STI 2020 ®

Data brokers y mercantilización de la información personal.

Proteger la privacidad frente a Data Brokers

by

STI 2020®
in , , ,

Los data brokers recopilan y convierten la información personal, en un activo comercial: agregan y venden perfiles a partir de fuentes online y offline, lo que ha intensificado la mercantilización de nuestros datos personales, planteando serios riesgos para la privacidad. En este post, vamos a tratar cómo recopilan la información y a disposición de quienes la ponen, gracias a la venta de las bases de datos creadas.

Qué son los data brokers y mercantilización de los datos

Los data brokers son empresas que recopilan, agregan y comercializan grandes volúmenes de datos personales para crear perfiles y segmentos que posteriormente venden a anunciantes, aseguradoras, bancos u otros clientes. Esta actividad ha convertido la información personal en un activo negociable, alimentando modelos de negocio basados en la predicción del comportamiento y la economía de la atención.

Gracias a diversas técnicas, aquellos datos personales que facilitamos al abrir una cuenta via internet o contratar servicios con una entidad, los llamados «socios», consiguen aquella información que hemos facilitado sin prestar demasiada importancia a sus consecuencias, por lo que posteriormente, comenzamos a recibir llamadas telefónicas o publicidad de forma invasiva y por diferentes vías, de empresas que hasta ese momento, nunca hubiésemos sospechado que pudieran poseer tanta información sobre nosotros.

Métodos más utilizados para recopilar datos

  • Rastreo web y publicitario: mediante la aceptación de cookies, píxeles, fingerprinting y el flujo de subastas en tiempo real, por ejemplo, capturan impresiones, clics y señales de navegación.
  • SDKs y telemetría en apps móviles: las bibliotecas integradas recogen identificadores de publicidad, preferencias, geolocalización y eventos de uso.
  • Compra e intercambio de bases de datos: gracias a programas de fidelidad y proveedores, venden registros transaccionales y leads.
  • Registros públicos y scraping: buscando en bases como catastros, registros mercantiles y mediante la extracción de datos de las redes sociales, alimentan atributos demográficos.

Cómo se monetiza y sus consecuencias

La mercantilización implica valorar, segmentar y transferir datos entre diferentes actores, lo cual permite una mejor comprensión del mercado y de las necesidades de los consumidores; esto mejora la eficacia comercial pero aumenta los riesgos: reidentificación, errores en perfiles, discriminación algorítmica y exposición de datos sensibles.

Además, la falta de regulación adecuada puede llevar a que las organizaciones exploten la información personal sin el consentimiento adecuado, generando así desconfianza entre los usuarios. Por lo tanto, es crucial implementar políticas que protejan la privacidad y garanticen la transparencia en el uso de datos, a fin de mitigar estos riesgos inherentes y fomentar un entorno comercial más seguro y ético.

Aquellos datos personales que facilitamos en un momento dado y con fines aparentemente claros, pueden acabar en manos de terceros que los pueden usar con otros muy distintos, previo pago.

Riesgos y mitigaciones recomendadas

  • Riesgos: uso no consentido, filtraciones, reidentificación y decisiones automatizadas sin supervisión.
  • Mitigaciones: exigir transparencia contractual sobre orígenes; auditar proveedores; aplicar minimización y anonimización; ofrecer mecanismos de exclusión (opt‑out). El opt-out es un método que permite a las personas evitar recibir información no solicitada, como correos electrónicos de marketing, al realizar una acción específica, como desmarcar una casilla. Este concepto se utiliza comúnmente en campañas de marketing directo y está regulado por leyes de protección de datos.

¿Cómo ejercer el derecho de acceso y supresión?

  • Derecho de acceso: permite saber cómo una entidad trata nuestros datos y obtener copia de los mismos; la solicitud debe dirigirse al responsable del tratamiento y se puede especificar qué tratamientos o unidades de información queremos consultar.
  • Derecho de supresión (derecho al olvido): permite solicitar la eliminación de datos cuando ya no sean necesarios o cuando retiremos el consentimiento, salvo aquellas excepciones legales existentes.

Pasos prácticos para ejercerlos

  1. Identificar al responsable (empresa, app o servicio) y buscar su contacto de protección de datos.
  2. Enviar una solicitud por escrito (correo, formulario o registro electrónico) indicando nuestra identidad y qué derecho deseamos ejercer (acceso o supresión) y, si procede, sobre qué datos o tratamientos concretos.
  3. Aportar prueba de identidad si nos la solicitan; evitando enviar datos sensibles innecesarios.
  4. Plazo: legalmente el responsable debe responder en el plazo de un mes, prorrogable a dos meses según su complejidad; si no estamos satisfechos, siempre podemos reclamar ante la Agencia Española de Protección de Datos (AEPD).

Consejo práctico: conviene conservar siempre una copia de la solicitud y los acuses; si la empresa ha compartido nuestros datos con terceros, podemos solicitar que comuniquen la supresión a dichos terceros.

Modelo de escrito impersonal para ejercer derecho de acceso y supresión

En caso de necesidad, el siguiente modelo puede ser de utilidad para ejercer nuestro derecho de acceso y supresión:

Encabezado y datos del interesado

Nombre y apellidos:
DNI/NIE/Pasaporte:
Dirección postal:
Correo electrónico:
Teléfono (opcional):

Destinatario

Nombre o razón social del responsable del tratamiento:
Dirección postal del responsable:
Correo electrónico de contacto del responsable o del Delegado de Protección de Datos (si consta):

Asunto

Solicitud de ejercicio de derechos de acceso y supresión conforme al Reglamento (UE) 2016/679 (RGPD)

Texto del escrito

Por la presente, en calidad de interesado, solicito que se me facilite la información y se adopten las medidas que se indican a continuación, en ejercicio de los derechos reconocidos en el Reglamento (UE) 2016/679:

  1. Derecho de acceso
    Solicito que se me confirme si se están tratando datos personales que me conciernen y, en caso afirmativo, que se me facilite copia de los datos personales objeto de tratamiento, así como la información relativa a: finalidades del tratamiento; categorías de datos; destinatarios o categorías de destinatarios; plazos de conservación; existencia de decisiones automatizadas; y origen de los datos cuando no se hayan obtenido del interesado.
  2. Derecho de supresión
    Solicito la supresión de los datos personales que me conciernen que obren en sus ficheros o sistemas cuando concurran las causas previstas en el RGPD, en particular cuando los datos ya no sean necesarios para las finalidades para las que fueron recogidos o cuando retire el consentimiento prestado.
  3. Comunicación a terceros
    En caso de que mis datos hayan sido comunicados a terceros, solicito que se proceda a comunicar a dichos terceros la supresión de mis datos, salvo que ello resulte imposible o implique un esfuerzo desproporcionado.
  4. Medidas complementarias
    Solicito que se adopten las medidas técnicas y organizativas necesarias para garantizar la supresión efectiva de mis datos en copias de seguridad y sistemas de respaldo en el plazo razonable que permita su eliminación definitiva.

Documentación adjunta

Adjunto copia de documento oficial que acredita mi identidad: [indicar tipo de documento y número, p. ej., DNI/NIE]. No incluyo datos adicionales innecesarios.

Plazo y recursos

Les ruego contestación en el plazo legal de un mes desde la recepción de la presente solicitud, conforme al artículo 12 del RGPD. En caso de denegación total o parcial, solicito que se me notifiquen las razones y los recursos disponibles, incluyendo la posibilidad de presentar reclamación ante la Agencia Española de Protección de Datos.

Firma y fecha

Lugar y fecha:
Firma (si se presenta en papel):

Versión breve para envío por correo electrónico

Asunto: Solicitud de acceso y supresión de datos personales RGPD

Cuerpo:
Adjunto copia de mi documento de identidad. En ejercicio de los derechos de acceso y supresión previstos en el Reglamento (UE) 2016/679, solicito: 1) confirmación sobre si tratan mis datos y copia de los mismos; 2) supresión de mis datos cuando proceda; 3) comunicación de la supresión a terceros que hayan recibido mis datos. Ruego respuesta en el plazo legal de un mes. Gracias.

Ante todo, conciencia

En nuestros días, dado el creciente interés mercantil que genera la consecución y mercantilización de nuestros datos personales, debemos tomar conciencia de la importancia de no facilitarlos indiscriminadamente, previniendo que la puesta en manos de terceros, con fines que desconocemos, puede ocasionarnos numerosos quebraderos de cabeza

Comprender cómo operan los data brokers y cómo ejercer nuestros derechos, es esencial para proteger nuestra privacidad en la era de la mercantilización de los datos.

Descubre más desde STI 2020 ®

Suscríbete y recibe las últimas entradas en tu correo electrónico.

Comentarios

Deja un comentario

Este sitio utiliza Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.