Se avete mai letto una politica di privacy, si può avere notato una sezione che dice qualcosa su come i vostri dati saranno condivisi con le forze dell’ordine, il che significa che se la polizia la domanda e la documentazione necessaria, che sarà probabilmente ottenere. Ma forse, come la maggior parte degli adulti americani, non leggi molto attentamente le politiche sulla privacy se non del tutto. In tal caso, potresti essere sorpreso di sapere quanto dei tuoi dati è nelle mani di terzi, quanto le forze dell’ordine hanno accesso ad esso, come potrebbe essere usato contro di te o quali sono i tuoi diritti — se ce ne sono — per prevenirlo.

Molti insurrezionalisti del Campidoglio potrebbero scoprirlo ora, poiché i casi contro di loro sono costruiti con prove prese da servizi Internet come Facebook e Google. Mentre lasciavano una scia di prove digitali per gli investigatori (e gli investigatori di Internet) da seguire, non tutti questi dati erano pubblicamente disponibili. Se leggete attraverso i casi di persone accusate di crimini relativi agli eventi a Washington il 6 gennaio, troverete l’FBI ha anche ottenuto record interni da varie piattaforme di social media e operatori di telefonia mobile.

Ma non devi essere un presunto insurrezionalista per le forze dell’ordine per ottenere dati su di te da un’altra società. In realtà, non c’è bisogno di essere sospettati di un crimine a tutti. La polizia utilizza sempre più tattiche come mandati di ricerca inversa per afferrare i dati di molte persone nella speranza di trovare il loro sospetto tra di loro. Si potrebbe ottenere travolti in uno solo perché eri nel posto sbagliato al momento sbagliato o cercato il termine di ricerca sbagliato. E potresti non sapere mai di essere rimasto intrappolato nella rete.

“Gli investigatori stanno andando a questi fornitori senza un sospetto e chiedendo un’ampia serie di informazioni che non sono mirate al fine di identificare fondamentalmente i sospetti che non avevano già in mente”, Jennifer Granick, consulente di sorveglianza e sicurezza informatica per il progetto di discorso, privacy e tecnologia dell’ACLU, ha detto a Recode. “Queste tecniche di sorveglianza di massa sono sempre più comuni.”

Fondamentalmente, se una società raccoglie e memorizza i tuoi dati, allora la polizia può probabilmente mettere le mani su di esso. E quando si tratta della tua vita digitale, c’è un sacco di dati detenuti da terzi là fuori per ottenere. Ecco come lo ottengono.

Come l’applicazione della legge acquista i tuoi dati, nessun mandato necessario

La buona notizia è che ci sono alcune leggi sulla privacy che governano se e come il governo può ottenere i tuoi dati: L’Electronic Communications Privacy Act (ECPA), emanata per la prima volta nel 1986, ha stabilito queste regole.

Ma la legge ha diversi decenni. Mentre è stato aggiornato dal 1986, molti dei suoi principi in realtà non riflettono come usiamo Internet oggi, o quanto dei nostri dati rimane nelle mani delle aziende che forniscono tali servizi a noi.

Ciò significa che ci sono aree grigie e scappatoie, e per alcune cose, il governo non deve passare attraverso alcun processo legale. Le forze dell’ordine possono e acquistano dati sulla posizione da data broker, ad esempio. E mentre le aziende di dati sulla posizione sostengono che i loro dati sono stati de-identificati, gli esperti dicono che è spesso possibile ri-identificare gli individui.

“La nozione è che se è disponibile per la vendita, allora va bene”, ha detto Kurt Opsahl, vice direttore esecutivo e consigliere generale della Electronic Frontier Foundation (EFF). “Naturalmente, uno dei problemi è che molti di questi broker di dati ricevono informazioni senza passare attraverso il processo di consenso che potresti desiderare.”

E non sono solo i dati sulla posizione. Riconoscimento facciale società di tutto il modello di business di Clearview AI è quello di vendere le forze dell’ordine l’accesso al suo database di riconoscimento facciale, gran parte dei quali è stato abbattuto da foto a disposizione del pubblico Clearview raschiato da internet. A meno che non si vive in una città o stato che ha messo fuori legge il riconoscimento facciale, è attualmente legale per la polizia a pagare per i dati del viso, indipendentemente da come viziata la tecnologia dietro di esso può essere.

Questo potrebbe cambiare se qualcosa come il quarto emendamento Is Not for Sale Act, che vieta alle forze dell’ordine di acquistare dati disponibili in commercio, dovesse diventare legge. Ma per ora, la scappatoia è aperta.

“Una delle sfide con qualsiasi legge tecnologica è che la tecnologia si evolve più velocemente della legge”, ha detto Opsahl. “E’ sempre una sfida per applicare queste leggi ad un ambiente moderno, ma ha ancora, tutti questi molti decenni più tardi, fornito una solida protezione della privacy. Ci potrebbero sicuramente essere miglioramenti, ma sta ancora facendo un buon lavoro oggi.”

Ciò che le forze dell’ordine possono ottenere attraverso i tribunali

Se sei sospettato di un crimine e la polizia sta cercando prove nella tua vita digitale, allora l’ECPA dice che devono avere un mandato di comparizione, un ordine del tribunale o un mandato prima che una società sia autorizzata a fornire i dati che stanno richiedendo. Vale a dire, la società non può semplicemente consegnarlo volontariamente. Ci sono alcune eccezioni — per esempio, se c’è motivo di credere che ci sia un pericolo imminente o un crimine è in corso. Ma nel caso di indagini penali, queste eccezioni non si applicano.

in generale, il processo legale che gli investigatori da utilizzare dipende dal tipo di informazione che si sta cercando:

• Citazione: Questo dà investigatori ciò che è noto come sottoscrittore informazioni, quali il nome, l’indirizzo, l’anzianità di servizio (per quanto tempo hai avuto il tuo Facebook profilo, per esempio), le informazioni di log (quando hai fatto telefonate o registrati sul tuo Facebook account), e una carta di credito informazioni.
• Ordine del tribunale, o ” D ” ordine: La D si riferisce al codice 18 degli Stati Uniti § 2703 (d), che dice che un tribunale può ordinare ai fornitori di servizi Internet di fornire alle forze dell’ordine qualsiasi record sull’abbonato diverso dal contenuto delle loro comunicazioni. Quindi potrebbe includere chi ti ha inviato un’email e quando, ma non il contenuto dell’e-mail effettiva.
• Mandato di ricerca: consente alle forze dell’ordine di accedere ai contenuti stessi, in particolare ai contenuti memorizzati, che includono e-mail, foto, video, post, messaggi diretti e informazioni sulla posizione. Mentre l’ECPA dice che le e-mail memorizzate per oltre 180 giorni possono essere ottenute con un semplice mandato di comparizione, questa regola risale a prima che le persone tenessero regolarmente le loro e-mail sul server di un’altra azienda (quanto indietro va la tua casella di posta Gmail?) o usato come backup. A questo punto, diversi tribunali hanno stabilito che un mandato è necessario per i contenuti e-mail indipendentemente da quanti anni le e-mail sono, e fornitori di servizi in genere richiedono un mandato prima che ti accetteranno di consegnarli.

Se vuoi avere un’idea di quanto spesso il governo richiede dati da queste aziende, alcuni di loro rilasciano rapporti sulla trasparenza che forniscono dettagli di base su quante richieste ricevono, che tipo e quante di quelle richieste soddisfano. Essi mostrano anche quanto tali richieste sono aumentate nel corso degli anni. Ecco il rapporto sulla trasparenza di Facebook, ecco Google e Apple. Il FEP ha anche pubblicato una guida nel 2017 che mostra come diverse aziende tecnologiche rispondono alle richieste del governo.

Non devi essere un sospetto o coinvolto in un crimine per le forze dell’ordine per ottenere i tuoi dati

Quindi, diciamo che hai deciso che non commetterai mai un crimine, quindi l’applicazione della legge ottenere i tuoi dati non sarà mai un problema per te. Ti sbagli.

Come accennato in precedenza, i tuoi dati potrebbero essere inclusi in un acquisto da un broker di dati. Oppure può essere scavato in una rete a strascico digitale, noto anche come un mandato di ricerca inversa, dove la polizia richiede dati su un folto gruppo di persone nella speranza di trovare il loro sospetto al loro interno.

“Queste sono nuove tecniche per scoprire cose che non avrebbero mai potuto essere scoperte in passato e che hanno la capacità di coinvolgere persone innocenti”, ha detto Granick, dell’ACLU.

Due esempi di questo: dove sei andato e cosa hai cercato. In un mandato di geofence, l’applicazione della legge ottiene informazioni su tutti i dispositivi che si trovavano in una certa area in un certo momento — ad esempio, dove si è verificato un crimine — quindi li restringe e ottiene informazioni sull’account per i dispositivi che pensano appartengano ai loro sospetti. Per i warrant di parole chiave, la polizia può chiedere a un browser tutti gli indirizzi IP che hanno cercato un certo termine relativo al loro caso e quindi identificare un possibile sospetto da quel gruppo.

Queste situazioni rappresentano ancora una zona grigia legale. Mentre alcuni giudici li hanno definiti una violazione del quarto emendamento e hanno rifiutato le richieste del governo per i mandati, altri li hanno permessi. E abbiamo visto almeno un caso in cui i mandati di perquisizione hanno portato all’arresto di una persona innocente.

Potresti non essere informato per anni che i tuoi dati sono stati ottenuti — se ti viene detto a tutti

Un altro aspetto preoccupante di questo è che, a seconda di cosa viene richiesto e perché, potresti non sapere mai se la polizia ha richiesto i tuoi dati da una società o se quella società li ha dati. Se sei accusato di un crimine e quei dati sono usati come prova contro di te, allora lo saprai. Ma se i tuoi dati vengono ottenuti tramite l’acquisto da un broker di dati o come parte di una richiesta di massa, potresti non farlo. Se un’azienda ti dice che le forze dell’ordine vogliono i tuoi dati e ti danno un preavviso, puoi provare a combattere la loro richiesta da solo. Ma gli investigatori possono ottenere ordini bavaglio che impediscono alle aziende di dire agli utenti nulla, a quel punto si è lasciato a sperare che la società combatte per voi.

Secondo i loro rapporti sulla trasparenza, Google, Apple e Facebook sembrano combattere o respingere a volte-ad esempio, se pensano che una richiesta sia eccessivamente ampia o gravosa — quindi non tutte le richieste hanno successo. Ma sono loro. Non è necessariamente vero per tutti.

“Non tutti i provider sono Google o Facebook che hanno un dipartimento legale di deep-bench con una seria esperienza nella legge federale sulla sorveglianza”, ha detto Granick ” Alcuni fornitori, non sappiamo cosa fanno. Forse non fanno niente. Questo è un vero problema.”

La maggior parte delle richieste del governo anche alle più grandi aziende del mondo si traducono nella divulgazione di almeno alcuni dati degli utenti, e abbiamo visto casi in cui i dati di qualcuno sono stati dati al governo e quella persona non lo sapeva per anni. Ad esempio, il Dipartimento di Giustizia ha ottenuto rappresentanti democratici. I record di abbonati di Adam Schiff e Eric Swalwell (e quello dei loro familiari) da Apple attraverso un mandato di comparizione del grand jury. Ciò si è verificato nel 2017 e nel 2018, ma i membri del Congresso lo hanno scoperto solo nel giugno 2021, quando l’ordine gag è scaduto.

Se le tue informazioni vengono raccolte in qualcosa come un mandato di perquisizione inverso ma non sei mai identificato come sospetto o accusato, potresti non saperlo mai se la società che lo ha fornito non ti dice. Opsahl, del FEP, ha affermato che la maggior parte delle principali società tecnologiche pubblica rapporti di trasparenza ed è considerata una best practice del settore per farlo. Ciò non significa che tutti lo seguono, né devono farlo.

Come puoi prevenire questo

Quando si tratta di dati detenuti da terzi, non hai molto controllo o dici se e cosa riveleranno. Stai facendo affidamento su leggi scritte prima che esistesse Internet moderno, l’interpretazione di un giudice di loro (supponendo che va davanti a un giudice, che citazioni non possono), e le aziende che hanno i tuoi dati per combatterli. Se ti viene notificato un ordine in sospeso, potresti essere in grado di combatterlo da solo. Non è una garanzia che vincerai.

Il modo migliore per proteggere i tuoi dati è utilizzare servizi che non li ottengono in primo luogo. Problemi di privacy, tra cui la capacità di comunicare liberi dalla sorveglianza del governo, hanno reso applicazioni di messaggistica criptati come segnale e browser privati come DuckDuckGo popolare negli ultimi anni. Riducono al minimo i dati che raccolgono dagli utenti, il che significa che non hanno molto da dare se gli investigatori cercano di raccoglierli. Puoi anche chiedere ai servizi di eliminare i tuoi dati dai loro server o di non caricarli su di loro in primo luogo (supponendo che siano opzioni). L’FBI non può ottenere molto da iCloud di Apple se non hai caricato nulla.

A quel punto, gli investigatori dovranno cercare di ottenere i dati che vogliono dal dispositivo … che è tutta un’altra lattina di vermi legali.