros sobre el tema cuando todo lo que se ha escrito es un folleto de sala de espera. En un fracaso colosal de la formulación de políticas de EE. UU. y, en muchos casos, producto de intentos deliberados de socavar o descuidar la privacidad de las personas marginadas, EE. UU. tiene leyes de privacidad débiles en general. Muy pocas leyes en los EE. UU. incluso se relacionan con los corredores de datos, y mucho menos limitan sus acciones. No obstante, el hecho de que Kochava no infrinja la ley no hace que su comportamiento sea inofensivo, y tampoco hace que la empresa sea inmune a las demandas. El caso de la FTC podría establecer que este tipo de vigilancia, monetización y explotación de datos es una práctica comercial desleal o engañosa, que expone a los intermediarios a sanciones. Y tiene el argumento para llegar allí.
A pesar de la falta de leyes de privacidad, la FTC aún puede llevar a las empresas a los tribunales por participar en «actos o prácticas desleales o engañosas». Las demandas de la FTC contra los corredores de datos no tienen precedentes, pero generalmente se han centrado en comportamientos como facilitar estafas criminales. Al demandar a Kochava por intermediar datos de geolocalización de individuos sin su conocimiento y exponerlos a riesgos, la FTC está impulsando de manera efectiva una mayor base para actuar contra los daños causados por el corretaje de datos.
Si bien los corredores de datos y otras empresas tecnológicas (desde Experian hasta el corredor de datos financieros Yodlee) han afirmado absurdamente que sus datos están «anonimizados», los miles de millones de hilos de datos de Kochova son todo lo contrario. La compañía proporcionó identificaciones de publicidad móvil, que permiten a los especialistas en marketing rastrear a la persona detrás de un dispositivo, junto con la información de ubicación de las personas, lo que hace posible que un comprador «identifique al usuario o propietario del dispositivo móvil», como afirma la demanda. Kochava también expuso a las personas al riesgo de una manera más simple: si tiene el historial completo de ubicaciones de alguien, puede descubrir fácilmente su identidad. Los teléfonos que se encuentran en una mesita de noche de 10 p. m. a 6 a. m., por ejemplo, podrían indicar una dirección de casa, al igual que los teléfonos en el mismo edificio de oficinas o tienda minorista de 9 a 5 podrían indicar un lugar de trabajo. La FTC dice que Kochava sabía esto e incluso trató de sacar provecho de ello, sugiriendo «Mapeo doméstico» como un posible caso de uso de datos en Amazon Web Services Marketplace, donde un comprador podría «agrupar dispositivos por tiempo de permanencia y frecuencia en ubicaciones compartidas para mapear individuos dispositivos a los hogares”. Vender esta información descaradamente pone en riesgo a muchas personas, especialmente a las que ya están marginadas y son vulnerables.
Todo el modelo comercial de los corredores de datos se basa en recopilar, analizar y vender en secreto o monetizar la información de las personas. Solo dentro del ámbito de los datos de ubicación, se ha sorprendido a las empresas anunciando las ubicaciones de GPS en tiempo real de los estadounidenses, vigilando en silencio a los manifestantes de Black Lives Matter para identificar las características de las personas y proporcionando datos de ubicación a las agencias de aplicación de la ley como el FBI y el Servicio de Inmigración y Control de Aduanas (ICE). ), sin necesidad de orden judicial. Incluso después de que la Corte Suprema anulara Roe contra Wade, numerosos corredores de datos continuaron vendiendo datos de ubicación relacionados con las visitas a clínicas de aborto, algunos de los cuales solo acordaron detenerse cuando la prensa y los miembros del Congreso los llamaron. A principios de este mes, el CEO de NextMark, Joe Pych, dijo politico, en una supuesta defensa de la conducta de su propia firma, que “hasta donde yo sé, hoy en día no hay ninguna ley que prohíba las listas de correo prenatal”. Ya sea que estas prácticas promuevan la violencia doméstica y de pareja íntima, permitan la vigilancia sin orden judicial de comunidades sobrecontroladas o pongan a las mujeres y a las personas LBGTQ+ en riesgo de acoso y violencia física, muchos corredores de datos continúan vendiendo información de ubicación de todos modos.
Si los intermediarios de datos observan la vigilancia de las comunidades vulnerables y afirman no comprender el daño de recopilar y vender este tipo de datos, están mintiendo abiertamente o simplemente no les importa. Si recopilan en secreto las ubicaciones de las personas, las vinculan con personas y las venden en línea (facilitando el seguimiento de las personas que van a iglesias y mezquitas, hospitales y clínicas de salud, clubes nocturnos queer y manifestaciones contra la policía) y preparan un mensaje de “No es no “defensa legal”, están promoviendo argumentos de mala fe. En un estado de vigilancia constante y ausencia de regulación de la privacidad, la legalidad no es el determinante del daño.
De manera crítica, la agencia alega que Kochava violó la cláusula de «actos o prácticas desleales o engañosas» de la Ley de la FTC, porque vende injustamente información de ubicación altamente confidencial que representa un riesgo de «daño sustancial» para los consumidores. Las personas, rastreadas sin conocer y comprender completamente la vigilancia, no pueden evitar razonablemente estos daños por sí mismas. Entonces, a pesar de todo lo que Kochava afirma que la FTC está perpetuando «información errónea sobre la privacidad de los datos», este caso puede solidificar aún más el hecho de que la intermediación de información altamente confidencial de las personas es motivo de acción legal.
Dado que las legislaturas estatales siguen siendo lentas para promulgar más leyes de privacidad y las iniciativas del Congreso sobre el tema se estancan, con algunos miembros que incluso se niegan a tocar los daños de la intermediación de datos, el caso de la FTC puede ser la mejor oportunidad del país. La agencia debe presionar con fuerza en su caso y tomar todas las medidas necesarias para vincular la venta de datos de ubicación con resultados como el acecho, la discriminación y otros tipos de explotación de datos; de lo contrario, esta información altamente confidencial permanecerá en el mercado abierto y seguirá perjudicando a millones de estadounidenses.