Protección Data

BLOG

El conocimiento es poder (Francis Bacon)

Blog
Compartir Facebook Twitter Linkedin
JAVIER CASAL TAVASCI

Data Brokers y protección de datos

¿Les suena el término «data broker» o «corredor de datos»? 

Para quien no lo sepa, se trata de empresas que se dedican a recolectar y comercializar con los datos personales de terceros, incluyendo capacidad económica, gustos y preferencias, ideología política, creencias religiosas, información sanitaria, ubicación geográfica, etc.

La venta de datos, que resulta tremendamente lucrativa, interesa a diversos sectores:

  • Marketing: para segmentar el mercado, personalizar la publicidad o fidelizar clientes.
  • Investigación: para elaborar estudios de mercado, análisis de tendencias o encuestas.
  • Riesgo: para evaluar la solvencia o riesgo crediticio y prevenir fraudes.
  • Salud: para ofrecer servicios médicos o venta de seguros privados.

Los datos personales que recopilan y comercializan los «data brokers» incluyen diversas categorías, por ejemplo:

  • Datos identificativos: nombre y apellidos, DNI, sexo, edad, estado civil, residencia, etc.
  • Datos de comportamiento: preferencias, gustos, intereses, hábitos, aficiones y opiniones, etc.
  • Datos de consumo: ingresos, gastos, compras, devoluciones, etc.
  • Datos de salud: historial médico, tratamientos, hábitos de vida, etc.
  • Datos de geolocalización: ubicación, distancias, movimientos, etc.

Los «data brokers» pueden suponer una amenaza para nuestra privacidad por diversas razones:

  • Falta de transparencia: no sabemos quiénes recopilan y venden nuestros datos personales, qué datos tienen, cómo los obtienen y a quiénes se los venden.
  • Falta de consentimiento: el usuario no da su consentimiento para que recolecten, analicen y vendan sus datos, o lo hace de forma inconsciente o engañosa al aceptar políticas de privacidad y condiciones de uso que no se entienden.
  • Falta de seguridad: no sabemos qué medidas de seguridad han implementado para asegurar los datos personales.

La defensa de nuestros derechos frente a los «data brokers» se vuelve una misión imposible y es que, difícilmente, podemos hacer uso de los derechos legalmente reconocidos, como el derecho a acceder a nuestros datos personales, a rectificar los datos inexactos, a solicitar su supresión, a oponerse al tratamiento y a transmitirlos a otro responsable del tratamiento en un formato estructurado, de uso común y de lectura mecánica.

Los datos personales se venden a un precio irrisorio. Un estudio, titulado Data Brokers and the sale of data on U.S Military Personnel, nos explica cómo se pueden comprar los datos personales del personal militar norteamericano por escasos doce céntimos de dólar.

Recientemente, salió publicado en la Dark Web un anuncio de venta de datos personales de cerca de 40 millones de españoles nacidos entre 1926 y 2004. El precio: 10.000 dólares. No se sabe la fuente u origen de los datos robados, pero recordemos que el SEPE y el Punto Neutro Judicial fueron atacados.  

También se ha publicado que datos sensibles de políticos y militares de la Unión Europea acabaron en Rusia y China por la acción de los «data brokers». Nadie está a salvo.

Estados Unidos obtiene información personal sensible, no por actividades de espionaje, sino por la compra de datos personales a los «data brokers». Michael Morell, ex subdirector de la Agencia Central de Inteligencia (CIA), reconoció un gran cambio en la forma en que opera ahora la CIA, así, en una intervención en el pódcast NatSecTech dijo: «Hay una enorme cantidad de información personal que se recopila a través de las aplicaciones de los teléfonos móviles, y si las compañías están dispuestas a venderla, se pueden comprar». 

Peligros

Muchos de los clientes de los «data brokers» son compañías aseguradoras y entidades financieras.

Imaginemos lo que puede significar que las compañías aseguradoras compren información personal sobre perfiles de usuarios donde figure su estado de salud. Podrían darse casos de discriminación, pues podrían encarecer sus servicios a ciertos perfiles o directamente vetarlos.

Acxiom es uno de los corredores de datos más sobresalientes de Estados Unidos. Según la Comisión Federal de Comercio (FTC) de Estados Unidos –la agencia nacional de protección del consumidor– FTC en su base de datos tienen información personal de 700 millones de consumidores de todo el mundo, y de ellos, 3.000 están segmentados para el mercado estadounidense. En el año 2012, la FTC denunció que el tipo de información personal que recogían no se limitaba a datos demográficos, de gustos o preferencias, también construían perfiles en torno a la religión practicada, la etnia o las inclinaciones políticas. 

Equifax es otro de los grandes corredores de datos en Estados Unidos. No solo eso, también es una de las grandes agencias elaboradoras de informes de crédito de consumidores en el mundo (son los gestores del fichero de morosos conocido como ASNEF). En septiembre del año 2017, la compañía sufrió un ciberataque que dejó expuestos los datos de más de 147 millones de estadounidenses. 

Docusearch es una compañía norteamericana que ofrece servicios on line de investigación privada. En 1999, la joven Amy Boyer fue asesinada por su ex compañero de clase Liam Youens. Docusearch proporcionó información personal de la víctima (fecha de nacimiento, número de la seguridad social, teléfono, lugar de trabajo, matrícula de su vehículo, etc.) a Youens a cambio de 109 $, quien utilizó esa información para acudir a su lugar de trabajo y matarla. Tras ello, Youens se suicidó.

La familia de la víctima llevó el caso a los tribunales con el argumento de que Amy Boyer tenía una expectativa razonable de privacidad que se quebró tras revelar Docusearch información personal suya. El caso «Remsburg vs. Docusearch» marcó un hito tras el pronunciamiento de la Corte Suprema de New Hampshire. La Corte dictaminó que «los intermediarios de información y los investigadores privados pueden ser responsables de los daños causados ​​por la venta de información personal». Haciendo clic aquí pueden consultar la resolución.

LeapLab –un «data broker» de Arizona– vendió los datos personales de miles de norteamericanos a estafadores, «spammers» y vendedores telefónicos, quienes usaron esa información personal para efectuar retiradas de dinero en efectivo no autorizadas de sus cuentas bancarias o solicitar créditos bancarias no autorizados. La FTC obligó a Sitesearch Corp. LeapLab, Leads Company y a su fundador John Ayers a reparar los daños causados a las víctimas.

En enero de 2024, la FTC dictó una orden prohibiendo al corredor de datos X-Mode (ahora, Outlogic) vender datos de ubicación precisos de los consumidores, pues podrían usarse para rastrear las visitas a lugares sensibles como clínicas de salud, lugares de culto religioso o refugios para víctimas de violencia doméstica.

Los datos de ubicación sin procesar que X–Mode (Outlogic) vendió estaban asociados con ID de publicidad móvil, que son identificadores únicos asociados con cada dispositivo móvil. Estos datos de ubicación, sin procesar, no son anónimos, y son capaces de hacer coincidir el dispositivo móvil de una persona con las ubicaciones que visitó. 

En España también operan los «data broker». La compañía española TapTap compra a las compañías de telefonía móvil los datos personales (anonimizados) de sus usuarios. A través de una herramienta propia (Sonata) son capaces de optimizar esa información personal para dirigir campañas publicitarias personalizadas y vender sus resultados a agencias de comunicación y marketing.

En una entrevista, el jefe de producto, Álvaro Mayol, explicó un ejemplo: «imaginemos que queremos hacer una campaña en Madrid y Barcelona. Pues lo que buscamos es las zonas de mayor afinidad a las condiciones que busca el anunciante basándonos en un montón de variables, ya sea datos dinámicos, como los intereses de la audiencia basados en su navegación digital; o bien datos estáticos, como el perfil demográfico de la zona. Vamos añadiendo capas para tratar de buscar la mayor afinidad y la mayor cobertura posible. (…) Si hacemos una campaña para llevar gente a McDonalds porque hay una oferta especial, la idea es llevarle a la tienda cuando la tienda está abierta. Si el usuario ve el anuncio cuando el McDonald’s ya no está abierto, la publicidad es inútil para el usuario».

Lo que queda fuera del mercado de datos son las «cajas negras» de Facebook y Google. Ambas compañías tienen un circuito cerrado de datos personales y espacios publicitarios que venden solo a aquellas empresas con interés en anunciarse en sus plataformas.

Conclusión

La Cámara de Representantes de Estados Unidos aprobó en marzo de 2024 un proyecto de ley con el que pretende impedir la venta, divulgación, concesión, alquiler o transferencia de datos personales de estadounidenses, aunque sean anonimizados, a los adversarios extranjeros, como es el caso de China, Rusia, Corea del Norte o Irán. De forma que se legitima la comercialización con datos personales, siempre y cuando los compren las autoridades de Estados Unidos.

Los datos a los que hace referencia dicho proyecto comprenden la geolocalización, el número de pasaporte, los datos financieros como las tarjetas de crédito o el número de cuenta, información relacionada con la salud y los datos biométricos vinculados a una persona y un dispositivo. También la información privada relacionada con los correos electrónicos, mensajes, llamadas, imágenes, vídeos y actividad en línea.

¿Cómo es posible que estas compañías puedan operar comercializando con datos personales, aunque sean anonimizados, pues el proceso es reversible? Inaceptable.

Desapareciendo los «data brokers», los anuncios microdirigidos y la recopilación de datos personales por defecto, por ejemplo, cuando nos obligan a aceptar cookies de seguimiento por no querer pagar una suscripción, nuestra privacidad mejoraría enormemente. 

error: Contenido protegido por derechos de propiedad intelectual. Se prohíbe su reproducción, transformación, distribución y comunicación pública a título lucrativo por cualquier medio y soporte. Advertir que la infracción de los derechos relativos a la propiedad intelectual es constitutiva de delito (arts. 270 y ss. CP).