Saltar al contenido
Cosas Tecnológicas

Lea la política de privacidad: la policía puede obtener fácilmente sus datos de terceros

Si alguna vez ha leído la política de privacidad, es posible que haya notado un párrafo que explica cómo se compartirán sus datos con la policía, lo que significa que si la policía lo solicita y tiene la documentación necesaria, lo más probable es que la obtenga. Pero tal vez, como la mayoría de los adultos estadounidenses, no leyó la política de privacidad con atención. En este caso, es posible que se sorprenda al saber cuántos datos tiene en manos de terceros, cuántos derechos de acceso tienen los organismos encargados de hacer cumplir la ley, cómo se pueden usar estos datos en su contra o qué derechos tiene (si los hubiera) Prevenirlo.

Es posible que muchos insurgentes del Capitolio ya lo hayan descubierto, porque los casos en su contra se basan en pruebas obtenidas de servicios de Internet como Facebook y Google. Aunque han dejado una serie de evidencias digitales para los investigadores (y detectives de Internet), no todos estos datos son públicos. Si lee el caso penal relacionado con el incidente en Washington el 6 de enero, encontrará que el FBI también obtuvo registros internos de varias plataformas de redes sociales y operadores de telefonía móvil.

Sin embargo, no tiene que ser un supuesto insurgente por parte de las fuerzas del orden público para obtener datos sobre usted de otra empresa. De hecho, no es necesario que sospeche de ningún delito. Cada vez más, la policía utiliza estrategias como las órdenes de registro inverso para obtener datos de muchas personas con el fin de encontrar sospechosos entre ellos. Puede quedarse atascado porque estuvo en el lugar equivocado en el momento equivocado o buscando el término de búsqueda incorrecto. Y es posible que nunca sepa que está atrapado en una red de arrastre.

Jennifer Granick, consultora de vigilancia y seguridad cibernética en la presentación de la ACLU, dijo: “Los investigadores acudirán a estos proveedores sin sospechosos y solicitarán una gran cantidad de información no dirigida para identificarlos fundamentalmente sospechosos inesperados”. Proyecto de privacidad y tecnología , le dijo a Recode. “Estas tecnologías de vigilancia a gran escala se están volviendo cada vez más comunes”.

Básicamente, si una empresa recopila y almacena sus datos, entonces la policía podría tomar sus manos. Cuando se trata de su vida digital, muchos de sus datos están en manos de terceros para su acceso. Así es como lo consiguen.

Cómo las agencias de aplicación de la ley pueden comprar sus datos sin autorización

La buena noticia es que existen leyes de privacidad que rigen si el gobierno puede acceder a sus datos y cómo puede hacerlo: La Ley de Privacidad de las Comunicaciones Electrónicas (ECPA), promulgada por primera vez en 1986, estableció estas reglas.

Pero la ley tiene una historia de décadas. Si bien se ha actualizado desde 1986, muchos de sus principios no reflejan realmente cómo usamos Internet en la actualidad, ni cuántos datos tenemos en manos de las empresas que nos brindan estos servicios.

Esto significa que hay áreas grises y lagunas legales. Para ciertas cosas, el gobierno no necesita pasar por ningún procedimiento legal. Por ejemplo, las fuerzas del orden pueden comprar datos de ubicación de intermediarios de datos. Aunque las empresas de datos de ubicación afirman que sus datos han sido desidentificados, los expertos afirman que, por lo general, las personas pueden volver a identificarse.

Kurt Opsahl, director ejecutivo adjunto y consejero general de Electronic Frontier Foundation (EFF), dijo: “La idea es que si se puede vender, está bien”. “Por supuesto, entre ellos. Un problema es que muchos de estos datos los corredores obtienen información sin pasar por el proceso de consentimiento que podría desear “.

No se trata solo de datos de ubicación. Todo el modelo de negocio de la empresa de reconocimiento facial Clearview AI es vender el acceso a su base de datos de reconocimiento facial a las agencias de aplicación de la ley, la mayoría de las cuales se seleccionan a partir de fotos públicas que Clearview toma de Internet. A menos que viva en una ciudad o estado que prohíba el reconocimiento facial, actualmente es legal que la policía pague por sus datos faciales, sin importar cuán defectuosa sea la tecnología detrás de ellos.

Esta situación puede cambiar si cosas como la Ley de No Venta de la Cuarta Enmienda que prohíbe a las fuerzas del orden público comprar datos disponibles comercialmente se convierten en ley. Pero por ahora, la laguna está abierta.

“Uno de los desafíos de cualquier ley de tecnología es que la tecnología se desarrolla más rápido que la ley”, dijo Opsal. “Aplicar estas leyes al medio ambiente moderno es siempre un desafío, pero [ECPA] Décadas más tarde, todavía se proporciona una protección de privacidad confiable. Definitivamente habrá mejoras, pero todavía hace un buen trabajo hoy. “

¿Qué pueden obtener los organismos encargados de hacer cumplir la ley a través de los tribunales?

Si está involucrado en un crimen y la policía está buscando evidencia en su vida digital, ECPA dice que antes de permitir que las empresas proporcionen los datos que solicitan, deben tener una citación, orden judicial o orden judicial. En otras palabras, la empresa no puede rendirse a voluntad. Hay algunas excepciones, por ejemplo, si hay motivos para creer que un peligro es inminente o que un crimen está en curso. Pero en el caso de las investigaciones penales, estas excepciones no se aplican.

A grandes rasgos, el proceso legal que deben utilizar los investigadores depende de los datos que buscan:

  • Citación: proporciona a los investigadores la denominada información del suscriptor, como su nombre, dirección, tiempo de servicio (por ejemplo, el tiempo que tiene su perfil de Facebook), información de registro (cuando llamó o inició sesión y recibió de su cuenta de Facebook) Eliminado) y la información de la tarjeta de crédito.
  • Orden judicial u orden “D”: D se refiere a la sección 2703 (d) de la sección 18 del Código de los Estados Unidos, que establece que la corte puede ordenar a los proveedores de servicios de Internet que proporcionen a las fuerzas del orden cualquier registro sobre los suscriptores, excepto contenido de sus comunicaciones. Por lo tanto, esto puede incluir quién le envió el correo electrónico y cuándo se envió, pero no el contenido del correo electrónico real.
  • Orden de búsqueda: esto permite a las fuerzas del orden acceder al contenido en sí, especialmente al contenido almacenado, que incluye correos electrónicos, fotos, videos, publicaciones, mensajes directos e información de ubicación. Aunque la ECPA establece que los correos electrónicos almacenados durante más de 180 días se pueden obtener mediante citaciones, la regla se remonta al hecho de que las personas a menudo guardan los correos electrónicos en el servidor de otra empresa (¿qué tan atrás está su bandeja de entrada de Gmail?) O cambian. como respaldo. En este punto, algunos tribunales han dictaminado que, independientemente de la antigüedad del correo electrónico, se requiere una orden de autorización para el contenido del correo electrónico, y el proveedor de servicios generalmente requiere una orden de autorización antes de aceptar la transferencia.

Si desea saber con qué frecuencia el gobierno requiere que estas empresas proporcionen datos, algunas de estas empresas publican informes de transparencia que brindan detalles básicos sobre la cantidad y los tipos de solicitudes que reciben y la cantidad de solicitudes cumplidas. También muestran cuánto han aumentado estas solicitudes a lo largo de los años. Este es el informe de transparencia de Facebook. Este es el de Google. Este es el de Apple. EFF también publicó una guía en 2017 que mostraba cómo varias empresas de tecnología respondían a los requisitos gubernamentales.

No tiene que ser sospechoso ni participar en la aplicación de la ley penal para obtener sus datos

Por lo tanto, suponiendo que haya decidido que nunca cometerá un delito, el acceso de la agencia de aplicación de la ley a sus datos nunca será un problema para usted. Está usted equivocado.

Como se mencionó anteriormente, sus datos pueden incluirse en bienes comprados a intermediarios de datos. O puede recopilarse en un rastreo digital, también conocido como orden de registro inverso, donde la policía solicita datos sobre una gran cantidad de personas, con la esperanza de encontrar sospechosos en ellos.

Granick, de la American Civil Liberties Union, dijo: “Estas son nuevas tecnologías que descubren cosas que nunca se han descubierto en el pasado y tienen la capacidad de llevar a personas inocentes ante la justicia”.

Dos ejemplos: adónde fuiste, qué buscaste. En una orden de geofencing, las agencias de aplicación de la ley obtienen información sobre todos los dispositivos en un área específica en un momento específico (por ejemplo, la ubicación donde ocurrió un crimen), y luego reducen el alcance y obtienen a los sospechosos con la información de la cuenta de los dispositivos que creo que les pertenecía. Para una orden de búsqueda por palabra clave, la policía puede solicitar al navegador todas las direcciones IP que buscan términos específicos relacionados con el caso y luego identificar posibles sospechosos del grupo.

Estas situaciones todavía representan un área gris de la ley. Aunque algunos jueces dijeron que violaron la Cuarta Enmienda y rechazaron la solicitud del gobierno de una orden de arresto, otros les permitieron hacerlo. Hemos visto al menos un ejemplo en el que una orden de registro inverso resultó en el arresto de una persona inocente.

Durante muchos años, es posible que no le digan que se han obtenido sus datos, si se le dice

Otro aspecto inquietante es que, dependiendo del contenido y el motivo de la solicitud, es posible que nunca se sepa si la policía solicitó sus datos a una empresa o la empresa se los proporcionó. Si se le acusa de un delito y los datos se utilizan como prueba en su contra, lo sabrá. Sin embargo, si sus datos se obtienen mediante la compra de un agente de datos o como parte de una solicitud masiva, no puede hacerlo. Si una empresa le dice que la policía necesita sus datos y le informa con anticipación, puede intentar oponerse a su solicitud usted mismo. Pero los investigadores pueden obtener una orden de silencio que prohíbe a la empresa decirle algo a los usuarios. En este momento, solo puede esperar que la empresa luche por usted.

Según su informe de transparencia, Google, Apple y Facebook a veces parecen contraatacar o contraatacar, por ejemplo, si piensan que la solicitud es demasiado amplia o engorrosa, por lo que no todas las solicitudes tienen éxito. Pero estos son ellos. Esto no es necesariamente cierto para todos.

“No todos los proveedores son Google o Facebook. Todos tienen un departamento legal de alto nivel con experiencia en leyes federales de vigilancia”, dijo Granick. “Algunos proveedores, no sabemos lo que están haciendo. Quizás no hacen nada. Esto es un problema real.”

La mayoría de las solicitudes realizadas por los gobiernos e incluso las empresas más grandes del mundo darán como resultado la divulgación de al menos algunos datos de los usuarios. Durante muchos años, hemos visto que algunos datos de personas se proporcionan al gobierno sin el conocimiento de la persona. Por ejemplo, el Departamento de Justicia obtuvo los registros de suscriptores (y los registros de sus familiares) del representante demócrata Adam Schiff y Eric Swalwell de Apple a través de una citación del gran jurado. Esto sucedió en 2017 y 2018, pero no fue hasta junio de 2021 que los miembros del Congreso descubrieron que la orden de mordaza había expirado.

Si su información es borrada por algo como una orden de registro inverso, pero nunca ha sido identificado como sospechoso o acusado, si la empresa que proporcionó la información no se lo dijo, es posible que nunca lo sepa. Opsahl de EFF dijo que la mayoría de las principales empresas de tecnología publican informes de transparencia, que se consideran las mejores prácticas de la industria. Esto no significa que todos lo sigan, ni tengan que hacerlo.

Como prevenir esto

Cuando se trata de datos en poder de terceros, usted no tiene mucho control ni dice si ellos divulgan o qué divulgan. Usted confía en las leyes que se promulgaron antes del advenimiento de la Internet moderna, las interpretaciones de los jueces de ellas (asumiendo que se hizo frente a los jueces, es posible que las citaciones no lo hagan) y las empresas que poseen sus datos para combatirlas. Si recibe una notificación sobre un pedido pendiente, es posible que pueda manejarlo usted mismo. No hay garantía de que ganes.

La mejor manera de proteger los datos es utilizar un servicio que no pueda obtener los datos en primer lugar. Los problemas de privacidad, incluida la capacidad de comunicarse sin vigilancia gubernamental, han hecho que las aplicaciones de mensajería encriptada como Signal y los navegadores privados como DuckDuckGo sean populares en los últimos años. Minimizan los datos recopilados de los usuarios, lo que significa que si los investigadores intentan recopilar estos datos, no tienen nada que ofrecer. También puede pedirle al servicio que elimine sus datos de sus servidores o que no se los cargue en primer lugar (asumiendo que se trata de opciones). Si no carga nada, el FBI no puede obtener mucha información del iCloud de Apple.

En ese momento, los investigadores tendrán que intentar obtener los datos que quieren de su dispositivo … este es otro tipo de gusano legal.