Si alguna vez ha leído una política de privacidad, es posible que haya notado una sección que dice algo sobre cómo se compartirán sus datos con las fuerzas del orden, lo que significa que si la policía lo exige y tiene la documentación necesaria, es probable que lo obtengan. Pero tal vez, como la mayoría de los adultos estadounidenses, no lea las políticas de privacidad con mucho cuidado, si es que lo hace. En ese caso, es posible que se sorprenda al saber cuánto de sus datos están en manos de terceros, cuánto acceso tiene la policía a ellos, cómo podrían usarse en su contra o cuáles son sus derechos, si los hay, para evitarlo.

Muchos de los insurrectos del Capitolio podrían estar descubriendo esto ahora, ya que los casos en su contra se construyen con pruebas tomadas de servicios de Internet como Facebook y Google. Si bien dejaron un rastro de evidencia digital para que los investigadores (y los detectives de Internet) la siguieran, no todos esos datos estaban disponibles públicamente. Si lee casos de personas acusadas de delitos relacionados con los eventos en Washington el 6 de enero, encontrará que el FBI también obtuvo registros internos de varias plataformas de redes sociales y operadores de telefonía móvil.

Pero no es necesario ser un supuesto insurreccionista para que las fuerzas del orden obtengan datos sobre usted de otra compañía. De hecho, no tienes que ser sospechoso de un crimen en absoluto. La policía está utilizando cada vez más tácticas como órdenes de registro inversas para capturar los datos de muchas personas con la esperanza de encontrar a su sospechoso entre ellos. Podrías involucrarte en uno solo porque estaba en el lugar equivocado en el momento equivocado o miró el mal término de búsqueda. Y tal vez nunca sepas que te atraparon en la red.

«Los investigadores van a estos proveedores sin un sospechoso y piden un amplio conjunto de información que no está dirigida a fin de identificar básicamente a sospechosos que no tenían en mente», dijo a Recode Jennifer Granick, consejera de vigilancia y ciberseguridad del proyecto de discurso, privacidad y tecnología de la ACLU. «Estas técnicas de vigilancia más masiva son cada vez más comunes.»

Básicamente, si una empresa recopila y almacena sus datos, la policía probablemente pueda ponerlos en sus manos. Y cuando se trata de su vida digital, hay muchos de sus datos en poder de terceros por obtener. Así es como lo consiguen.

Cómo la policía compra sus datos, sin necesidad de una orden judicial

La buena noticia es que hay algunas leyes de privacidad que rigen si el gobierno puede obtener sus datos y cómo: La Ley de Privacidad de las Comunicaciones Electrónicas (ECPA), promulgada por primera vez en 1986, estableció estas reglas.

Pero la ley tiene varias décadas de antigüedad. Si bien se ha actualizado desde 1986, muchos de sus principios no reflejan realmente cómo usamos Internet hoy en día, o cuánto de nuestros datos permanecen en manos de las empresas que nos brindan esos servicios.

Eso significa que hay áreas grises y lagunas, y para algunas cosas, el gobierno no tiene que pasar por ningún proceso legal en absoluto. Por ejemplo, las fuerzas del orden pueden comprar y compran datos de ubicación de corredores de datos. Y aunque las empresas de datos de ubicación afirman que sus datos han sido desidentificados, los expertos dicen que a menudo es posible volver a identificar a las personas.

» La idea es que si está disponible para la venta, entonces está bien», dijo Kurt Opsahl, director ejecutivo adjunto y consejero general de la Electronic Frontier Foundation (EFF). «Por supuesto, uno de los problemas es que muchos de estos agentes de datos están obteniendo información sin pasar por el proceso de consentimiento que podría desear.»

Y no son solo datos de ubicación. Todo el modelo de negocio de la empresa de reconocimiento facial Clearview AI consiste en vender el acceso de las agencias policiales a su base de datos de reconocimiento facial, gran parte de la cual se seleccionó a partir de fotos disponibles públicamente Clearview extraídas de Internet. A menos que vivas en una ciudad o estado que haya prohibido el reconocimiento facial, actualmente es legal que la policía pague por los datos de tu rostro, independientemente de cuán defectuosa sea la tecnología detrás de ellos.

Esto podría cambiar si algo como la Ley de la Cuarta Enmienda No Está en Venta, que prohíbe a las fuerzas del orden comprar datos disponibles comercialmente, se convirtiera en ley. Pero por ahora, la escapatoria está abierta.

«Uno de los desafíos con cualquier ley de tecnología es que la tecnología evoluciona más rápido que la ley», dijo Opsahl. «Siempre es un desafío aplicar estas leyes a un entorno moderno, pero aún así, muchas décadas después, ha proporcionado una sólida protección de la privacidad. Definitivamente podría haber mejoras, pero todavía está haciendo un buen trabajo hoy en día.»

Lo que la policía puede obtener a través de los tribunales

Si usted es sospechoso de un delito y la policía está buscando pruebas en su vida digital, entonces la ECPA dice que debe tener una citación, orden judicial o orden judicial antes de que se le permita a una empresa proporcionar los datos que está solicitando. Es decir, la empresa no puede entregarlo voluntariamente. Hay algunas excepciones — por ejemplo, si hay razones para creer que hay un peligro inminente o que se está cometiendo un delito. Pero en el caso de investigaciones criminales, esas excepciones no se aplican.

En términos generales, el proceso legal que los investigadores tienen que utilizar depende de los datos que están buscando:

• Cit Facebook: Esto proporciona a los investigadores lo que se conoce como información de suscriptor, como su nombre, dirección, duración del servicio (por ejemplo, cuánto tiempo ha tenido su perfil de Facebook), información de registro (cuando ha realizado llamadas telefónicas o ha iniciado sesión y salido de su cuenta de Facebook) e información de tarjeta de crédito.
• Orden judicial, u orden «D»: La D se refiere al Código 18 de EE. UU. § 2703 (d), que dice que un tribunal puede ordenar a los proveedores de servicios de Internet que proporcionen a la policía cualquier registro sobre el suscriptor que no sea el contenido de sus comunicaciones. Por lo que podría incluir quién te envió el correo electrónico y cuándo, pero no el contenido del correo electrónico real.
• Orden de registro: Esto le da a las fuerzas del orden acceso al contenido en sí, específicamente al contenido almacenado, que incluye correos electrónicos, fotos, videos, publicaciones, mensajes directos e información de ubicación. Si bien la ECPA dice que los correos electrónicos almacenados durante más de 180 días se pueden obtener con solo una citación, esa regla se remonta a antes de que las personas mantuvieran rutinariamente sus correos electrónicos en el servidor de otra empresa (¿hasta dónde llega su bandeja de entrada de Gmail?) o lo usó como respaldo. En este punto, varios tribunales han dictaminado que una orden es necesaria para el contenido del correo electrónico, independientemente de la antigüedad de los correos electrónicos, y los proveedores de servicios generalmente exigen una orden antes de que acepten entregarlos.

Si desea hacerse una idea de la frecuencia con la que el gobierno solicita datos a estas empresas, algunas de ellas publican informes de transparencia que proporcionan detalles básicos sobre cuántas solicitudes reciben, qué tipo y cuántas de esas solicitudes satisfacen. También muestran cuánto han aumentado esas solicitudes a lo largo de los años. Aquí está el informe de transparencia de Facebook, aquí está Google y aquí está Apple. La EFF también publicó una guía en 2017 que muestra cómo varias empresas tecnológicas responden a las solicitudes del gobierno.

No tiene que ser sospechoso o estar involucrado en un delito para que las fuerzas del orden obtengan sus datos

Así que, digamos que ha decidido que nunca cometerá un delito, por lo que la obtención de sus datos por parte de las fuerzas del orden nunca será un problema para usted. Te equivocas.

Como se mencionó anteriormente, sus datos podrían incluirse en una compra de un agente de datos. O puede ser recogido en una redada digital, también conocida como orden de registro inverso, donde la policía solicita datos sobre un gran grupo de personas con la esperanza de encontrar a su sospechoso dentro de ellos.

«Estas son técnicas novedosas para descubrir cosas que nunca se podrían haber descubierto en el pasado, y que tienen la capacidad de atarse a personas inocentes», dijo Granick, de la ACLU.

Dos ejemplos de esto: a dónde fuiste y qué buscaste. En una orden de geocerca, la policía obtiene información sobre todos los dispositivos que se encontraban en un área determinada en un momento determinado, por ejemplo, donde ocurrió un delito, luego los reduce y obtiene información de la cuenta del dispositivo que creen que pertenece a su sospechoso. Para las órdenes de palabra clave, la policía puede pedir a un navegador todas las direcciones IP que buscaron un determinado término relacionado con su caso y luego identificar a un posible sospechoso de ese grupo.

Estas situaciones todavía representan un área gris legal. Mientras que algunos jueces las han calificado de violación de la Cuarta Enmienda y han rechazado las solicitudes de órdenes de detención del gobierno, otros las han permitido. Y hemos visto al menos un caso en el que las órdenes de registro inversas han llevado al arresto de una persona inocente.

Es posible que no se le diga durante años que se obtuvieron sus datos, si es que se le informa

Otro aspecto preocupante de esto es que, dependiendo de lo que se solicita y por qué, es posible que nunca sepa si la policía solicitó sus datos a una empresa o si esa empresa se los dio. Si te acusan de un delito y esos datos se usan como evidencia en tu contra, entonces lo sabrás. Pero si sus datos se obtienen a través de la compra de un agente de datos o como parte de una solicitud masiva, es posible que no. Si una empresa le dice que la policía quiere sus datos y le da aviso por adelantado, puede intentar oponerse a su solicitud usted mismo. Pero los investigadores pueden recibir órdenes de mordaza que impiden que las empresas le digan a los usuarios cualquier cosa, momento en el que queda la esperanza de que la empresa luche por usted.

Según sus informes de transparencia, Google, Apple y Facebook parecen luchar o retroceder a veces, por ejemplo, si piensan que una solicitud es demasiado amplia o pesada, por lo que no todas las solicitudes tienen éxito. Pero son ellos. No es necesariamente cierto para todos.

» No todos los proveedores son Google o Facebook que tienen un departamento jurídico con experiencia en leyes federales de vigilancia», dijo Granick, » Algunos proveedores, no sabemos lo que hacen. Tal vez no hacen nada. Ese es un problema real.»

La mayoría de las solicitudes del gobierno, incluso a las empresas más grandes del mundo, resultan en la divulgación de al menos algunos datos de usuarios, y hemos visto casos en los que los datos de alguien se entregaron al gobierno y esa persona no lo supo durante años. Por ejemplo, el Departamento de Justicia obtuvo Representantes Demócratas. Los registros de suscriptores de Adam Schiff y Eric Swalwell (y los de sus familiares) de Apple a través de una citación del gran jurado. Esto ocurrió en 2017 y 2018, pero los miembros del Congreso solo se enteraron en junio de 2021, cuando expiró la orden de mordaza.

Si su información es arrastrada por algo como una orden de registro inverso, pero nunca se le identifica como sospechoso o acusado, es posible que nunca lo sepa si la compañía que la proporcionó no se lo dice. Opsahl, de la EFF, dijo que la mayoría de las principales empresas de tecnología publican informes de transparencia y se considera una mejor práctica de la industria hacerlo. Eso no significa que todos lo sigan, ni que tengan que hacerlo.

Cómo puede evitar esto

Cuando se trata de sus datos en poder de terceros, no tiene mucho control ni opinión sobre si y qué divulgarán. Confías en leyes escritas antes de que existiera la Internet moderna, en la interpretación de un juez (suponiendo que vaya ante un juez, lo que no puede ser una citación) y en las empresas que tienen tus datos para combatirlas. Si se le notifica sobre una orden pendiente, es posible que pueda combatirla usted mismo. Eso no garantiza que ganes.

La mejor manera de proteger sus datos es utilizar servicios que no los obtienen en primer lugar. Las preocupaciones de privacidad, incluida la capacidad de comunicarse sin vigilancia gubernamental, han hecho populares en los últimos años las aplicaciones de mensajería cifrada como Signal y los navegadores privados como DuckDuckGo. Minimizan los datos que recopilan de los usuarios, lo que significa que no tienen mucho que dar si los investigadores intentan recopilarlos. También puede solicitar a los servicios que eliminen sus datos de sus servidores o que no los carguen en primer lugar (suponiendo que se trate de opciones). El FBI no puede obtener mucho de iCloud de Apple si no ha subido nada a él.

En ese momento, los investigadores tendrán que tratar de obtener los datos que desean de su dispositivo … que es otra lata de gusanos legales.