Una investigación realizada por un periodista revela cuántos de nuestros datos pasan a través de muchas empresas a manos desconocidas. Además, el hombre pudo averiguar cómo llegaron sus datos de Europa a la empresa estadounidense. Aún así, tenía muchas preguntas sobre todo la relación de los contratistas de la CIA.

El periodista noruego Martin Gundersen de NRK se preguntó qué hacen realmente 160 de las aplicaciones instaladas en su teléfono. El autor decidió averiguar a dónde va la información y trató de localizar a los que siguen a los usuarios de las aplicaciones. Tecno Geek va a contar sobre la increíble investigación de NRK.

Foto de Martin Gundersen. Fuente Kantar.no

Cómo llegaron los datos del periodista a la empresa vecina con los contratistas de la CIA y el Ministerio de Defensa

Gundersen tenía motivos para sentir que le están siguiendo y rastreando su actividad. Antes de eso, el periodista ya había trabajado en una historia sobre cómo 8,3 mil teléfonos permiten rastrear personas en hospitales y refugios para mujeres. Luego, el equipo de NRK por 4 mil dólares obtuvo acceso a datos sobre los movimientos de miles de noruegos. Por supuesto, esta información permitió desanonimizar a los usuarios.

Gundersen también recordó un caso en 2018. Un propietario de un KFC abandonado en Arizona fue detenido por contrabando de drogas a través de un túnel debajo de la frontera entre Estados Unidos y México. El WSJ luego informó que la operación fue en parte exitosa porque la Guardia Fronteriza de EE. UU. utilizó datos de geolocalización disponibles comercialmente para las personas.

La empresa que proporcionó la información a las autoridades resultó ser Venntel, ubicada en Virginia, junto a contratistas militares y ex empleador de Edward Snowden. Con ella, el periodista noruego inició una investigación. En agosto de 2020 solicitó una copia de todos los datos sobre sí mismo bajo la ley GDPR, que se aplica a los residentes de la Unión Europea.

A Gundersen se le respondió casi de inmediato y se le preguntó sobre varios lugares que había visitado recientemente. Él proporcionó a Venntel las direcciones de su oficina en la sede de NRK en Oslo y su alojamiento. Después de eso, la compañía prometió verificar si hay un identificador publicitario para el periodista en el sistema.

Un mes después, el hombre recibió una respuesta de Venntel con un archivo adjunto, que contenía información sobre dónde había estado las últimas 75,4 mil veces desde el 15 de febrero. El periodista podía, literalmente, seguir cada uno de sus pasos en el mapa: caminar, salir a tomar algo y visitar a su abuela.

Una imagen que muestra los datos de geo en una ciudad
El rastreo de movimientos del periodista

Según Gundersen, aunque el archivo adjunto no incluía números de teléfono ni nombres, cualquiera podría identificar fácilmente a una persona específica. Basta con realizar una búsqueda por las direcciones en las que se encontraba con mayor frecuencia: en el apartamento y la oficina de NRK. La carta también decía que la compañía compartió datos con clientes que pueden usarlos con fines de seguridad nacional, pero no se especificó de qué organizaciones se trataba.

Sobre todo, el periodista estaba interesado en cómo exactamente los datos sobre sus movimientos llegaban a la empresa estadounidense. Estudió los acuerdos de privacidad en todas las aplicaciones que instaló y no encontró ninguna mención de Venntel en ninguna parte.

La compañía respondió a esto que recibió información de la empresa matriz Gravy Analytics, solo en algunos casos sabiendo de qué aplicaciones provenían los datos. Como descubrió Gundersen, Gravy Analytics es un corredor de datos que trabaja con marketing. La empresa recopila datos de clientes para mejorar la orientación de los anuncios y, supuestamente, no está familiarizada con la mayoría de las fuentes.

Sin embargo, la respuesta a la solicitud del periodista también contenía los nombres de otras dos empresas: Predicio en Francia y Complementics en Estados Unidos. Después de otra ronda de consultas, Gundersen descubrió que algunos de los datos llegaron a Venntel de los desarrolladores eslovacos de Sygic. Ha lanzado 70 aplicaciones, una de las cuales tiene más de 200 millones de descargas.

Un esquema de movimiento de los datos personales
Esquema de movimiento de datos de Gundersen de Noruega a EE.UU., posiblemente a los contratistas de la CIA

Las empresas reciben datos sin pasar por las leyes europeas y los desarrolladores no lo saben

El 15 de febrero, Gundersen instaló dos aplicaciones de navegación de Sygic. Ambos solicitaron consentimiento para “personalizar la experiencia publicitaria”. Como el periodista descubrió más tarde, la empresa, incluso con su consentimiento, violó las leyes europeas cuando transfirió datos a Gravy Analytics.

Como se indica en la política de privacidad de una empresa estadounidense, puede usar datos para combatir el crimen, proteger la seguridad nacional y detectar fraudes. Pero Gundersen solo acordó usar los datos con fines publicitarios. Es contrario al GDPR europeo, según supo el periodista después de consultar con abogados.

Otra aplicación que probablemente también infringió las leyes de transferencia de datos fue Fu *** Weather. Al instalar pronósticos meteorológicos obscenos, se dijo que los datos del usuario se recopilan para análisis y “monetización”. Sin embargo, esto no es compatible con GDPR, porque cualquier cosa puede caer dentro de la definición de monetización.

Una imagen de la app Fu** Weather
“No mires el cielo de mierda a menos que quieras joder tu estado de ánimo”

El periodista nunca pudo averiguar exactamente cómo llegaron los datos de las tres aplicaciones a Venntel, pero pudo haber sido ayudado por la empresa de intercalarios Predicio, con sede en Francia. Al mismo tiempo, los propios desarrolladores dijeron que no sabían sobre la transferencia de datos a la empresa estadounidense. Venntel no reveló una lista específica de fuentes de información.

¿A qué llegó el periodista y qué preguntas quedaron sin respuesta?

Si bien GDPR fue una gran victoria en 2018 desde una perspectiva de privacidad, muchas partes de la industria de la publicidad no han cambiado desde entonces. Las empresas han seguido utilizando prácticas antiguas, pero ahora las disfrazan como algo nuevo.

A pesar de que Gundersen logró rastrear el camino de los datos desde Noruega hasta los Estados Unidos hasta cierto punto, todavía tenía muchas preguntas. Por ejemplo, le interesa saber cuáles de los clientes de la empresa recibieron sus datos y si pueden estar asociados al sector de defensa, inteligencia o el FBI.

Otra imagen que muestra el rastreo de movimientos del periodista
Movimientos de Gundersen por el patio durante el aislamiento durante la pandemia

Gravy Analytics no respondió a las consultas y la subsidiaria Venntel se negó a ser entrevistada. En un breve comunicado, Venntel solo afirmó que no compartió datos sobre los movimientos del periodista con los servicios fronterizos y migratorios de Estados Unidos. Además, la compañía comenzó a negar cualquier relación con Sygic, aunque Gundersen no afirmó tener una conexión directa.

En una declaración a NRK, el Servicio de Control de Fronteras de EE.UU dijo que solo tiene acceso limitado a los datos de geolocalización disponibles comercialmente de los usuarios. La información supuestamente se usa con “reglas y regulaciones apropiadas”. Pero los representantes de la agencia no respondieron a los reporteros si había excepciones para ciudadanos fuera de los Estados Unidos.

El FBI y el ICE confirmaron que han firmado contratos con Venntel, pero no respondieron preguntas sobre cómo rastrean a los residentes de la UE. Predicio no mencionó una sociedad con una empresa estadounidense, mientras que Complementics dijo que los datos solo se utilizaron para análisis de marketing.

Solemos olvidar la mayoría de los lugares que visitamos y lo que hicimos allí. Es extraño ver datos sobre tus propios paseos, incluso si no están relacionados con el romance, las reuniones secretas o ir al médico.

La mayoría de nosotros tenemos momentos en nuestra vida que no quisiéramos compartir ni siquiera con las personas más cercanas, y mucho menos con las autoridades o el gobierno. El matiz es que alguien ya tiene estos datos. Datos sobre nuestros movimientos.
Martin Gundersen