L’Agenzia per la Sicurezza Nazionale degli Stati Uniti (NSA) ha ammesso di acquistare i registri di navigazione su Internet da intermediari di dati per identificare i siti web e le app utilizzati dagli americani, il che altrimenti richiederebbe un mandato del tribunale, ha dichiarato la scorsa settimana il senatore americano Ron Wyden.
Le ammissioni della NSA
“Il governo degli Stati Uniti non dovrebbe finanziare e legittimare un’industria losca le cui violazioni flagranti della privacy degli americani non sono solo antietiche, ma illegali“, ha dichiarato Wyden in una lettera al Direttore dell’Intelligence Nazionale (DNI), Avril Haines, oltre a prendere provvedimenti per “assicurare che le agenzie di intelligence degli Stati Uniti acquistino solo dati su cittadini americani ottenuti legalmente“.
I metadati sui comportamenti di navigazione degli utenti possono rappresentare un serio rischio per la privacy, poiché le informazioni potrebbero essere utilizzate per estrarre dettagli personali su un individuo in base ai siti web che frequenta.
Ciò potrebbe includere, tra le altre cose, anche siti web che offrono risorse legate alla salute mentale, assistenza per sopravvissuti di abusi sessuali o domestici, e fornitori di servizi di telemedicina che si concentrano su contraccezione o farmaci abortivi.
In risposta alle domande di Wyden, la NSA ha affermato di avere regimi di conformità e che “adotta misure per ridurre al minimo la raccolta di informazioni su persone negli Stati Uniti” e “continua ad acquisire solo i dati più utili rilevanti per le esigenze della missione“.
Tuttavia, l’agenzia ha dichiarato di non acquistare e utilizzare dati sulla posizione raccolti dai telefoni utilizzati negli Stati Uniti senza un ordine del tribunale; ha anche affermato di non utilizzare informazioni sulla posizione ottenute dai sistemi telematici delle automobili situate nel paese.
Ronald S. Moultrie, sottosegretario della difesa per l’intelligence e la sicurezza (USDI&S), ha dichiarato che i componenti del Dipartimento della Difesa (DoD) acquisiscono e utilizzano informazioni commercialmente disponibili (CAI) in modo che “rispetti elevati standard di protezione della privacy e delle libertà civili” a supporto di missioni di intelligence o missioni di sicurezza informatica lecite.
Questa rivelazione non è che un’altra cosa la quale indica che le agenzie di intelligence e di applicazione della legge stanno acquistando dati potenzialmente sensibili da aziende che richiederebbero un ordine del tribunale degli Stati Uniti per essere acquisiti direttamente dalle aziende di comunicazione; all’inizio del 2021, è emerso che la Defense Intelligence Agency (DIA) acquistava e utilizzava dati sulla posizione domestica raccolti dai telefoni tramite intermediari commerciali di dati.
Quando la NSA si rifornisce da società private per i dati di navigazione browser degli utenti
La divulgazione sull’acquisto senza mandato di dati personali da parte della NSA arriva a seguito della decisione della Federal Trade Commission (FTC) di vietare a Outlogic (precedentemente X-Mode Social) e InMarket Media di vendere informazioni precise sulla posizione ai propri clienti senza il consenso informato degli utenti.
Alla società Outlogic, come parte del suo accordo con la FTC, è anche stato vietato di raccogliere dati sulla posizione che potrebbero essere utilizzati per tracciare le visite delle persone a luoghi sensibili come cliniche mediche e di salute riproduttiva, rifugi per vittime di abusi domestici e luoghi di culto religioso.
L’acquisto di dati sensibili da queste “aziende losche” da parte della NSA esiste in una zona legale grigia (secondo le leggi degli Stati Uniti, giustamente), ha reso noto Wyden, aggiungendo che gli intermediari che acquistano e rivendono questi dati non sono noti ai consumatori, che spesso sono tenuti all’oscuro di chi condivida i loro dati o dove vengano utilizzati.
Un altro aspetto rilevante di queste pratiche oscure è che le app di terze parti che incorporano kit di sviluppo software (SDK) da questi intermediari di dati e fornitori di tecnologia pubblicitaria non notificano agli utenti la vendita e la condivisione dei dati sulla posizione, che sia per pubblicità o sicurezza nazionale.
“Secondo la FTC, non è sufficiente che un consumatore acconsenta a un’app o a un sito web a raccogliere tali dati, il consumatore deve essere informato e acconsentire alla vendita dei loro dati a ‘appaltatori governativi per scopi di sicurezza nazionale‘ “, ha detto il democratico dell’Oregon, ed ha poi aggiunto “Non sono a conoscenza di alcuna azienda che fornisca tali avvertimenti ai consumatori prima che i loro dati vengano raccolti. Pertanto, la violazione della legge è probabilmente diffusa nell’industria e non limitata a questo particolare intermediario di dati.“