Según informa la Comisión Federal de Comunicaciones (FCC, por sus siglas en inglés), los principales operadores de telefonía inalámbrica del país serán multados por compartir ilegalmente y sin consentimiento el acceso a la información de ubicación de sus clientes. Además, los operadores no tomaron medidas razonables para proteger dicha información contra divulgaciones no autorizadas, asegura el ente gubernamental. Sprint y T-Mobile, que se fusionaron en 2020 después de que comenzara la investigación, enfrentan sanciones por más de 12 y 80 millones de dólares respectivamente. AT&T fue multada por más de 57 millones de dólares y Verizon por casi 47 millones.
La presidenta de la FCC, Jessica Rosenworcel, enfatizó que “nuestros proveedores de comunicaciones tienen acceso a información extremadamente sensible sobre nosotros. Estos operadores no lograron proteger la información que les fue confiada. Aquí, estamos hablando de algunos de los datos más sensibles en su posesión: la información de ubicación en tiempo real de los clientes, que revela a dónde van y quiénes son”.
“A medida que resolvemos estos casos, inicialmente propuestos por la administración anterior, la Comisión sigue comprometida con responsabilizar a todos los operadores y asegurar que cumplan con sus obligaciones hacia sus clientes como custodios de estos datos tan privados”, añadió Rosenworcel.
El Buró de Cumplimiento de la FCC encontró que cada operador vendió acceso a la información de ubicación de sus clientes a “agregadores”, quienes a su vez revendieron el acceso a dicha información a proveedores de servicios de ubicación de terceros. La FCC aclara que, al hacerlo, cada operador intentó trasladar sus obligaciones de obtener el consentimiento del cliente a los receptores de la información de ubicación, lo que en muchas instancias significó que no se obtuvo un consentimiento válido del cliente.
Este fallo inicial se agravó cuando, tras darse cuenta de que sus salvaguardias eran ineficaces, los operadores continuaron vendiendo acceso a la información de ubicación sin tomar medidas razonables para protegerla de accesos no autorizados. La FCC recalca que, según la ley, incluyendo la sección 222 de la Ley de Comunicaciones, se requiere que los operadores tomen medidas razonables para proteger cierta información del cliente, incluida la información de ubicación. También se requiere que mantengan la confidencialidad de dicha información del cliente y obtengan un consentimiento expreso y afirmativo antes de usar, divulgar o permitir el acceso a dicha información. Estas obligaciones aplican igualmente cuando los operadores comparten información del cliente con terceros.
Loyaan A. Egal, jefe del Buró de Cumplimiento de la FCC y presidente de su Grupo de Trabajo de Privacidad y Protección de Datos, declaró que “la protección y el uso de datos personales sensibles, como la información de ubicación, es sagrado. Cuando cae en manos equivocadas o se usa para fines nefastos, nos pone a todos en riesgo. Los adversarios extranjeros y los ciberdelincuentes han priorizado la obtención de esta información, y es por eso que asegurar que los proveedores de servicios tengan protecciones razonables en lugar de salvaguardar los datos de ubicación del cliente y el consentimiento válido para su uso es una alta prioridad para el Buró de Cumplimiento”.
Las investigaciones que llevaron a las multas de hoy comenzaron tras informes públicos que indicaban que la información de ubicación de los clientes estaba siendo divulgada por los mayores operadores móviles estadounidenses sin el consentimiento del cliente ni otra autorización legal a un sheriff de Missouri a través de un “servicio de localización” operado por Securus, un proveedor de servicios de comunicaciones para instalaciones correccionales, para rastrear la ubicación de numerosas personas.
Incluso después de ser conscientes de este acceso no autorizado, los cuatro operadores —que ahora son tres— continuaron operando sus programas sin establecer salvaguardias razonables para asegurar que las docenas de proveedores de servicios de ubicación que tenían acceso a la información de ubicación de sus clientes realmente estuvieran obteniendo el consentimiento de estos, concluye la FCC.
