Oficiali ai Uniunii Europene au putut fi localizați până acasă. O breșă îngrijorătoare în protejarea datelor care dezvăluie limitele reale ale GDPR

O investigație jurnalistică realizată de mai multe redacții europene a demonstrat cât de ușor pot fi urmărite mișcările unor oameni aflați în vârful instituțiilor UE, în ciuda faptului că Europa se laudă cu unele dintre cele mai stricte legi privind protecția datelor personale. Pornind de la date publicitare cumpărate perfect legal de pe piața de adtech, jurnaliștii au reușit să identifice zeci de telefoane care aparțineau unor angajați ai Comisiei Europene și Parlamentului European și, urmărindu-le traseul zilnic, să ajungă până la adresa lor de domiciliu. Asta arată nu doar că datele de localizare circulă prea liber, ci și că GDPR, deși sever pe hârtie, nu este întotdeauna suficient în practică.

Date publicitare care ar fi trebuit să fie „anonime”, folosite pentru a urmări oameni reali

Investigația, la care au participat publicații precum Le Monde, L’Echo, Netzpolitik și posturi de radio din Germania și Olanda, a avut la bază un set de date colectate în doar câteva zile din octombrie 2024. În acea perioadă, pe piața publicitară online au fost disponibile peste 2,5 milioane de identificatori publicitari – acele coduri unice pe care le are fiecare smartphone și care sunt atașate de obicei unor coordonate de locație, unor aplicații sau unor profiluri de consum. Teoretic, aceste date nu ar trebui să identifice direct o persoană. Practic, atunci când un telefon apare în fiecare dimineață la clădirea Berlaymont (sediul Comisiei Europene) sau la sediul Parlamentului European din Bruxelles și, seara, apare constant la aceeași adresă privată, identitatea utilizatorului devine ușor de dedus.

Jurnaliștii au identificat astfel 264 de dispozitive care au fost detectate în sediul Comisiei și alte 756 în clădirea Parlamentului European. Urmărind traseele acestor ID-uri mobile, au ajuns la mai multe adrese de domiciliu, unele chiar cu numele funcționarilor pe sonerie sau pe cutia poștală. În cinci cazuri, persoanele vizate au confirmat că datele de localizare corespund exact cu locul de muncă și locuința lor, iar în cel puțin trei situații era vorba de oficiali cu funcții sensibile în cadrul instituțiilor europene.

O vulnerabilitate care atinge și zone sensibile de securitate

Descoperirea nu se oprește la funcționari europeni. În setul de date analizat au fost găsite și mii de puncte de localizare din alte instituții, inclusiv Consiliul UE, baze militare belgiene sau chiar sedii NATO, acolo unde, în total, au fost detectate peste 9.600 de telefoane. Asta înseamnă că nu doar birocrați europeni pot fi urmăriți în acest fel, ci și personal militar, personal tehnic sau oameni care gestionau informații sensibile. E o demonstrație practică a faptului că ceea ce în publicitate se vinde drept „date agregate” sau „date anonime” poate fi, în mâna cui trebuie, o unealtă de monitorizare foarte precisă.

Paradoxal, totul s-a făcut legal: datele au fost cumpărate dintr-o piață care funcționează la vedere, nu din dark web. Asta arată unul dintre marile neajunsuri ale GDPR: consimțământul pe care îl dă un utilizator când acceptă cookie-urile nu îi spune niciodată cine va fi, la capătul lanțului, beneficiarul real al datelor sale. Și, pentru că multe dintre aceste companii de tip „data broker” sunt obscure sau au sedii în alte state, ele scapă adesea de controlul efectiv al autorităților naționale de protecție a datelor.

Comisia dă vina pe autoritățile naționale, dar riscul rămâne la utilizatori

Comisia Europeană a reacționat spunând că este „preocupată” și că a transmis recomandări interne privind setările de publicitate de pe telefoanele de serviciu și personale ale angajaților. În același timp, instituția a arătat cu degetul spre autoritățile naționale de protecție a datelor, despre care spune că trebuie să verifice dacă firmele care comercializează astfel de informații respectă sau nu legislația europeană. Numai că jurnalistii au demonstrat deja că, și atunci când există lege, aplicarea ei vine târziu – de regulă doar după o plângere, și doar împotriva unei firme cunoscute. Între timp, datele circulă, sunt copiate, vândute mai departe și pot ajunge la oricine are bani și interes să le cumpere.

Concluzia investigației este una incomodă pentru UE: faptul că ai un cadru legal foarte strict nu te protejează automat dacă lanțul de companii care colectează și revând date publicitare nu este monitorizat la fel de strict. Iar dacă jurnaliștii au putut face asta, o pot face și actori mai puțin bine intenționați.