La economía de los corredores de datos: Cómo empresas de las que nunca has oído saben más de ti que tus amigos

Alguien a quien nunca has conocido tiene un perfil de 3.000 puntos sobre ti

Acxiom, una empresa con sede en Conway, Arkansas, sabe tu nombre, todas las direcciones donde has vivido, tus ingresos familiares estimados, qué tipo de coche conduces, tu afiliación religiosa, tus inclinaciones políticas y a cuál de los 70 "segmentos de estilo de vida" perteneces, categorías como "Familias prósperas" o "Recursos metropolitanos modestos". Nunca has hecho negocios con Acxiom. Casi con toda seguridad nunca has oído hablar de ellos. No les importa. Tú eres su producto.

Bienvenido a la economía de los corredores de datos: una industria de 300 mil millones de dólares al año construida casi por completo con información que nunca proporcionaste a sabiendas a nadie que la vendiera.

La escala es difícil de comprender

Hay miles de corredores de datos operando en Estados Unidos. Los nombres conocidos (Acxiom, LexisNexis, Experian (no solo informes de crédito; también venden datos demográficos y de comportamiento), Oracle Data Cloud, la división de servicios de datos de Equifax) son la punta del iceberg. Debajo de ellos se encuentran cientos de agregadores más pequeños, sitios de búsqueda de personas, empresas de análisis de audiencia y revendedores de datos. La industria no requiere una licencia para operar. No hay registro federal. En la mayoría de los estados, no hay ningún requisito de registro.

Su producto eres tú, o más precisamente, una representación estadística de ti ensamblada a partir de fuentes que te costaría enumerar.

Lo que realmente saben

El perfil que un importante corredor de datos tiene sobre un adulto estadounidense típico no es abstracto. Probablemente incluye:

• Nombre completo, direcciones actuales e históricas, números de teléfono y direcciones de correo electrónico
• Ingresos estimados, patrimonio neto y capacidad de gasto
• Historial de compras de programas de fidelización de minoristas y datos de transacciones con tarjetas de crédito
• Registro de afiliación política y frecuencia de voto (de registros públicos)
• Afiliación religiosa (inferida de donaciones, demografía del vecindario, patrones de compra)
• Condiciones de salud (inferidas, no de registros médicos, sino de compras de medicamentos de venta libre específicos, ayudas para la movilidad, suplementos dietéticos y donaciones a organizaciones benéficas relacionadas con enfermedades)
• Estado civil, composición del hogar y edades de los hijos en el hogar
• Propiedad de vehículos, marca, modelo y año
• Historial de ubicación derivado de aplicaciones de teléfonos inteligentes
• Actividad en redes sociales y rasgos de personalidad inferidos

El sistema PersonicX de Acxiom clasifica a los estadounidenses en 70 grupos de estilo de vida. Los segmentos de Oracle Data Cloud se cuentan por miles. Estos no son solo curiosidades de marketing; se venden como insumos para decisiones que afectan tu vida.

Cómo los recopilan: la cadena de suministro de datos

Ninguna fuente única construye un perfil completo. Los corredores de datos ensamblan los suyos a partir de docenas de tuberías que funcionan simultáneamente:

• Registros públicos: La propiedad de bienes raíces, el registro de votantes, los registros judiciales (incluyendo demandas civiles, divorcios y quiebras) y los registros de vehículos motorizados son públicos en la mayoría de los estados de EE. UU. Los corredores los absorben continuamente.
• Datos de minoristas y programas de fidelización: Cuando usas una tarjeta de fidelización de supermercado o una aplicación minorista, tu historial de compras se vende o licencia con frecuencia a los corredores de datos. El descuento es real. El costo también es real.
• Datos de ubicación móvil: Cientos de aplicaciones (aplicaciones del clima, juegos, aplicaciones de cupones) incluyen SDK de terceros que transmiten datos de ubicación a los corredores. Una investigación de 2021 de The Markup encontró datos de ubicación que se vendían y que podían rastrear a individuos hasta entradas específicas de hospitales, lugares de culto y refugios para víctimas de violencia doméstica.
• Datos compartidos entre corredores: Los corredores compran a otros corredores. La misma información circula y recircula, cada transacción enriquece ligeramente el perfil.
• Datos de encabezado de crédito: Las instituciones financieras comparten nombre, dirección y datos laborales (no la puntuación de crédito en sí, sino la información del encabezado) bajo disposiciones legales específicas.

Perfiles sombra: no tienes que participar

Uno de los aspectos más inquietantes del ecosistema de corredores de datos es que optar por no participar en la vida digital no ofrece casi ninguna protección. Si nunca has tenido una cuenta de Facebook, Facebook casi con toda seguridad tiene un perfil sombra tuyo de todos modos, construido a partir de listas de contactos de correo electrónico subidas por tus amigos, datos de navegación recopilados a través del píxel de Facebook incrustado en millones de sitios web y datos comprados a corredores.

Esto no es hipotético. En 2018, cuando el Congreso le preguntó a Mark Zuckerberg sobre los perfiles sombra, confirmó la práctica. La industria de corredores de datos opera bajo el mismo principio a escala industrial: no tienes que interactuar con un corredor para que tengan un archivo sobre ti. Tus amigos, tus compras, tus vecinos y tus registros públicos lo hacen por ti.

Para qué se utilizan los datos

La publicidad dirigida es la superficie visible. Los usos subyacentes se discuten menos, pero a menudo son más trascendentales:

• Evaluación de inquilinos: Los propietarios utilizan informes de corredores de datos que pueden incluir registros de desalojo, antecedentes penales y puntuaciones de comportamiento, datos que pueden ser inexactos y difíciles de impugnar.
• Verificación de antecedentes laborales: Una industria significativa opera en este espacio, y los errores en los datos subyacentes del corredor se propagan a las decisiones de contratación.
• Fijación de precios de seguros: Las aseguradoras en algunos estados utilizan "puntuaciones de seguro basadas en crédito" derivadas de corredores de datos que se correlacionan con la raza y los ingresos, cobrando efectivamente más a los clientes de bajos ingresos.
• Suscripción de préstamos: Los modelos alternativos de calificación crediticia se basan en datos de comportamiento de los corredores para tomar decisiones crediticias sobre personas con historiales crediticios limitados.
• Micromarketing político: Ambos partidos políticos principales de EE. UU. compran extensamente archivos de corredores de datos. Los ciclos electorales de 2016 y 2020 implicaron micromarketing a una escala que no sería posible sin la infraestructura de la industria de corredores.
• Cobro de deudas y fraude: La localización de personas (encontrar a personas que se han mudado) es un uso principal de los datos de búsqueda de personas.

Los daños reales

Los daños derivados de la actividad de los corredores de datos no son teóricos. Los sitios de búsqueda de personas (un subconjunto orientado al consumidor de la industria de corredores) se han vinculado directamente con casos de acoso y violencia doméstica, proporcionando a los abusadores direcciones actuales en segundos. Un informe de 2023 de la Línea Directa Nacional de Violencia Doméstica encontró que los sitios de corredores de datos eran una herramienta principal utilizada por los abusadores para localizar a las víctimas que habían huido.

La discriminación en seguros y préstamos basada en datos demográficos inferidos es un patrón documentado. Una investigación de ProPublica de 2020 encontró que los algoritmos de optimización de precios, alimentados por datos de corredores, cobraban primas más altas en vecindarios predominantemente negros incluso cuando los perfiles de riesgo eran idénticos.

Las filtraciones de datos en los corredores también son una categoría de riesgo distinta. La filtración de Equifax de 2017, que expuso los datos financieros de 147 millones de personas, y la filtración de 2023 en la empresa de verificación de antecedentes National Public Data, que expuso números de Seguro Social de un estimado de 2.9 mil millones de registros, ilustran lo que sucede cuando se ven comprometidos los archivos agregados que poseen los corredores.

El panorama legal: derechos que existen y derechos que no

Si estás en la Unión Europea, el GDPR te otorga derechos significativos: el derecho a acceder a los datos que un corredor tiene sobre ti, el derecho a corregirlos y el derecho a solicitar su eliminación. Estos derechos tienen dientes reales: las multas por infracciones ascienden a cientos de millones de euros.

En California, la CCPA y su expansión de 2020, la CPRA, otorgan a los residentes el derecho a saber qué datos se han recopilado, el derecho a optar por no venderlos y el derecho a la eliminación. California también administra un Registro de Corredores de Datos: las empresas deben registrarse y proporcionar mecanismos de exclusión voluntaria. Vermont y Texas tienen registros similares.

En cualquier otro lugar de Estados Unidos: en gran medida no tienes nada. No existe una ley federal de privacidad con un derecho de acción privado. La FTC puede perseguir prácticas engañosas, pero el modelo de negocio central de comprar y vender datos personales es legal. La mayoría de los estados no tienen ninguna regulación sobre corredores de datos.

Lo que realmente puedes hacer

La respuesta honesta es: no tanto como deberías poder. Pero algunas acciones tienen un impacto significativo:

• Elimínate primero de los sitios de búsqueda de personas. Sitios como Spokeo, BeenVerified, Whitepages e Intelius son los de mayor riesgo para la seguridad física. Enviar solicitudes de exclusión voluntaria específicamente a estos tiene el valor protector más inmediato.
• Usa un servicio de eliminación de datos. Servicios como DeleteMe, Kanary y Privacy Bee envían solicitudes de exclusión voluntaria en tu nombre y las reenvían a medida que los datos se reponen (lo que suele ocurrir en un plazo de tres a seis meses). Estos cuestan dinero, pero ahorran un tiempo significativo.
• Congela tu crédito en las tres agencias. Esto no elimina los datos del corredor, pero evita solicitudes de crédito fraudulentas, uno de los usos posteriores más dañinos de los datos personales expuestos.
• Audita los permisos de tus aplicaciones. Los permisos de ubicación otorgados a aplicaciones que no los necesitan son una tubería de datos directa a los corredores. Revísalos y revócalos.
• Usa un servicio de correo electrónico enmascarado (Hide My Email de Apple, SimpleLogin, etc.) para programas minoristas y de fidelización para limitar la unificación de perfiles entre corredores.

La advertencia crítica: las exclusiones voluntarias son un cubo con fugas. Los datos vuelven a entrar en las bases de datos de los corredores continuamente a partir de nuevas transacciones de fuentes. La acción individual puede reducir la exposición, pero no puede eliminarla.

La única solución que realmente funcionaría

Una ley federal integral de privacidad, modelada según el GDPR pero adaptada a las estructuras legales de EE. UU., con un derecho de acción privado que permita a las personas demandar por infracciones, cambiaría fundamentalmente la economía de la industria de corredores. Sin la capacidad de demandar, los corredores no enfrentan responsabilidad a nivel individual. Leyes estatales como la CCPA son significativas pero incompletas: protegen a los californianos, pero no a los otros 280 millones de estadounidenses, y están sujetas a constantes presiones de cabildeo para diluirlas.

Hasta que exista esa legislación, la economía de los corredores de datos continuará operando a escala, clasificando a los estadounidenses en segmentos de estilo de vida, fijando el precio de los seguros en función de la salud inferida y proporcionando a los acosadores direcciones actuales. La exclusión voluntaria individual no es una solución; es una forma de manejar los síntomas de un problema estructural que solo un cambio estructural solucionará.