"Le di a un cazarrecompensas 300 dólares. Entonces él localizó nuestro teléfono". Con ese titular comienza un artículo de MotherBoard que explica cómo T-Mobile, Sprint y AT&T están vendiendo el acceso a los datos de ubicación de sus clientes, y cómo esos datos terminan en manos de terceros no autorizados a poseerlos.
Es decir, con el número y unos pocos cientos de dólares, es posible encontrar la localización actual de la mayoría de los teléfonos en Estados Unidos. ¿Y en España? Hemos hablado con los principales operadores para ver qué sucede con los datos de geolocalización que recopilan de sus clientes.
El origen de los datos está en las operadoras
En el artículo mencionado, Joseph Cox, periodista de MotheBoard, explica cómo le facilitó un número a un cazarrecompensas que se había ofrecido a geolocalizar un teléfono utilizando un "servicio para particulares y empresas", no para la policía. Ese cazarrecompensas se lo pasó a su contacto y este le devolvió una captura de pantalla de Google Maps con un círculo azul que indicaba la ubicación actual de dicho teléfono: un área concreta de Queens, en Nueva York.
En este caso, el propietario del teléfono en cuestión había dado su consentimiento para ser localizado a través de su móvil de T-Mobile, pero, ¿qué hubiera pasado si no fuera así? Exactamente lo mismo. El cazarrecompensas, obviamente, no tenía conocimiento previo del paradero del teléfono y ni siquiera necesitó una herramienta ilegal para lograr su objetivo. Todo el proceso se basó en datos de ubicación en tiempo real que, según ha descubierto MotherBoard, se originaron en las propias compañías de telecomunicaciones, como T-Mobile, AT&T y Sprint.
El proceso es muy sencillo: el móvil se comunica constantemente con las antenas de telefonía cercanas, por lo que el proveedor de telecomunicaciones, a partir de ahí, puede calcular la ubicación aproximada del teléfono en función de su proximidad a esas torres. Lo que mucha gente desconoce es que en Estados Unidos los operadores venden el acceso a los datos de ubicación de sus clientes a otras compañías, llamadas agregadores de localización, que a su vez los comparten con terceros. Al final, la información llega al mercado negro y desde ahí puede ser obtenida por cualquiera que pague por ello.
En el caso concreto explicado por Motherboard, seis entidades diferentes tuvieron acceso potencial a los datos del teléfono. Tras llevar a cabo una investigación, han demostrado que, en Estados Unidos, una gran variedad de compañías pueden acceder a los datos de ubicación de los teléfonos móviles. Esa información se filtra desde los teleoperadores y termina en un amplio número de clientes, que no necesariamente cuentan con las medidas de seguridad adecuadas para proteger esos datos.
Qué sucede en España
Ante la situación revelada por el artículo de MotherBoard, hemos contactado con los proveedores de telecomunicaciones que operan en España para conocer si en nuestro país se recopilan y se venden los datos de ubicación de los teléfonos móviles. Todos ellos, dicho sea de paso, se han sorprendido con lo que sucede en Estados Unidos y desconocen la existencia de agregadores de localización.
Orange nos ha reconocido que sí vende datos de geolocalización a empresas e instituciones, pero "siempre lo hace de manera anonimizada y agregada", es decir, por volumen (Big Data). Nunca comparten información de clientes concretos o de números de teléfono, salvo que la petición se realice bajo mandato judicial o a instancia policial.
Vodafone, por su parte, también niega la venta o cesión de información concreta e individualizada a terceros. Al igual que Orange, afirman que, excepto en casos de investigación o similares y siempre con la orden judicial pertinente, no comparten datos de sus clientes con ninguna empresa porque las leyes de privacidad en Europa y España lo prohíben tajantemente, especialmente tras la entrada en vigor del nuevo reglamento de protección de datos.
Sí que disponen, no obstante, del servicio Vodafone Analytics, una herramienta que, a través del Big Data, ayuda a las empresas y administraciones públicas a generar patrones de comportamiento para planificar su actividad. Esta solución solo utiliza datos agregados y anonimizados, y no permite acceder a ningún tipo de dato personal de individuos concretos. Es decir, al iagual que ocurre con Orange, la información se presenta de forma agregada por núcleos poblacionales concretos y, por tanto, "no se usan datos que permitan ubicar o contactar con individuos".
Telefónica, a través de LUCA (su unidad de negocio especialista en Big Data), también comercializa información generada a partir de datos de sus clientes, pero siempre se realiza en grandes bloques de datos agregados y anonimizados, "nunca se comparten datos concretos de usuarios salvo requerimiento judicial".
Para contrastar la veracidad de estas afirmaciones, hemos hablado con Abel Loeches, abogado especializado en protección de datos de Akela Asesores, y nos ha confirmado que, efectivamente, el nuevo reglamento de protección de datos prohíbe este tipo de prácticas, pero incluye algunas bases legales a los que podrían agarrarse los operadores.
Acogiéndose a ellas y empleando textos largos y confusos de información y consentimiento, podría darse el caso de que los operadores sí cedieran algunos datos concretos de los usuarios. No obstante, Abel Loeches asegura que "la práctica generalizada" entre los proveedores de telecomunicaciones que operan en España es comercializar solo bloques datos agregados y anonimizados (salvo mandato judicial).
Ver 5 comentarios