Nosiva sanzione da parte della FCC che ha multato per circa 200 milioni dollari i giganti delle telecomunicazioni per aver venduto dati sulla localizzazione dei clienti senza il loro consenso.
La Federal Communications Commission (FCC) ha imposto una penalità di quasi 200 milioni di dollari contro quattro colossi delle telecomunicazioni, risultato di un’indagine dell’ente che ha dimostrato come queste compagnie avessero venduto dati di localizzazione dei loro clienti senza il loro consenso.
Le sanzioni includono 80 milioni di multa per T-Mobile, 57 milioni per AT&T, 46 milioni per Verizon e 12 milioni per Sprint.
Le ammende contro queste società arrivano in un momento in cui i responsabili delle politiche a Washington cercano di regolare sempre di più la raccolta e la vendita di dati sensibili degli americani da parte dei cosiddetti broker di dati. Sebbene le aziende di telecomunicazioni coinvolte nel provvedimento non operino direttamente come broker di dati, il loro accesso, e la decisione di vendere i dati sensibili, riflette la trasformazione di queste informazioni in una merce acquistabile e vendibile.
“Queste aziende non sono riuscite a proteggere le informazioni a loro affidate”, ha dichiarato la presidente della FCC, Jessica Rosenworcel, in una dichiarazione. “Stiamo parlando di alcuni dei dati più sensibili in loro possesso: le informazioni in tempo reale sulla posizione dei clienti, che rivelano dove vanno e chi sono”.
La FCC sta multando queste aziende per aver violato le disposizioni della Communications Act che richiedono agli operatori di adottare “ogni ragionevole precauzione” per proteggere la riservatezza delle informazioni proprietarie dei clienti della rete, inclusi i dati di localizzazione.
Fin dal 2007, le normative federali richiedevano agli operatori wireless di ottenere il consenso esplicito dei clienti per operazioni di condivisione dei dati, ma un’indagine della FCC ha riscontrato che in molti casi, i quattro operatori avevano, di fatto, esternalizzato questo requisito alle società che acquistavano i dati.
Tutte e quattro le aziende avevano programmi in vigore almeno fino al 2019 che vendevano accesso ai dati di localizzazione dei clienti a due aggregatori di dati, LocationSmart e Zumigo. Queste società a loro volta vendevano questi dati a decine di diversi fornitori di servizi basati sulla localizzazione e ad altre aziende.
Al posto di cercare di ottenere il consenso diretto dei clienti per condividere la loro localizzazione, gli operatori hanno effettivamente esternalizzato il lavoro alle aziende a cui vendevano i dati, passando questo obbligo attraverso i propri contratti ai fornitori di servizi basati sulla localizzazione. La FCC ha stabilito che ciò non fosse sufficiente per ottemperare ai requisiti federali, e che “le garanzie contrattuali tra un gestore e un terzo non eliminano la necessità di un consenso esplicito del cliente”.
Auditor interni al programma di condivisione dei dati dei clienti da parte di AT&T hanno identificato numerosi casi in cui gli aggregatori che acquistavano i dati non hanno rispettato i requisiti di sicurezza delle informazioni dell’operatore, oltre a problemi con la tenuta dei registri e le pratiche di “completezza” del consenso degli abbonati. I dettagli di altri tre audit non sono stati condivisi con gli organismi di controllo.
Sprint affermava di avere un programma di auditing simile per garantire che gli aggregatori che acquistavano i dati di localizzazione dei clienti rispettassero i requisiti di sicurezza e privacy, ma la FCC ha affermato che non vi erano prove che tali audit fossero stati effettivamente condotti prima del 2018, lo stesso anno in cui una indagine del New York Times rivelava come uno sceriffo del Missouri utilizzasse i dati venduti dai gestori per tracciare la localizzazione di un giudice e degli ufficiali di polizia statali, inducendo la FCC a una inchiesta più ampia.