TALLER FTC “EL RASTREO DE LOS DISPOSITIVOS MOVILES” INFORME SOBRE MOBILE DEVICE TRACKING: Puntos Claves & Recomendaciones Michael D. Panzera Counsel for International Consumer Protection U.S. Federal Trade Commission Medellín, Colombia. Mayo 2015 ENFOQUE DEL TALLER Análisis del sector de empresas que promueven la analítica de móviles a través de la localización (“Mobile Location Analytics” o MLA) Elaboración de las ventajas y desventajas en cuanto a la práctica de rastrear los dispositivos móviles de los consumidores mientras circulan por las tiendas y otros lugares (p.ej., centros comerciales, aeropuertos) utilizando tecnologías que identifican señales emitidas desde los dispositivos móviles. INDICE I. II. III. IV. V. VI. Resumen de la Tecnología Ventajas Riesgos y Inquietudes sobre privacidad Iniciativas autorreguladoras La Perspectiva de la FTC sobre la Geolocalización Enforcement FTC en el contexto de Geolocalización I. TECNOLOGIA ● Hay que distinguir entre: A. “Location-aware Devices” B. “Device-aware Locations” ● Términos claves: A. “MAC Addresses” B. “Hashing” I. TECNOLOGIA A. “LOCATION-AWARE DEVICES” (LOS DISPOSITIVOS RECEPTORES CON DETECCIÓN DE UBICACIÓN) A. LOCATION-AWARE DEVICES ● La ubicación se determina sea internamente por un dispositivo o sea externamente por los sistemas y redes con las que el dispositivo interactúa. ● La información de ubicación que resulta puede ser almacenada, utilizada y transmitida bajo ciertas condiciones. A. LOCATION-AWARE DEVICES Las herramientas de ubicación incluyen el plug-in del navegador o aplicaciones instaladas en dispositivos smartphone. La ubicación física puede determinarse utilizando satélites GPS, antenas de telefonía móvil, puntos de acceso inalámbricos, o una combinación de estas herramientas. A. LOCATION-AWARE DEVICES: APPS platforms & privacy – shb 2011 A. LOCATION-AWARE DEVICES: APPS Caso Goldenshores (“Brightest Flashlight app”): B. “DEVICE-AWARE LOCATIONS” (LUGARES QUE DETECTAN LA PRESENCIA DE LOS DISPOSITIVOS A TRAVÉS DE SENSORES) B. DEVICE-AWARE LOCATIONS *the venue tracks the device B. DEVICE-AWARE LOCATIONS B. DEVICE-AWARE LOCATIONS: ◙El dispositivo móvil es en realidad una serie de antenas de transmisión. ◙ Cada una de estas antenas emiten señales que permiten la triangulación de la ubicación del dispositivo. ◙ Hay empresas que venden a tiendas, etc. un servicio según el cual se instalan aparatos receptores o sensores con el fin de interceptar esas mismas señales para realizar la triangulación del dispositivo. ◙ A través de esta intercepción, el aparato también recibe el identificador único y persistente del dispositivo móbil y su ubicación aproximada, entre otros metadatos asociados. I. TECNOLOGIA: MAC ADDRESSES Cada dispositivo de red tiene una Dirección MAC (“media access control”) que es única y que se representa por una serie de 12 números y letras establecida por el fabricante. ►Por lo tanto, se usa una Dirección MAC para identificar el dispositivo correspondiente en los redes de Wi-Fi or por dispositivos Bluetooth. I. TECNOLOGIA: MAC ADDRESSES La detección de las direcciones MAC ● Las direcciones MAC se emiten automaticamente cuando un dispositivo busca Wi-Fi / Bluetooth cuando estas funcionalidades estén activadas. ● Las direcciones MAC se recopilan por las empresas de analítica de ubicación móbil a través de: ◙ sensores colocados en varios locales o ◙ la integración de su tecnología en los puntos de acceso Wi-Fi ●Cabe señalar que estas empresas no interactuan directamente con los consumidores. Es decir, no se precisa descargar una aplicacion o conectar con una red WiFi. I. TECHNOLOGY: HASHING Hash (lit. “troceo”) ● Una función de hash es una función que se puede utilizar para transformar los datos de tamaño arbitrario en datos de tamaño fijo. ● Los valores que resultan a través de una función hash se llaman “valores hash,” “códigos hash,” “sumas de hash,” o simplemente “hashes.” I. TECHNOLOGY: HASHING I. TECHNOLOGY: HASHING se transforma en… echo -n "E8:06:88:7B:EA:F3" | shasum -a 256 48fe4d4f1b4cc95567a8794830401081cd9ff1a79 b644782129e5c51569b88aa I. TECHNOLOGY: HASHING Función Hash Criptográfica ● permite la verificación de que datos introducidos corresponden a un valor hash almacenado. ● se usa para la autenticación de datos y contraseñas ● Las empresas normalmente procesan las direcciones MAC por una función hash antes de almacenarlas, pero… I. TECHNOLOGY: HASHING ◙ El valor hash que se resulta es necesariamente igual casa vez que se aplica la función. I. TECHNOLOGY: HASHING ◙ Es decir, las direcciones MAC que se procesaron por una función hash aún quedan identificadores únicos y persistentes de modo que las empresas pueden analizar la ubicación y el movimiento de un dispositivo a través de las localidades que utilizan los servicios de rastreo que proporcionan esta empresa. II. VENTAJAS II. VENTAJAS: CONSUMIDOR ¡CUPONES! II. VENTAJAS: CONSUMIDOR II. VENTAJAS: EMPRESAS “MLA: Mobile Logistics Analytics” Las empresas que proveen servicios de Mobile Device Tracking proporcionan a sus clientes (tiendas, centros comerciales, aeropuertos, etc.) datos en forma agregada. Se usan los datos para: Identificar y analizar tendencias en el mercado Seguir el paso de los consumidores Averigüar cuanto tiempo se demoran en filas o sitios particulares Determinar el porcentaje de consumidores nuevos vs. leales Estimar las tazas de retorno II. VENTAJAS: EMPRESAS “MLA: Mobile Logistics Analytics” “Shopper funnel reports” Datos basados en los señales de dispositivos móviles pueden demostrar la propensión que tengan los transeúntes afuera en convertirse en visitantes a la tienda. II. VENTAJAS: EMPRESAS II. VENTAJAS: EMPRESAS Inferencias demográficas III. PROBLEMAS: RIESGOS & INQUIETUDES EN MATERIA DE LA INTIMIDAD III. PROBLEMAS SIN PREVIO AVISO ¿CONSENTIMIENTO? PROTECCION/SEGURIDAD ¿REIDENTIFICACION? CONVERGENCIA CON OTROS SISTEMAS III. PROBLEMAS: FALTA DE AVISO FALTA DE TRANSPARENCIA En la mayoría de los casos, el rastreo se efectua sin aviso previo a los consumidores Falta de avisos en las tiendas Recopilación pasiva: Ni siquiera se detecta la observación o la recopilación de las Direcciones MAC FALTA DE CONSTANCIA La mayoría de los consumidores no tienen constancia de esta forma de rastreo. III. PROBLEMAS: FALTA DE CONSENTIMIENTO Normalmente se efectua el rastreo sin el consentimiento previo del consumidor. No se puede prevenir la recopilación de las direcciones MAC sin desactivar los funcionamientos Wi-Fi & Bluetooth. Mecanismos “opt out” (si es que existen) resultan dificiles de encontrar y usar III. PROBLEMAS: REIDENTIFICACION III. PROBLEMAS: PROTECCION DE DATOS Los datos de geolocalización pueden revelar muchos otros datos personales, p.ej. Donde trabajan Donde viven Servicios de salud Colegas Etc. Puede causar daño a los usuarios si hay un acceso no autorizado. III. PROBLEMAS: CONVERGENCIA Posibilidad de Rendir a los datos aún más Sensibles ASOCIACIÓN: Las empresas no pueden acceder la información contenida en un smartphone…pero otras entidades que recopilan las direcciones MAC en otros contextos pueden asociar datos personales adicionales a las direcciones MAC PERFILES COMPRENSIVOS: Si se comparten o transmiten estos datos, o si se vinculan con tarjetas de fidelidad, las empresas tendrán la posibilidad de anudar las direcciones MAC a individuales con el fin de formar perfiles comprensivos sobre ellos. Estos perfiles también pueden venderse o transmitirse a terceros. III. PROBLEMAS: CONVERGENCIA IV. INICIATIVAS AUTORREGULATORIAS Future of Privacy Forum Código de Conducta de Mobile Location Analytics (MLA) 7 PRINCIPIOS: 1. Aviso 2. Restricciones de Recopilación 3. Elección & Consentimiento 4. Prohibiciones en la Recopilación o Uso 5. Transferencias gobernadas por Contrato 6. Retención Limitada y Eliminación de datos 7. Iniciativas Educativas NB: ¡Se limite a los Tracking Companies! IV. INICIATIVAS AUTORREGULATORIAS MLA Código de Conducta AVISO DE LA PRIVACIDAD ONLINE MLA Companies shall provide a detailed privacy notice at their websites which describes the information they collect and use and the services they provide. This detailed notice shall include the following information: Information collected by the MLA service Steps taken to protect, de-identify, or de-personalize any tracking identifiers collected and statement of commitment not to re-identify data A data retention statement Information about data sharing, including law enforcement access Description of whether data is provided to clients in individual or aggregate form Disclosure about appending additional data to any unique user profile; How consumers can exercise any choices required by this Code A method that consumers can use to contact the MLA Company with privacy questions A consumer-friendly description of how the technology works or a link to such information on the MLA Company site or at a Central Industry Site IV. INICIATIVAS AUTORREGULATORIAS MLA Código de Conducta AVISO EN SITU Se exige que las empresas de mobile device tracking tomen “medidas razonables” para asegurar que las tiendas coloquen avisos conspícuos sobre la recopilación y el uso de datos MLA. IV. INICIATIVAS AUTORREGULATORIAS IV. INICIATIVAS AUTORREGULATORIAS MLA Code of Conduct RECOPILACION LIMITADA MLA Companies who collect location information from mobile devices for the purpose of providing location analytics shall limit the data collected for analysis to information needed to provide analytics services. In the provision of MLA services, MLA Companies shall not collect personal information or unique device information, unless it is promptly de-identified or de-personalized, or unless the consumer has provided affirmative consent. If MLA Companies append data or add third party data to a user’s profile that includes a device identifier or a hashed device identifier, they shall disclose such practices in their privacy notice. Any process used to link data to a unique device identifier, shall employ methodologies that maintain the data’s de-identified or de-personalized status, unless a consumer has provided Affirmative Consent to the use of MLA Data. IV. INICIATIVAS AUTORREGULATORIAS MLA Código de Conducta ELECCION ● Mecanismo centralizado para efectuar un “opt-out” ● Informar a los consumidores que pueden apagar sus móviles no se considera una elección libre. IV. INICIATIVAS AUTORREGULATORIAS MLA Código de Conducta PROHIBICIONES No se puede usar los datos para facilitar una decisión sobre empleo, seguros, salud o crédito. IV. INICIATIVAS AUTORREGULATORIAS MLA Código de Conducta TRANSFERENCIAS CONTRACTUALES Cualquiera tranferencia de los datos a terceros no afiliados debe someterse a obligaciones contractuales que sean consistentes con los principios del Código. IV. INICIATIVAS AUTORREGULATORIAS MLA Code of Conduct RETENCION DE DATOS Se exige promulgar políticas de la retención de datos y la eliminación de datos únicos relacionados con dispositivos. IV. SELF-REGULATORY EFFORTS MLA Code of Conduct INICIATIVAS EDUCATIVAS ◙ Central Industry Site ◙ Símbolo Estandarizado ◙ Materias para el público V. LA PERSPECTIVA DE LA FTC Según la FTC, los datos de geolocalización se consideran “sensibles,” dado que pueden revelar muchos otros datos. Movimientos actuales del consumidor Un récord comprensivo de estos movimientos Otra información personal Acceso no autorizado puede resultar en daño al consumidor Acecho, violencia doméstica, etc. Robo de identidad Por lo tanto se precia consentimiento previo y afirmativo. V. LA PERSPECTIVA DE LA FTC LPPA “Proposed Location Privacy Protection Act of 2014” FTC apoya las metas generales: TRANSPARENCIA OF GEOLOCATION SERVICES ELECCION DEL CONSUMER FTC apoya disposiciones particulares, tales como: DEFINICIONES DE GEOLOCALIZACION OBLIGACION DE DIVULGAR CONSENTIMIENTO AFIRMATIVO VI. FTC ENFORCEMENT Caso NOMI (Retail Tracking Firm): NUESTRO ENTORNO LEGISLATIVO EN PRIVACIDAD US-EU / -Swiss Safe Harbor (2001/-7) •APEC Cross Border Privacy Rules System ( 2013) •BCR (2015) •Más restrictivo •Restrictivo •Normas sectoriales •Legislación pendiente •Sin legislación Los principios de Privacidad son generalmente aceptados en todas las jurisdicciones pero muchas leyes restringuen la transferencia internacional de datos ¡MUCHISIMAS GRACIAS! ¿Preguntas o Comentarios? mpanzera@ftc.gov