Varias agencias federales usaron ilegalmente datos de localización de los smartphones de estadounidenses

Un informe secreto de un organismo de control revela que varias agencias federales obtuvieron y utilizaron ilegalmente los datos de localización de los teléfonos inteligentes de los estadounidenses, sin disponer de suficientes salvaguardias para proteger la privacidad.

Un informe de la Oficina del Inspector General (OIG, por sus siglas en inglés) del Departamento de Seguridad Nacional (DHS, por sus siglas en inglés), recientemente publicado, revela que tres agencias federales infringieron la ley al obtener y utilizar datos de localización disponibles en el mercado obtenidos de aplicaciones normales instaladas en los teléfonos inteligentes de los usuarios.

En concreto, el organismo de control descubrió que el Servicio de Inmigración y Control de Aduanas (ICE, por sus siglas en inglés), la Oficina de Aduanas y Control Fronteriza (CBP, por sus siglas en inglés) y el Servicio Secreto no respetaron las políticas de privacidad o no desarrollaron políticas suficientes antes de adquirir y utilizar datos comerciales sobre los estadounidenses, que a menudo se recopilaban sin su conocimiento.

La información, denominada datos telemétricos comerciales (CTD, por sus siglas en inglés), es adquirida en grandes cantidades por una serie de agencias federales, además de las tres afiliadas al DHS enumeradas en el informe del organismo de control. Se trata de una práctica que, según los críticos, obvia el requisito de la Cuarta Enmienda de obtener una orden judicial.

Riesgos para la privacidad y la seguridad

Un informe reciente de The Epoch Times muestra que las agencias de inteligencia y espionaje de Estados Unidos han comprado y almacenado enormes cantidades de datos de este tipo sobre estadounidenses, incluidos datos de localización, de teléfonos inteligentes y de navegación por Internet, con el consiguiente riesgo para su privacidad e incluso su seguridad.

Aunque los CTD pueden ser anónimos, a menudo es posible desanonimizarlos e identificar a las personas a las que pertenecen, incluidas personas en Estados Unidos.

Según otro informe sobre el uso de CTD por parte de las agencias de inteligencia, después de someter los datos a diversos tipos de tratamientos de «desanonimización» o «reidentificación», esta información podría utilizarse para «dañar la reputación, el bienestar emocional o la seguridad física de una persona».

CBP, ICE y el Servicio Secreto han citado varios usos de CTD para fines de inteligencia policial, como ubicaciones históricas de dispositivos móviles relacionadas con actividades delictivas.

Pero, según el informe de vigilancia, los tres componentes del DHS incumplieron una ley destinada a proteger la privacidad de los usuarios cuando obtuvieron y utilizaron sus datos de localización, lo que plantea diversos riesgos.

Un portavoz de la organización activista Electronic Frontier Foundation (EFF) declaró a The Epoch Times, en un comunicado enviado por correo electrónico, que el informe de la OIG demuestra que las agencias del DHS han estado «jugando sucio con la adquisición de los datos de localización de los estadounidenses» y que el Congreso debería prohibir la obtención de CTD sin orden judicial.

El DHS ha respondido a las conclusiones del organismo de control en una serie de declaraciones incluidas en el informe, y se ha comprometido a poner remedio.

«El DHS mantiene su compromiso de evaluar el riesgo para la privacidad de los sistemas y programas del DHS, y de desarrollar y aplicar estrategias de mitigación para salvaguardar la privacidad individual, según proceda», dijo la agencia en un comunicado.

Letanía de fallos

El organismo de control descubrió que las tres agencias del DHS no cumplían la Ley de Administración Electrónica de 2002, que exige que la tecnología sensible a la privacidad —o los datos obtenidos de ella, como el CTD— sólo puedan adquirirse o utilizarse después de que las agencias obtengan primero una Evaluación del Impacto sobre la Privacidad (PIA) aprobada.

El organismo de control afirmó que las agencias adquirieron o utilizaron datos telemétricos comerciales sin PIA aprobadas.

«Sin una PIA, el CBP, el ICE y el Servicio Secreto pueden no haber identificado y mitigado los riesgos para la privacidad asociados con el uso de CTD», dice el informe, señalando también que uno de los riesgos es que el uso de los datos podría exponer información sensible de identificación personal.

Las agencias no cumplieron la ley y no obtuvieron PIA en parte porque carecían de suficientes controles internos para cumplir con las políticas de privacidad del DHS, y porque la Oficina de Privacidad del DHS no cumplió o hizo cumplir sus propias políticas y directrices de privacidad.

Además, los organismos carecían de políticas y procedimientos para garantizar que utilizaban el CTD adecuadamente.

«El ICE y el Servicio Secreto no desarrollaron políticas y procedimientos específicos para el CTD», afirma el informe del organismo de control, al mismo tiempo que señala que las normas de comportamiento de la CBP en relación con el CTD eran provisionales hasta que se desarrollara algo permanente en un momento posterior.

Además, en un caso citado en el informe, un empleado de la CBP utilizó datos telemétricos comerciales «de forma inapropiada para rastrear a compañeros de trabajo», lo que dio lugar a una queja presentada por un empleado de ICE el 20 de agosto de 2020. El asunto fue «resuelto administrativamente», según el informe.

El organismo de control presentó ocho recomendaciones para abordar las diversas deficiencias relacionadas con el CTD por parte de las agencias.

La solución

Una recomendación clave fue que la CBP suspendiera el uso de CTD hasta que se completaran y aprobaran las PIA, con el acuerdo del DHS.

«La Oficina de Operaciones sobre el Terreno del Centro Nacional de Selección de Objetivos de la CBP no tiene intención de renovar los contratos existentes para el uso de CTD, que expiran el 21 de septiembre de 2023, pero utilizará el CTD existente hasta que expiren dichos contratos», dijo la agencia en una respuesta por escrito.

Sin embargo, el DHS no está de acuerdo con la recomendación del organismo de control de que el ICE deje de utilizar datos telemétricos comerciales, y afirma que está trabajando para finalizar su PIA de servicios de geolocalización, que abordará algunas lagunas, y que su uso de tecnologías CTD no correlaciona directamente a una persona con un dispositivo.

«No concuerda», dijo la agencia. «CTD es un importante contribuyente de la misión para el proceso de investigación de ICE, ya que, en combinación con otra información y métodos de investigación, puede llenar las lagunas de conocimiento y producir pistas de investigación que de otro modo podrían permanecer ocultos».

«En consecuencia, el uso continuado del CTD permite al HSI del ICE cumplir con éxito su misión policial», añadía.

Las demás recomendaciones se referían sobre todo al desarrollo de procedimientos que mitigarían algunos de los riesgos asociados al uso de CTD.

El director de relaciones con los medios de comunicación de la EFF, Josh Richman, dijo a The Epoch Times en una declaración enviada por correo electrónico que es necesario hacer más para proteger la seguridad y la privacidad de los estadounidenses.

«Es necesario que el Congreso prohíba explícitamente a las fuerzas policiales y a los servicios de inteligencia la compra de datos a empresas privadas para los que, de otro modo, habrían necesitado una orden judicial», afirmó.

La Ley de la Cuarta Enmienda no está en venta, aprobada por el Comité Judicial de la Cámara de Representantes en julio, abordaría esta cuestión.

Con información de Zachary Stieber.

Únase a nuestro canal de Telegram para recibir las últimas noticias al instante haciendo click aquí