Cuando el medio católico The Pillar usó datos de una app para deducir la orientación sexual de un alto funcionario de la Iglesia, expuso un problema que va más allá del debate sobre la doctrina religiosa y del celibato sacerdotal.
Con pocas restricciones en Estados Unidos sobre lo que las empresas pueden hacer con la gran cantidad de datos que recopilan de visitas a páginas web, apps y los rastreos de ubicación integrados en los celulares, no se puede hacer mucho para evitar espiar de forma similar a políticos, celebridades y prácticamente cualquiera que esté en la mira de la curiosidad -o la malicia- de otra persona.
Mencionando acusaciones de «posible comportamiento inadecuado», la Conferencia de Obispos Católicos de Estados Unidos anunció el martes la renuncia de su funcionario administrativo principal, monseñor Jeffrey Burrill, antes de publicarse un reportaje de The Pillar que exhibía su vida privada.
The Pillar dijo que obtuvo datos de ubicación «comercialmente disponibles» de un vendedor que no nombró y que se «correlacionan» con el teléfono de Burrill, para determinar que él había visitado bares homosexuales y residencias privadas mientras usaba Grindr, una aplicación de citas popular entre homosexuales.
«Casos como este sólo se van a multiplicar», dijo Alvaro Bedoya, director del Centro para la Privacidad y Tecnología de la Georgetown Law School.
Desde hace mucho tiempo, defensores de la privacidad han pedido leyes que prevengan tales abusos, aunque en Estados Unidos sólo existen en algunos estados y en diversas formas. Bedoya dijo que el despido de Burrill debería exponer el peligro de esta situación y finalmente provocar que el Congreso y la Comisión Federal de Comercio (FTC) tomen medidas.
Las preocupaciones por la privacidad con frecuencia se interpretan con términos abstractos, comentó, «cuando en realidad es: ‘¿Puedes explorar tu sexualidad sin que tu empleador te despida? ¿Puedes vivir en paz y sin temor después de una relación abusiva?'». Muchas víctimas de abuso se cuidan mucho para asegurar que su abusador no las vuelva a encontrar.
Como empleado del Congreso en 2012, Bedoya trabajó en un proyecto de ley que buscaba prohibir aplicaciones que permiten que abusadores rastreen secretamente las ubicaciones de sus víctimas a través de los datos de sus smartphones, pero nunca fue aprobada.
«Nadie puede afirmar que esto es una sorpresa», dijo Bedoya. «Nadie puede afirmar que no fueron advertidos».
Los defensores de la privacidad han advertido durante años que los datos personales y ubicación recopilada por anunciantes, agrupada y vendida por comerciantes, puede usarse para identificar a individuos, que no se protege tanto como debería y que no está regulada por leyes que requieran el claro consentimiento de la persona rastreada. Se necesitan tanto protecciones legales como técnicas para que los usuarios de celulares puedan evitarlo, dicen.
The Pillar acusó a Burrill de presunta «mala conducta sexual en serie»: la doctrina católica considerada la homosexualidad como un pecado y se espera que los sacerdotes permanezcan célibes. El sitio web del medio indica que se enfoca en el periodismo de investigación que «puede ayudar a la Iglesia a cumplir mejor su misión sagrada: la salvación de almas».
Los editores no respondieron el jueves a las peticiones de comentarios sobre cómo obtuvieron los datos. El reportaje sólo dice que los datos provinieron de uno de los comerciantes de datos que agrupan y venden datos de las señales de apps y que el medio también contrató a una firma de consultoría de datos independiente para autenticarlos.
Hay comerciantes que cobran miles de dólares por mes a cambio de enormes volúmenes de datos de ubicación, algunos de los cuales se promocionan no sólo para mercadólogos, sino para dueños de propiedades, empresas de fianzas y cazadores de recompensas, dijo John Davisson, asesor en el Centro de Información de Privacidad Electrónica. Agregó que alguien que intenta «hacer ingeniería inversa» de los datos de una persona de ese paquete agrupado podría potencialmente obtenerlo de uno de los muchos clientes en la cadena de datos.
«Es sorprendente y alarmantemente barato obtener datos de ubicación derivados de teléfonos móviles», dijo Davisson. «Es lo suficientemente fácil que una parte determinada puede hacerlo».
El senador demócrata Ron Wyden dijo que el incidente confirma una vez más la deshonestidad de una industria que falsamente afirma proteger la privacidad de los usuarios de teléfonos.
«Los expertos han advertido desde hace años que los datos recopilados por parte de las empresas publicitarias de los celulares de los estadounidenses pueden usarse para rastrearlos y revelar los detalles más personales de sus vidas. Desafortunadamente, tenían razón», dijo en un comunicado. «Los comerciantes de datos y empresas publicitarias le han mentido a la gente, asegurándoles que la información que recopilaron era anónima. Adicionalmente, este terrible incidente demuestra que esas afirmaciones eran falsas: los individuos pueden ser rastreados e identificados».
Wyden y otros legisladores pidieron el año pasado a la FTC que investigara a la industria. Necesita «involucrarse y proteger a los estadounidenses de estas indignantes infracciones a la privacidad y el Congreso debe aprobar una ley federal de privacidad integral», agregó.
El supervisor de privacidad de datos de Noruega concluyó hace unos meses que Grindr compartía datos personales de usuarios con terceros sin base legal y dijo que le impondría una multa de 11,7 millones de dólares, el equivalente a 10% del ingreso global de la empresa con sede en California.
Los datos filtrados a empresas de tecnología publicitaria para segmentación de anuncios incluían ubicaciones de GPS, información de perfil del usuario, así como el simple hecho de que usaban Grindr, lo que podría indicar su orientación sexual.
La Autoridad de Protección de Datos de Noruega ha advertido que compartir dicha información podría provocar que alguien sea atacado. Argumentó que la forma en que Grindr pedía permiso a los usuarios para usar la información infringía los requisitos de la Unión Europea de «consentimiento válido». Los usuarios no recibían la oportunidad de optar por no compartir datos con terceros y estaban obligados a aceptar en su totalidad las políticas de privacidad de Grindr y tampoco les informaban adecuadamente sobre la forma en que compartían datos, agregó.
Entre los socios publicitarios con los que Grindr compartió datos están Twitter, el servicio Xandr de AT&T y otras empresas tecnológicas-publicitarias como OpenX, Adcolony y Smaato, dijo la agencia noruega. Su investigación se desarrolló luego de una queja de un grupo de consumidores noruego que encontró problemas de filtración similares en otras apps populares de citas, como OkCupid y Tinder.
En un comunicado, Grindr dijo que el reportaje de The Pillar era una «cacería de brujas homofóbica y poco ética» y que no «cree» que fuera la fuente de los datos usados. La empresa dijo que tiene políticas y sistemas vigentes para proteger datos personales, aunque no especificó cuándo fueron implementados. The Pillar dijo que los datos de la app que obtuvo sobre Burrill abarcaban partes de 2018, 2019 y 2020.