Capitalismo de la vigilancia: ¿qué es un data broker?

Los Data brokers (algo así como proveedores de datos) son empresas que recolectan datos de Internet sobre los usuarios (por ejemplo los datos de redes sociales) y los agregan con datos de otras fuentes (por ejemplo: datos bancarios, datos de tarjetas de supermercados…) para crear audiencias segmentadas. A día de hoy la industria del capitalismo de la vigilancia es uno de los negocios mas lucrativos que existen.

Los grupos generales suelen ir por edad, geolocalización, sueldo, nivel de educativo, historial de compras, historial de navegación… Pero seamos consciente de que con el historial de nevagación y las publicaciones en redes sociales se pueden saber muchísimas cosas.

Este tipo de empresa se pueden agrupar según quiénes son sus clientes:

• Marketing y anunciantes: crean bases de datos de audiencias segmentadas, para su correspondiente uso en publicidad segmentada. Algunos ejemplos son Acxiom y Datalogix, ambas subsidiarias de Oracle.
• Detección de fraude: antes de concederte un préstamo (en general de bajo riesgo), un banco puede recopilar información para determinar si la información que has entregado es correcta, para reducir el riesgo de que se cometa fraude.
• Mitigación de riesgo: similar al anterior, pero en inversiones de mayor riesgo o seguros. Hay seguros de salud que ofrecen un precio más bajo a quien tiene una tarjeta de socio de un gimnasio (menor riesgo de infarto) o de conducción si tienen instalado un aparatito en tu coche que recopila datos sobre “tu forma de conducir” (por donde vas, con qué frecuencia, a qué horas, a qué velocidad).
• Búsqueda de datos personales: habitual en entrevistas de trabajo. Por ejemplo PeekYou recorre la web para generar fichas con nombre, alias, direcciones, intereses, afiliaciones, cumpleaños, profiles de redes sociales y en ocasiones alguna información financiera. El acceso es tan fácil que dicho portal ha estado ligado múltiples veces a casos de extorsión y acoso por doxxing.

Preguntas típicas:

¿Son los gigantes tecnológicos? En general, no directamente. Estos son solo un eslabón de la cadena, regularlos ayudaría en parte pero no resolvería el problema.
¿Esto es legal? Depende del país, o están oficialmente en el límite de lo legal, o lo son si sus gobiernos no hacen mucho esfuerzo por legislar al respecto. En muchos casos la parte donde das permiso para esta recopilación está oculta, o colocada siguiendo patrones oscuros para sea muy difícil e incómodo el poder rechazarla.
¿Cómo pueden ser de problemáticos esos grupos de datos agregados? Hace unos años hubo un escándalo (MEDbase200) por venta de datos de grupos agregados bajo el criterio de personas con SIDA, o víctimas de  violación. Teniendo en cuenta que dentro de los niveles de protección los datos médicos son ténicamente de nivel máximo, yo diría que esto es muy preocupante.
¿Puede comprarlos un tercero malicioso? Si, por ejemplo con los pares de número de tarjeta bancaria (de la que puedes deducir por los dígitos la entidad) y teléfono móvil se tiene todo lo necesario para hacer campañas de phishing mediante SMS.
«¡Yo no tengo nada que ocultar!». En muchos casos, cuando compartes información, puedes compartir la de un tercero, el cual no deseaba compartir esa información. Por favor, ten en en cuenta que cuando etiquetas al alguien en una foto en una red social, esa persona pasa a estar en su sistema. Esa persona puede no haber dado su consentimiento al tratamiento de sus datos (lo que a día de hoy es un requisito de GDPR, ley que rige las cuestiones de privacidad en Europa), y sin embargo la red social ya está generando un «shadow-profile» (perfil de una persona que no se ha registrado, y en consecuencia jamás ha dado su consentimiento) de la misma por tu falta de previsión. Algo similar pasa si compartes algún dato de salud: eso se puede extrapolar como «propensión a» en tu familia. Por favor, piensa antes de compartir que el derecho a la privacidad es en muchos casos colectivo.

¿Hay alguna forma de librarte de su influencia?

Me temo que no hay una solución mágica. Lo que si podemos hacer es intentar minimizar nuestro rastro, pero reconozco abiertamente que es una labor compleja y a menudo extenuante. No pretendo generarte tecnofobia al decirte esto: me dedico al mundo de la tecnología porque estoy convencida que podemos mejorar la vida de muchas personas con ella, pero también de que tenemos una responsabilidad ética en su desarrollo. Mi intención es invitarte a pensar un poco antes de tomar decisiones, porque en última instancia el usuario tiene la última palabra, y si una mayoría rechaza a quienes tienen prácticas no éticas, dichas prácticas acabarán desapareciendo al perder su atractivo económico. Esto no implica que debas dejar de usar de golpe tal o cual servicio: simplemente considera sus ventajas e inconvenientes, y si das un pequeño como avitar determinadas prácticas o reducir el uso de este para empezar a mirar alternativas, eso que ganamos todos.

• ¿Te merece la pena tener la tarjeta de puntos (o la App) del supermercado? Esas tarjetas a menudo llevan tu nombre, dirección, y cuando la pasas al hacer una compra tienen acceso a qué sueles consumir (hábitos alimenticios, pagos con una tarjeta de crédito con un cierto número de identificación…). Podría incluso llevar unido tu número de teléfono.
• ¿Te merece la oferta del club tal o cual que te ofrece el banco, a cambio de tus datos? Habitualmente no ceden tu nombre, pero si el par de tarjeta de crédito mas número de tarjeta bancaria/número de cuenta, que va directamente a un Data broker. En mi experiencia, lo que sale directamente desde un banco es junto a la información médica la información de carácter más sensible, por lo que mucho cuidado allí.
• ¿Usas una aplicación de mensajería que requiera el número de teléfono (como por ejemplo WhatsApp)? ¿Y va ligada a alguna cuenta social (Facebook, Instagram)? Con esto han agregado el dato de tu teléfono, que es fácilmente ligable a tu número de tarjeta o cuenta bancaria por los datos que venden los supermercados. Busca una alternativa de mensajería con la que no des el dato del teléfono.
• ¿Alguno de los servicios que usas vende datos a terceros? Esto tiende a llevarte a un monumental laberinto de texto “en legalés” con los Términos y Condiciones de uso. Debes dar por hecho que en el 90% de las webs (y muchísimas aplicaciones o programas de escritorio) se te rastreará (palabra técnica/legal que describe esto: “telemetría”). Haz el esfuerzo por leerlos e intentar localizar la opción “no” a la Telemetría. Si hablamos de un servicio vía página web, instala un bloqueador de rastreo, porque aunque algunos sitios que de por si no te rastrean tienen los botones oficiales de “Compártelo en Facebook/Compártelo en Twitter” que son rastreadores de terceros y pueden generar “shadow profiles”. Yo recomiendo borrar las cookies del navegador tras hacer cualquier gestión con datos que puedan ser sensibles, que quién sabe a que sistema de recopilación de datos le podrían interesar.
• ¿Has revisado a qué accede una aplicación que usas en tu teléfono? Facebook está furioso con Apple porque tras su última actualización de sistema muestra de forma clara y en un lenguaje comprensible qué datos se lleva Facebook (o WhasApp, o cualquier otra App que no tenga nada que ver con ese gigante) y llevando a que pierdan mucha información de usuario. Están haciendo una campaña quejánose de cómo “Apple está haciendo daño a muchas pequeñas empresas”… si, empresas que venden esos datos a los Data brokers. No soy muy amiga de Apple, pero ahí estoy con ellos: los usuarios deben poder tomar decisiones informadas y ser capaces de bloquear dicho rastreo/espionaje.
• ¿Y si uso una aplicación no comercial? Si usas Software Libre, no se te rastreará porque es software ético. Si usas Código Abierto, es posible que haya rastreadores porque abrir el código no implica compromiso ético, pero sí que podamos estudiar cómo actúa. Si está «basado en Código Abierto» (por ejemplo, Visual Studio Code, Google Chrome) probablemente te rastreará (en los 2 ejemplos que he citado lo hacen, es parte del código no publico) y te invito a intentar usar directamente aquello en lo que se basa.