Protección Data

BLOG

PARA ESTAR AL DÍA EN PROTECCIÓN DE DATOS Y SEGURIDAD DE LA INFORMACIÓN

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Data Brockers y protección de datos

¿Les suena el término «data brocker» o «corredor de datos»? 

Para quien no lo sepa, se trata de empresas que se dedican a recolectar y comercializar con los datos personales de terceros, incluyendo capacidad económica, gustos y preferencias, ideología política, creencias religiosas, información sanitaria, ubicación geográfica, etc.

La venta de datos, que resulta tremendamente lucrativa, interesa a diversos sectores:

  • Marketing: para segmentar el mercado, personalizar la publicidad o fidelizar clientes.
  • Investigación: para elaborar estudios de mercado, análisis de tendencias o encuestas.
  • Riesgo: para evaluar la solvencia o riesgo crediticio y prevenir fraudes.
  • Salud: para ofrecer servicios médicos, venta de seguros privados…

Los datos personales que recopilan y comercializan los «data brokers» incluyen diversas categorías, por ejemplo:

  • Datos identificativos: nombre y apellidos, DNI, sexo, edad, estado civil, residencia, etc.
  • Datos de comportamiento: preferencias, gustos, intereses, hábitos, aficiones y opiniones, etc.
  • Datos de consumo: ingresos, gastos, compras, devoluciones, etc.
  • Datos de salud: historial médico, tratamientos, hábitos de vida, etc.
  • Datos de geolocalización: ubicación, distancias, movimientos, etc.

Los «data brokers» pueden suponer una amenaza para nuestra privacidad por diversas razones:

  • Falta de transparencia: no sabemos quiénes recopilan y venden nuestros datos personales, qué datos tienen, cómo los obtienen y a quiénes se los venden.
  • Falta de consentimiento: el usuario, en la mayoría de las ocasiones, no da su consentimiento para que recolecten, analicen y vendan sus datos, o lo hace de forma inconsciente o engañosa al aceptar políticas de privacidad y condiciones de uso que no se entienden.
  • Falta de seguridad: no sabemos qué medidas de seguridad han implementado para asegurar los datos personales.

La defensa de nuestros derechos frente a los «data brockers» se vuelve una misión imposible y es que, en la mayoría de las ocasiones, no podemos hacer uso de derechos legalmente reconocidos, como el derecho a acceder a nuestros datos personales, a rectificar los datos inexactos, a solicitar su supresión cuando dejen de ser necesarios para la finalidad para la que se recabaron, a la limitación del tratamiento, a oponerse al mismo y a transmitirlos a otro responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica.

Los datos personales se venden a un precio irrisorio. Un estudio, titulado Data Brokers and the sale of data on U.S Military Personnel, nos explica cómo se pueden comprar los datos personales del personal militar norteamericano por escasos doce céntimos de dólar.

Recientemente, se ha publicado que datos sensibles de políticos y militares de la Unión Europea acabaron en Rusia y China por la acción de «data brockers». Nadie está a salvo.

En enero del año 2024, la Comisión Federal de Comercio (FTC) de Estados Unidos –la agencia nacional de protección del consumidor– dictó una orden prohibiendo al corredor de datos X-Mode Social (ahora, Outlogic) vender datos de ubicación precisos de los consumidores, pues podrían usarse para rastrear las visitas a lugares sensibles, como clínicas de salud, lugares de culto religioso y refugios para víctimas de violencia doméstica. Lo más grave es que vendían los datos asociados a una ID, que son identificadores únicos asociados a cada dispositivo móvil, de forma que los datos de ubicación dejaban de ser anónimos.

En Estados Unidos, la mayoría de los clientes de los «data brockers» son entidades financieras y aseguradoras. Imaginemos lo que puede significar que las aseguradoras de salud compren información sobre perfiles de usuarios donde figuren su estado de salud. Podrían darse casos de discriminación, pues las aseguradoras podrían encarecer sus servicios a ciertos perfiles o directamente vetarlos.

Acxiom es uno de los corredores de datos más sobresalientes de Estados Unidos. Según la FTC en su base de datos tienen información personal de 700 millones de consumidores de todo el mundo, y de ellos, 3.000 están segmentados para el mercado estadounidense. En 2012, la FTC denunció que el tipo de información personal que recogían no se limitaba a datos demográficos, de gustos o preferencias, también construían perfiles en torno a la religión practicada, la etnia o las inclinaciones políticas. 

Equifax es otro de los grandes corredores de datos en Estados Unidos. No solo eso, también es una de las grandes agencias elaboradoras de informes de crédito de consumidores en el mundo (son los gestores del fichero de morosos conocido como ASNEF). En septiembre de 2017, la compañía sufrió un ciberataque que dejó expuestos los datos personales de más de 147 millones de estadounidenses. Todo por no actualizar Apache Struts.

Conclusión

Infinidad de tratados internacionales garantizan el derecho a la inviolabilidad del domicilio, el secreto de las comunicaciones y el derecho a la privacidad, entonces, ¿cómo es posible que este tipo de empresas puedan operar comercializando con datos personales al mejor postor? Es inaceptable.

En España, no tengo constancia de que operen «data brockers», pero ¿quién nos asegura que nuestros datos personales no están en servidores de estas empresas en Estados Unidos?

Desapareciendo los «data brockers», los anuncios microdirigidos y la recopilación de datos personales por defecto, por ejemplo, cuando nos obligan a aceptar cookies de seguimiento por no querer pagar una suscripción, nuestra privacidad mejoraría enormemente.

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).