Los brókers de datos recopilan y venden clandestinamente información personal –desde la condición de salud física y mental de las personas, hasta sus ingresos o ubicación–, causando daños evidentes.
Artículo relacionado en DonesTech: EU plans allow Big Tech to exploit your medical records, without permission
En Estados Unidos, millones de personas utilizaban GoodRX, una empresa de telemedicina y proveedora de medicamentos de prescripción, pero probablemente no sabían que también estaban compartiendo sus medicamentos recetados y su estado de salud con Facebook, Google y otras entidades. Los niños y adultos que usaban la popular aplicación, “segura para toda la familia”, probablemente no se percataron de que la empresa estaba vendiendo discretamente sus datos de localización. Este y muchos otros casos tienen un hilo conductor: la subasta de datos, o el ecosistema multimillonario y prácticamente no regulado, de empresas que recopilan, infieren, agregan y luego venden y comparten los datos de los estadounidenses.
Los brókers o intermediarios de datos han existido por años. Dichas compañías no han recibido tanta atención como los Facebook, Google (o Tik Tok) del mundo, pero hay indicios de que esto podría estar cambiando. El 19 de abril testifiqué al respecto en una audiencia del Congreso de Estados Unidos, que terminó siendo un fuerte debate bipartidista sobre un problema de privacidad poco explorado que afecta a cientos de millones de estadounidenses. Los brókers de datos en Estados Unidos recopilan y venden clandestinamente información personal que va desde las condiciones de salud física y mental de las personas, hasta sus ingresos e historial crediticio, su afiliación política y la ubicación de sus celulares. Por ejemplo, Axicom, con sede en Arkansas, publicita datos de 2,500 millones de personas en el mundo. Las compañías de seguros médicos, las instituciones financieras, los especialistas en marketing, las fuerzas de seguridad, los estafadores, los agresores y otros actores pueden comprar estos conjuntos de datos pre empaquetados para perfilar, rastrear y dirigirse a las personas que estén en ellos.
Los brókers de datos adquieren información sobre las personas de tres formas principales. Muchos recopilan información de individuos directamente, por ejemplo, a través de la adquisición de empresas, aplicaciones y sitios web que recopilan información sobre las personas, que después se introduce en las bases de datos de los brókers. A veces, estas empresas también pagan a los desarrolladores de aplicaciones para que incluyan sus kits de desarrollo de software, o SDK por sus siglas en inglés, en las aplicaciones, lo que después le permite al bróker “sentarse” dentro de la aplicación y succionar los datos de los usuarios. Cuando un usuario instala una aplicación, puede estar de acuerdo en que esta acceda a la ubicación de su teléfono o a sus contactos, sin darse cuenta de que el SDK de un intermediario de datos también está adquiriendo esa información.
El segundo método de recolección es indirecto. Los brókers rastrean los registros públicos, incluyendo padrones electorales y de propiedad, para obtener datos como la dirección y el número telefónico. Los sitios web de búsqueda de personas son brókers de datos que esculcan estos registros, extraen la información y la publican en línea para su búsqueda y venta.
La recopilación indirecta también incluye a agentes que pagan a los desarrolladores de aplicaciones para vender los datos de sus propios usuarios (sin molestarse en incluir SDK en sus aplicaciones). Por ejemplo, Life 360, que era promovida como una aplicación de seguridad para localizar en todo momento a tus familiares, vendía datos de ubicación de sus usuarios a brókers (y en 2020 hizo casi el 20% de sus ganancias de esa actividad, según un reporte de the Markup).
La tercera forma en la que consiguen datos es a través de la inferencia, es decir, utilizando algoritmos y otras técnicas para predecir puntos de información que técnicamente no han recopilado, como registros de compras y código postal para hacer predicciones sobre los ingresos de los hogares. La práctica de la inferencia significa que la información que los consumidores probablemente nunca llegaron a teclear en un formato, y que no tienen ni idea de que está siendo recopilada por intermediarios de datos, está a la venta en el mercado abierto.
Algunas veces la inferencia es simple, como ver qué aplicaciones están instaladas en un dispositivo. Si alguien tiene una aplicación de noticias cristianas o una aplicación de rezo para musulmanes en su celular, es probable que sea un claro indicador sobre su religión. Asimismo, la presencia de aplicaciones de citas LGBTQ+ en un celular es probablemente un claro indicador de que dicha persona pertenece a la comunidad LGBTQ+. Un bróker de datos puede comprar listas de usuarios de la aplicación, o adquirir datos sobre las descargas de aplicaciones en un celular de otra manera, y usar ese único punto de datos para indicar la religión y la orientación sexual de una persona, que luego puede vender.
Otras veces, la “inferencia” puede ser más compleja: parte del carácter invasivo de la recopilación datos de ubicación es que puede utilizarse para seguir a las personas cuando visitan centros médicos, abogados de divorcios, oficinas de pago de préstamos, bares gay, lugares de culto, la escuela de sus hijos y mucho más. Los intermediarios con miles de datos sobre un solo individuo también pueden construir modelos para obtener información adicional a partir de esos datos.
El daño de esta recopilación, inferencia y venta de datos es evidente. Los brókers han recopilado registros públicos por décadas y han publicado las direcciones de los hogares de los estadounidenses y otra información para su búsqueda y venta en línea. Individuos abusivos han comprado estos datos y los han usado para acechar, acosar, intimidar, agredir e incluso asesinar a otras personas, predominantemente a mujeres y miembros de la comunidad queer. Estas empresas también han vendido durante años datos a estafadores criminales, que se enfocaron en grupos como los veteranos de la Segunda Guerra Mundial y les robaron millones de dólares a ancianos y personas con Alzheimer.
Compañías de seguros médicos han comprado datos a brókers, incluyendo información sobre raza, nivel educativo, estado civil, patrimonio neto, publicaciones en redes sociales, pagos de facturas y más, para perfilar consumidores y predecir los costos de proveer servicios de salud a esas personas. Vender datos sobre quienes sufren depresión, ansiedad, trastorno bipolar, déficit de atención, entre otras, amenaza con permitir una discriminación increíblemente abusiva de personas que ya se enfrentan a la estigmatización y a barreras para acceder a atención de salud mental. Estafadores han comprado información financiera de los días de pago de solicitantes de préstamos, y al menos un intermediario de datos los vendió ilegalmente, para robar millones de dólares a esas personas. Las fuerzas del orden y las agencias de seguridad han comprado datos de intermediarios sobre ciudadanos estadounidenses, incluyendo datos sobre los servicios públicos domésticos hasta ubicaciones en tiempo real, sin ningún tipo de orden judicial, divulgación pública ni supervisión estricta.
Aunque los brókers recopilan, infieren y venden datos sobre cientos de millones de personas en los Estados Unidos, su actividad carece en gran medida de regulación. Por ejemplo, la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (Health Insurance Portability and Accountability Act, HIPPA, en inglés), usualmente conocida como la ley de privacidad sanitaria de Estados Unidos, solo se aplica a ciertas “entidades cubiertas” (incluyendo proveedores de atención sanitaria y centros de intercambio de información sanitaria) y sus socios comerciales. Si le dices a tu doctor que te duele la garganta, no puede escribirlo y venderlo en la esquina de la calle; si tu hospital crea una aplicación móvil para agendar citas, también puede estar cubierto por la HIPPA.
Pero esa ley no cubre muchas aplicaciones, sitios web, brókers de datos, empresas de redes sociales, startups de tecnología publicitaria y otros actores que no tienen relaciones comerciales con entidades cubiertas. Por lo tanto, es completamente legal que una aplicación de salud mental no cubierta por la HIPPA recopile datos sobre jóvenes de 14 a 17 años con depresión y luego venda esa información, con nombres incluidos, a todo tipo de terceros. Algunos proveedores de medicamentos podrían incluso vender legalmente la información sobre tus recetas, siempre y cuando no lo hagan de manera “engañosa”, en cuyo caso no hay forma de que sepas lo que en realidad ocurre con tus datos.
Los daños y riesgos afectan a todos, pero en mayor medida a las poblaciones vulnerables, incluyendo las comunidades no blancas, los pobres, los ancianos, las personas con Alzheimer y demencia, sobrevivientes de violencia de género, mujeres embarazadas, niños, personas con problemas de salud mental, veteranos afectados por el trauma y las personas que tienen dificultades para llegar a fin de mes.
Durante el 117° Congreso de los Estados Unidos (2021-2023), la Ley de Protección de la Privacidad de los Datos de Estados Unidos recibió un gran apoyo bipartidista y, según muchas opiniones, fue lo más cerca que el poder legislativo estadounidense había estado de aprobar una ley integral de privacidad. Se está debatiendo una nueva versión. Además de incluir controles sobre la transacción de datos en una ley integral de privacidad, Estados Unidos necesita prohibiciones específicas y totales sobre la venta de datos sanitarios y de localización, que son increíblemente privados para los individuos, fácilmente vinculables a personas concretas y muy susceptibles para abusar de ellos. Esto debería ir acompañado de una legislación que impida a los brókers de datos utilizar la “inferencia” para evadir esos controles, al hacer distinciones semánticas sin sentido para cumplir con la ley, pero obteniendo de todos modos datos de salud o de localización.
La oscura recopilación, inferencia y venta de datos sobre los estadounidenses se ha prolongado durante demasiado tiempo. Aunque existen algunos servicios de eliminación de información personal que los consumidores pueden utilizar para borrar su información de los sitios web de búsqueda, de forma temporal y parcial en el mejor de los casos, estos servicios no pueden ayudar a las personas a eliminar su información de las bases de datos privadas de los brókers de datos (excepto, en unos pocos casos, en California y otros estados con leyes de privacidad). Sin embargo, la verdadera cuestión es bastante simple: la carga de luchar contra una industria de vigilancia opaca y multimillonaria no debe recaer en los individuos. El Congreso de Estados Unidos debe actuar, o el daño a los estadounidenses solo persistirá. ~
Este artículo es publicado gracias a una colaboración de Letras Libres con Future Tense, un proyecto de Slate, New America, y Arizona State University.
Ilustración: Isadora Anderson / dreamstudio