¿Entonces pensó que se eliminaron sus datos personales? No tan rapido


Puede ser imposible eliminar su información personal de Houseparty y otros servicios de redes sociales, ¡a pesar de la legislación de privacidad!

Mi colega Jake Moore publicó recientemente una entrada de blog Houseparty – ¿debería quedarme o debería irme ahora? La publicación me intrigó, no solo por el título tomado de la gran canción de 1982 de The Clash. Jake, con sensatez, sugiere que cuando ya no uses una aplicación, como Houseparty, elimines tanto la aplicación como la cuenta que creaste para evitar que tus datos personales queden inactivos en un servidor donde posiblemente sean propensos a formar parte de la próxima violación de datos.

Si cree que al eliminar su cuenta se elimina toda su información de identificación personal (PII) de las aplicaciones de mensajería instantánea, es posible que deba pensarlo nuevamente, y esto probablemente sea cierto para todos los servicios que fomentan la interacción social entre amigos y solicitan permiso para acceder a los contactos en dispositivo de un usuario para facilitar esto. Si, como yo, nunca ha utilizado Houseparty, se le podría perdonar por suponer que el servicio no contiene ninguna información personal sobre usted; de nuevo, es posible que deba reconsiderar esto.

Es posible que sus datos personales, como el número de teléfono y el nombre, y tal vez incluso el correo electrónico y la dirección física, se hayan cargado en servidores de empresas de mensajería instantánea y redes sociales cuando se les concede permiso para sincronizar listas de contactos desde los dispositivos de sus amigos.

WhatsApp, la plataforma de mensajería instantánea propiedad de Facebook que probablemente cuenta con el mayor número de usuarios de cualquier aplicación similar a Houseparty, solicita acceso a los contactos. Los proveedores de la plataforma de aplicaciones, como Apple y Google, exigen la solicitud de permiso para acceder a los contactos, y buscan el consentimiento necesario que exija la legislación de privacidad local. los Política de privacidad de WhatsApp afirma, "nos proporciona, todo de acuerdo con las leyes aplicables, los números de teléfono en su libreta de direcciones móvil de forma regular, incluidos los de los usuarios de nuestros servicios y sus otros contactos”.

Otra aplicación que solicita permisos similares es Telegram, una popular aplicación de chat de mensajería instantánea. La funcionalidad de esta aplicación elimina cualquier duda de que este servicio almacena la lista de contactos cargada. Después de instalar la aplicación en su teléfono y otorgar acceso a su lista de contactos, si instala la versión de escritorio, los contactos de la lista de contactos cargada en su teléfono que también tienen cuentas de Telegram estarán disponibles dentro de la aplicación de escritorio. La aplicación Telegram solicita permiso para "sincronizar sus contactos" de manera similar a otras aplicaciones. los Política de privacidad de Telegram También es muy claro sobre los datos que se utilizan, en este caso el número de teléfono, el nombre y el apellido, consulte la Figura 1 a continuación.

Figura 1

los Ley de privacidad del consumidor de California (CCPA) reconoce que un nombre real o alias es información personal y que un número de teléfono es un "identificador personal único", ya que es un identificador persistente que se puede utilizar para reconocer a un consumidor, una familia o un dispositivo que está vinculado a un consumidor o familia. los Reglamento general de protección de datos de la Unión Europea (GDPR) define legalmente un nombre como datos personales, pero es menos claro en el número de teléfono. Existen diferencias entre la legislación GDPR y CCPA: una importante es que la CCPA no solo protege a un individuo, sino que se extiende a los hogares, lo que hace que la definición de “personal” sea más amplia que solo un individuo.

¿Y Houseparty?

Al comienzo de la pandemia, un buen amigo mío, Kent, y yo nos comunicamos para organizar una reunión social virtual el viernes por la noche. Sugirió Houseparty; sin embargo, usamos Facetime debido a mi preferencia de no crear otra cuenta. Por esa discusión original, supe que Kent usaba Houseparty y tenía una cuenta; una llamada rápida confirmó que todavía tiene la aplicación instalada para mantenerse en contacto con familiares y amigos. Le pregunté a Kent si concedía permiso a Houseparty para acceder a sus contactos. Después de decir inicialmente "No, ¿por qué haría eso?", Rápidamente establecimos que lo había hecho, ya que al hacer clic para agregar un amigo a través de contactos se mostraban todos los que estaban en su lista de contactos telefónicos. Para exonerar las acciones de Kent, vale la pena señalar que la aplicación no funciona realmente como una herramienta social a menos que tenga acceso a sus amigos, ya sea a través de Facebook o su lista de contactos cargada.

Al instalar la aplicación Houseparty, se ofrecen varias opciones para permitir que la aplicación encuentre amigos que ya son usuarios o para sugerir amigos e incluso amigos de amigos (consulte la Figura 2a a continuación). Las principales opciones son permitir el acceso a los contactos almacenados en su teléfono o permitir el acceso a su cuenta de Facebook, permitiendo a Houseparty extraer su lista de amigos de la red social. La redacción de la Figura 2a establece específicamente que "sus contactos se cargarán en los servidores de Houseparty para que usted y otros puedan encontrar amigos y mejorar su experiencia". Las personas conscientes de la privacidad entre ustedes probablemente estén suspirando en este momento, especialmente ante la inferencia de que otros serán presentados a sus contactos.

Si omite otorgar el permiso durante la instalación, la aplicación le preguntará nuevamente si hace clic en "contactos" cuando intente agregar amigos. Tenga en cuenta el cambio de idioma y la divulgación que falta de que la lista de contactos se cargará en los servidores de Houseparty: consulte la Figura 2b.

Ahora que hemos establecido que la aplicación potencialmente exfiltra todos los datos de contacto de su teléfono y de cualquier cuenta de Facebook conectada, echemos un vistazo a la Política de privacidad de Houseparty para establecer exactamente qué recopilan y cómo se usa.

Si alguna vez ha utilizado una aplicación o servicio que carga sus datos de contacto, es posible que haya visto mensajes de tipo "X se ha unido" que se muestran en la aplicación o servicio. La opción de iniciar una conversación o conectarse con la persona es una notificación conveniente y la razón por la que las empresas solicitan permiso para cargar datos de contacto en sus servidores.

Política de privacidad de Houseparty: "Qué información recopilamos"

La recopilación de información de la cuenta incluye la divulgación de que se recopila "cierta información" sobre sus amigos si importa sus contactos, consulte la Figura 3.

figura 3

Y si vincula una cuenta de redes sociales, se recopila “determinada información de cuenta de redes sociales”, consulte la Figura 4.

Figura 4

El uso de las palabras "algunos" y "ciertos" parece vago al abordar la recopilación de datos de PII; esto probablemente sea por diseño, ya que una lista detallada podría causar preocupación, incluso alarma. La referencia a que los "contactos" se dividen entre las dos secciones de la política que cubren la "información de la cuenta" y las "cuentas y aplicaciones de terceros" es confusa. Lo que sí está confirmado, sin embargo, es que los números de teléfono y las direcciones de sus contactos se recopilan si otorga permiso para cargar sus contactos. Espero que por "direcciones" se refieran a direcciones de correo electrónico … ¿o estoy siendo optimista?

Política de privacidad de Houseparty: "Por qué recopilamos información"

El concepto general de que sus datos de contacto se utilizan para ayudar a conectarse con sus amigos parece perfectamente razonable y lógico: consulte la Figura 5. La sugerencia de otras conexiones basadas en sus amigos existentes implica que los usuarios se perfilan, lo que de nuevo probablemente no sea tan sorprendente para una herramienta de redes sociales.

Figura 5

Política de privacidad de Houseparty: "Cómo recopilamos información"

Al registrar una cuenta, se requiere una cantidad de datos para crear la cuenta y hay balizas del navegador y cookies web y muchos otros métodos relativamente normales y esperados de recopilación de datos, como era de esperar. La Figura 6 muestra la redacción de la sección titulada "Obtenemos información sobre usted de terceros". ¿A quién se refieren con "usted", un usuario de Houseparty o cualquier otra persona en el mundo? Una política de privacidad debe ser aceptada por las personas a las que afecta, por lo tanto, ¿es seguro para Houseparty asumir que esto significa que solo se aplica a un usuario registrado de Houseparty?

Figura 6

Luego llegamos al aguijón en la cola que puede responder a las preguntas que acabo de plantear: “También podemos recopilar información sobre usted de otros usuarios. Esto podría incluir su nombre, número de teléfono o dirección de correo electrónico si lo invitan o lo refieren a nuestra aplicación o si han vinculado sus contactos a su cuenta de Houseparty ”. Esto establece que la política de privacidad de Houseparty se aplica a un usuario que no es Houseparty y a alguien que nunca podría haber aceptado aceptar la política de privacidad de Houseparty. Esto confirma que potencialmente poseen mis datos debido a la carga de la lista de contactos de un "amigo".

Sin embargo, el "usted" se vuelve confuso al leer la siguiente sección sobre "sus opciones", ya que esto se refiere a que un usuario registrado puede tomar decisiones en la configuración de su cuenta sobre cosas tales como preferencias de marketing.

Recuperando mi identidad

He establecido anteriormente que mi amigo Kent cargó su lista de contactos y, como se indica en la política de privacidad de Houseparty, esto incluye al menos mi número de teléfono y mi nombre, ambos clasificados como PII según la Ley de Privacidad del Consumidor de California. Como residente de California, tengo el derecho de preguntar qué información de identificación personal una empresa retiene y potencialmente comparte sobre mí y, si así lo deseo, solicitar la eliminación de dichos datos. Hice tal solicitud para averiguar qué datos tienen sobre mí. Aquí hay un resumen de la conversación por correo electrónico …

Mi petición – Como residente de California, envíeme una copia de cualquier dato sobre mí que incluya mi nombre, dirección de correo electrónico o número de teléfono.

Respuesta de Houseparty – La dirección de correo electrónico desde la que nos contacta no refleja ninguna cuenta, por lo que solo puedo pedirle que envíe una nueva solicitud utilizando la dirección de correo electrónico correcta que utilizó para registrar la cuenta.

Existe una evidente desconexión entre mi solicitud y la respuesta; Les pedí datos que pudieran tener sobre mí, pero la respuesta se refiere a que no hay una cuenta registrada para los datos que proporcioné en mi solicitud. Así que volví a preguntar …

Mi petición – Nunca he tenido una cuenta y solicito la confirmación de que mi información personal no se encuentra en ningún sistema de su empresa.

Respuesta de Houseparty – No se preocupe, busco su información en nuestro sistema pero no encontré ninguna cuenta con su número de teléfono o su correo electrónico, por lo tanto, no tenemos ningún dato sobre usted.

La desconexión parece ser que no soy un usuario y, por lo tanto, no hay datos sobre mí, pero en realidad tienen acceso a los datos de contacto cargados por Kent, que incluyen mi información personal. Nunca en ningún momento les di mi consentimiento para que retengan mis datos personales ni acepté sus términos de negocios o política de privacidad. ¿Los datos se guardan como parte de la cuenta de mi amigo o se han fusionado en un conjunto de datos más grande? ¿Se están utilizando para crear perfiles de usuarios que permitan la introducción de otros amigos desconocidos hasta el momento? ¿Se eliminan los datos de la lista de contactos cargados cuando el usuario que los cargó elimina su cuenta? La respuesta es sí, según el equipo de soporte de Houseparty …

Mi petición – Si doy mi permiso para cargar mis contactos desde mi teléfono, ¿puede usted (Houseparty) confirmar qué información cargará, nombre, correo electrónico, número de teléfono, etc. Y si luego decido eliminar mi cuenta, se eliminarán todos estos datos de contacto cargados? con mi cuenta?

Respuesta de Houseparty Primero, la aplicación solicita permiso para leer sus contactos desde su dispositivo para verificar quién de sus contactos ya está usando Houseparty, por lo tanto, podrá comunicarse con ellos ya que el contacto ya existe en su dispositivo y hace que sea más rápido invitarlos a poder comunicarme contigo. Básicamente, la aplicación lee el nombre, el correo electrónico y el número de teléfono para que esos contactos se comuniquen más rápido con usted. Una vez que solicita la eliminación de una cuenta, toda la información se elimina de la cuenta de Houseparty, todos los nombres, correos electrónicos y números de teléfono de sus contactos, así como la información que utilizó para crear su propia cuenta.

Mi petición – confirmación de que se cargan las listas de contactos y si solicito la eliminación de la cuenta, ¿se eliminarán también mis datos de contacto de todas las cuentas de mis amigos?

Respuesta de Houseparty – Una copia de toda su lista de contactos no se copia en un servidor y se guarda allí, pero el servicio puede acceder a ella a través de la aplicación, una vez que otorga permiso para esto.

Mi petición – aclaración de que la pantalla de carga (ver figura 2a) sobre la concesión del permiso es incorrecta y que la política de privacidad no es precisa

Respuesta de Houseparty – Nosotros, como Soporte al Usuario, no contamos con los detalles técnicos de lo que se guarda o se carga exactamente en los servidores, pero lo que puedo hacer por usted es proporcionar el enlace a nuestra Política de Privacidad: luego continúa Entonces, si la pantalla de instalación menciona que la lista de contactos está cargada, no puedo garantizar si hay una copia exacta de sus contactos creados y guardados en un servidor, y si se actualiza constantemente, o simplemente se otorga acceso para leer constantemente el contactos de un usuario.

Confirmar que no se cargan datos y luego confesar que en realidad el equipo de soporte no sabe que lo que se cargó es malo. Si no conoce los hechos, ¡no proporcione una respuesta!

En defensa de Houseparty, y como vimos al comienzo de esta entrada de blog, es probable que el problema no sea solo de ellos. Cualquier aplicación que cargue listas de contactos desde el dispositivo de alguien a sus propios sistemas o que conserve el acceso a las listas de contactos sufre potencialmente el mismo problema. Y si Houseparty no carga ni almacena listas de contactos de los dispositivos de los usuarios registrados, la empresa debe cambiar la redacción de su política de privacidad y actualizar los mensajes que se muestran en la aplicación. En mi experiencia, las empresas rara vez afirman que almacenan datos de PII a menos que realmente lo hagan; ¿Por qué afirmar que tiene o hace algo si no es así, especialmente teniendo en cuenta las responsabilidades legales que genera la retención de PII en estos días?

¿Quién es el propietario de los datos de contacto almacenados en el teléfono de alguien? ¿El propietario del dispositivo tiene derecho a compartirlos con terceros, como Houseparty o Telegram? ¿Y debería el tercero solicitar el consentimiento del contacto, yo en este caso, para retener el acceso o almacenar los datos de identificación personal en sus sistemas?

Entonces, cuando mi colega Jake sugirió eliminar las cuentas y aplicaciones no utilizadas, estaba brindando un buen consejo, algo que yo defiendo y con lo que estoy totalmente de acuerdo. Sin embargo, como se detalla anteriormente, esto no significa necesariamente que esté evitando el riesgo de ser parte de cualquier violación de datos que pueda sufrir una empresa, en este escenario Houseparty, Telegram o WhatsApp. Es probable que su información de identificación personal permanezca en los servidores de las empresas de mensajería instantánea y redes sociales y continúe siendo accesible para ellos a través de cuentas de redes sociales vinculadas o listas de contactos de sus amigos.

En el desagradable caso de que se produzca una infracción, ¿se les exige que envíen un aviso de infracción no solo a los titulares de cuentas registrados, sino a todas las personas sobre las que tienen datos o cuyos datos tienen o han tenido acceso? Desafortunadamente, hasta donde yo sé, la notificación de incumplimiento es solo un requisito que se aplica a los titulares de cuentas. La legislación sobre privacidad y las notificaciones de incumplimiento probablemente deberían extenderse a todos los datos de PII almacenados, no solo a los de los titulares de cuentas.

La comida para llevar

Mi conclusión de esto es que algunos servicios de mensajería instantánea y redes sociales están almacenando mi información de identificación personal no solo sin mi consentimiento, sino sin mi conocimiento y probablemente sin ningún mecanismo (o incluso sin voluntad deliberada) que me permita descubrir si ese es el caso. .





Enlace a la noticia original