Μια διεθνής δημοσιογραφική έρευνα κατέδειξε ότι ανώνυμα δεδομένα τοποθεσίας από κινητά τηλέφωνα σε Βρυξέλλες προσφέρονται προς πώληση, ενώ η Ευρωπαϊκή Επιτροπή χαρακτήρισε τα ευρήματα «worrying conclusions» και ανακοίνωσε αλλαγές στις εσωτερικές της οδηγίες.
Η αποκάλυψη προκύπτει από συνεργασία μέσων που ανέδειξαν εκτενή βάσεις δεδομένων και κινήσεις χρήσης συσκευών.
Τι έφεραν στο φως οι έρευνες
Δημοσιογράφοι υπό κάλυψη προσέγγισαν επιχειρήσεις μάρκετινγκ και απέκτησαν, μέσω μεσαζόντων δεδομένων, εκατοντάδες εκατομμύρια σημεία τοποθεσίας σε βελγικό έδαφος, όπως προκύπτει από την κοινή δουλειά των μέσων L’Echo, Le Monde, BR / ARD, Netzpolitik.org και BNR nieuwsradio.
Οι αναφορές περιγράφουν τον τρόπο με τον οποίο οι βάσεις συγκεντρώθηκαν από πολλές εφαρμογές και web trackers.
Από την ανάλυση των στοιχείων κατέστη δυνατό να ταυτοποιηθούν τουλάχιστον πέντε φυσικά πρόσωπα που εργάζονται ή εργάστηκαν στην Ένωση, μεταξύ των οποίων τρία ανώτερα στελέχη, ενώ άλλες ενδείξεις τοποθετούσαν συσκευές εντός βάσεων του ΝΑΤΟ και βελγικών στρατιωτικών εγκαταστάσεων.
Δύο από τα πρόσωπα επιβεβαίωσαν ότι τα δεδομένα αντιστοιχούσαν σε σπίτι, χώρο εργασίας και μετακινήσεις.
Μηχανισμός και εμπορική αγορά δεδομένων
Οι μεσάζοντες δεδομένων («data brokers») συγκεντρώνουν πληροφορίες από εφαρμογές και διαδικτυακούς ιχνηλάτες, τις ομαδοποιούν και τις πωλούν σε αγοραστές όπως διαφημιστές, αλλά και δημόσιους φορείς, σύμφωνα με τα ευρήματα. Παρά την ονομαστική ανωνυμία των αρχείων, είναι δυνατή η ανασύνθεση καθημερινών διαδρομών που οδηγεί σε πιθανή επαναταυτοποίηση προσώπου.
Αναλύσεις που συνοδεύουν την έρευνα δείχνουν επίσης ότι ορισμένες εφαρμογές συνεχίζουν να συλλέγουν πληροφορίες τοποθεσίας χωρίς σαφή αναφορά στις πολιτικές απορρήτου, όπως τεκμηριώνει ειδικά το Netzpolitik.org.
Απάντηση της Επιτροπής και δράσεις ρυθμιστών
Η Ευρωπαϊκή Επιτροπή αναγνώρισε τα ευρήματα ως ανησυχητικά και ενημέρωσε ότι έχει προχωρήσει στην υιοθέτηση νέων οδηγιών προς το προσωπικό της σχετικά με τις ρυθμίσεις παρακολούθησης διαφημίσεων σε υπηρεσιακές και οικιακές συσκευές, ενώ έχει ενημερώσει και άλλους θεσμικούς φορείς της ΕΕ.
Προτεινόμενο Η κρυπτογράφηση USB sticks: Απαραίτητη ασπίδα για τα ευαίσθητα δεδομένα σας
Η ανακοίνωση ήρθε ως άμεση αντίδραση στην έκθεση των μέσων.
Συναφώς, μνεία γίνεται σε προηγούμενη έρευνα ιρλανδικού μέσου που οδήγησε την Ιρλανδική Επιτροπή Προστασίας Δεδομένων (Irish DPC) να αναστείλει τη δραστηριότητα ενός ιρλανδικού broker, και να δηλώσει ότι έχει εντοπίσει άλλες εταιρείες μεσολάβησης σε κράτη μέλη της ΕΕ.
Η Irish DPC, όπως αναφέρθηκε στις σχετικές δημοσιεύσεις, βρίσκεται σε επικοινωνία με αρμόδιες αρχές σε άλλα κράτη της Ένωσης για τον έλεγχο τέτοιων επιχειρήσεων και πρακτικών.
Νομικό πλαίσιο και πρακτικές εφαρμογών
Ο Γενικός Κανονισμός Προστασίας Δεδομένων επιτρέπει τη συλλογή τέτοιων πληροφοριών όταν υπάρχει νόμιμη συναίνεση, αλλά επιβάλλει σαφή ενημέρωση των χρηστών για τον τρόπο χρήσης των δεδομένων, όπως υπενθυμίζουν νομικοί κύκλοι. Η απαίτηση αφορά και τις δηλώσεις που πρέπει να καταχωρούνται στις πολιτικές των εφαρμογών.
Παράλληλα, τόσο το Google Play Store όσο και το Apple App Store έχουν κανόνες που υποχρεώνουν τις εφαρμογές να δηλώνουν τις πληροφορίες που συλλέγουν, ωστόσο οι αναλύσεις της έρευνας εντόπισαν αποκλίσεις από αυτές τις υποχρεώσεις σε ορισμένες περιπτώσεις.
Τι απομένει να ελεγχθεί
Τα ευρήματα επαναφέρουν ερωτήματα για την επάρκεια των ελέγχων στις αγορές δεδομένων και για το πώς μπορούν οι τεχνολογικές πλατφόρμες να διασφαλίσουν την πραγματική ανωνυμία. Ρυθμιστικές αρχές στην ΕΕ έχουν ήδη ξεκινήσει επαφές και ελέγχους, με σκοπό την ευρύτερη διερεύνηση των πρακτικών μεσαζόντων δεδομένων.
Η συζήτηση θα παραμείνει ενεργή καθώς προκύπτουν περισσότερα στοιχεία από τις συνεχιζόμενες έρευνες των μέσων και τους ελέγχους των αρμόδιων αρχών, ενώ φορείς της ΕΕ αξιολογούν την ανάγκη για περαιτέρω μέτρα προστασίας.
