Área clientes Área clientes
PROTECCIÓN DATA

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Data Brokers y protección de datos

¿Les suena el término «data broker» o «corredor de datos»? 

Para quien no lo sepa, se trata de empresas que se dedican a recolectar y comercializar con los datos personales de terceros, incluyendo capacidad económica, gustos y preferencias, ideología política, creencias religiosas, información sanitaria, ubicación geográfica, etc.

La venta de datos, una actividad tremendamente lucrativa, resulta de interés para diversos sectores:

  • Marketing: para segmentar el mercado, personalizar la publicidad o fidelizar clientes.
  • Investigación: para elaborar estudios de mercado, análisis de tendencias o encuestas.
  • Riesgo: para evaluar la solvencia o riesgo crediticio y prevenir fraudes.
  • Salud: para ofrecer servicios médicos o venta de seguros privados.

Los datos personales que recopilan y comercializan los «data brokers» incluyen diversas categorías, por ejemplo:

  • Datos identificativos: nombre y apellidos, DNI, sexo, edad, estado civil, residencia, etc.
  • Datos de comportamiento: preferencias, gustos, intereses, hábitos, aficiones y opiniones, etc.
  • Datos de consumo: ingresos, gastos, compras, devoluciones, etc.
  • Datos de salud: historial médico, tratamientos, hábitos de vida, etc.
  • Datos de geolocalización: ubicación, distancias, movimientos, etc.

Los «data brokers» pueden suponer una amenaza para nuestra privacidad por diversas razones:

  • Falta de transparencia: desconocemos quién recopila y vende nuestros datos personales, qué información tienen, cómo la obtienen y a quién se la venden.
  • Falta de consentimiento: el usuario no da su consentimiento para que recolecten, analicen y vendan sus datos, o lo hace de forma inconsciente o engañosa al aceptar políticas de privacidad y condiciones de uso que no se entienden.
  • Falta de seguridad: no se conocen las medidas implementadas para proteger los datos recopilados.

Defender nuestros derechos frente a los «data brokers» se vuelve una misión imposible y es que difícilmente podemos hacer uso de los derechos legalmente reconocidos, como el derecho a acceder a nuestros datos personales, a rectificar los datos inexactos, a solicitar su supresión, a oponerse al tratamiento y a transmitirlos a otro responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica.

Los datos personales se venden a precios irrisorios. Un estudio titulado Data Brokers and the sale of data on U.S Military Personnel revela que los datos del personal militar estadounidense pueden adquirirse por apenas doce céntimos de dólar.

Recientemente, apareció publicado en la dark web un anuncio de venta de datos personales de cerca de 40 millones de españoles nacidos entre 1926 y 2004. El precio: 10.000 dólares. No se sabe la fuente u origen de los datos robados, pero recordemos que el SEPE y el Punto Neutro Judicial fueron atacados. Esta filtración, detectada en 2024, expuso datos como nombres, fechas de nacimiento y direcciones, pero sin contraseñas o información financiera crítica.

Además, se publicó que datos sensibles de políticos y militares de la Unión Europea acabaron en Rusia y China por la acción de los «data brokers». Nadie está a salvo.

Estados Unidos obtiene información personal sensible, no por actividades de espionaje, sino por la compra de datos personales a los «data brokers». Michael Morell, ex subdirector de la Agencia Central de Inteligencia (CIA), reconoció un gran cambio en la forma en que opera ahora la CIA, así, en una intervención en el pódcast NatSecTech dijo: «Hay una enorme cantidad de información personal que se recopila a través de las aplicaciones de los teléfonos móviles, y si las compañías están dispuestas a venderla, se pueden comprar». 

Peligros

Muchos de los clientes de los «data brokers» son compañías aseguradoras y entidades financieras. Imaginemos lo que implica que una compañía aseguradora compre información sobre la salud de potenciales clientes: podrían aplicar tarifas más altas a ciertos perfiles o directamente negarles el servicio.

Acxiom es uno de los corredores de datos más sobresalientes de Estados Unidos. Según la Comisión Federal de Comercio (FTC) de Estados Unidos –la agencia nacional de protección del consumidor– en su base de datos tienen información personal de 700 millones de consumidores de todo el mundo, 3.000 de los cuales están segmentados específicamente para el mercado estadounidense. En 2012, la FTC denunció que la empresa no solo recogía datos demográficos o de consumo, sino también información sobre religión, etnia o ideología política.

Equifax es otro de los grandes corredores de datos en Estados Unidos. No solo eso, también es una de las grandes agencias elaboradoras de informes de crédito de consumidores en el mundo (son los gestores del fichero de morosos conocido como ASNEF). En septiembre del año 2017, la compañía sufrió un ciberataque que dejó expuestos los datos de más de 147 millones de estadounidenses. 

Docusearch es una compañía norteamericana que ofrece servicios de investigación privada. En 1999, Amy Boyer fue asesinada por su excompañero de clase Liam Youens. Docusearch proporcionó información personal de la víctima (fecha de nacimiento, número de la seguridad social, teléfono, lugar de trabajo, matrícula de su vehículo, etc.) a Youens a cambio de 109 dólares, quien utilizó esa información para acudir a su lugar de trabajo y matarla. Tras ello, Youens se suicidó.

La familia de la víctima llevó el caso a los tribunales con el argumento de que Amy Boyer tenía una expectativa razonable de privacidad que se quebró tras revelar Docusearch información personal suya. El caso «Remsburg vs. Docusearch» marcó un hito tras el pronunciamiento de la Corte Suprema de New Hampshire. La Corte dictaminó que «los intermediarios de información y los investigadores privados pueden ser responsables de los daños causados ​​por la venta de información personal». Haciendo clic aquí pueden consultar la sentencia.

LeapLab –un «data broker» de Arizona– vendió los datos personales de miles de norteamericanos a estafadores, «spammers» y vendedores telefónicos, quienes usaron esa información personal para efectuar retiradas de dinero en efectivo no autorizadas de sus cuentas bancarias o solicitar créditos bancarias no autorizados. La FTC obligó a Sitesearch Corp. LeapLab, Leads Company y a su fundador John Ayers a reparar los daños causados a las víctimas.

En enero de 2024, la FTC dictó una orden prohibiendo al corredor de datos X-Mode (ahora, Outlogic) vender datos de ubicación precisos de los consumidores, pues podrían usarse para rastrear las visitas a lugares sensibles como clínicas de salud, lugares de culto religioso o refugios para víctimas de violencia doméstica. En 2025, la FTC finalizó órdenes similares contra brokers como Mobilewalla y Gravy Analytics por ventas de datos de ubicación sensible sin consentimiento.

En Estados Unidos, la Cámara de Representantes aprobó en 2024 la Protecting Americans’ Data from Foreign Adversaries Act, que prohíbe a los corredores de datos vender, licenciar, alquilar, intercambiar, transferir o dar acceso a datos personales sensibles de ciudadanos estadounidenses a países considerados adversarios (Corea del Norte, China, Rusia e Irán) o a entidades controladas por ellos. Los datos sensibles incluyen identificadores gubernamentales, números de cuentas financieras, información biométrica y genética, datos de geolocalización precisa y comunicaciones privadas (por ejemplo, correos electrónicos). La ley lo que no restringe es la transferencia de datos a agencias como la CIA o el FBI que los adquieren para fines de inteligencia.

En España también operan los «data broker». La compañía española TapTap compra a las compañías de telefonía móvil los datos personales (anonimizados) de sus usuarios. A través de una herramienta propia (Sonata) son capaces de optimizar esa información personal para dirigir campañas publicitarias personalizadas y vender sus resultados a agencias de comunicación y marketing. En una entrevista, el jefe de producto, Álvaro Mayol, explicó un ejemplo: «Imaginemos que queremos hacer una campaña en Madrid y Barcelona. Pues lo que buscamos es las zonas de mayor afinidad a las condiciones que busca el anunciante basándonos en un montón de variables, ya sea datos dinámicos, como los intereses de la audiencia basados en su navegación digital; o bien datos estáticos, como el perfil demográfico de la zona. Vamos añadiendo capas para tratar de buscar la mayor afinidad y la mayor cobertura posible. (…) Si hacemos una campaña para llevar gente a McDonald’s porque hay una oferta especial, la idea es llevarle a la tienda cuando la tienda está abierta. Si el usuario ve el anuncio cuando el McDonald’s ya no está abierto, la publicidad es inútil para el usuario».

Lo que queda fuera del mercado de datos son las «cajas negras» de Facebook y Google. Ambas compañías tienen un circuito cerrado de datos personales y espacios publicitarios que venden solo a aquellas empresas con interés en anunciarse en sus plataformas.

Conclusión

Desapareciendo los «data brokers», los anuncios microdirigidos y la recopilación de datos personales por defecto, por ejemplo, cuando nos obligan a aceptar cookies de seguimiento por no querer pagar una suscripción, nuestra privacidad mejoraría enormemente.

 

Índice de artículos
error: El contenido del blog está protegido por derechos de propiedad intelectual mediante su registro en Safe Creative. Queda prohibida la reproducción, distribución, transformación, transcripción, almacenamiento o recuperación total o parcial de este contenido, sin el permiso previa y expreso del titular de los derechos. La infracción de los derechos puede constituir un delito contra la propiedad intelectual (artículo 270 y ss. del CP). Para requerir la autorización pueden dirigirse al titular enviando un correo electrónico a info@protecciondata.es