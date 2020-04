El negocio de la recolección y venta de datos personales en internet es uno de los más lucrativos de la red. Grandes empresas como Google o Facebook llevan años recabándolos y ganando dinero con ellos, pero el negocio es mucho más amplio y diverso y existen otras compañías que recopilan una gran cantidad de información nuestra, a través de lo que compartimos en redes sociales, para elaborar largos informes que en el mercado negro pueden superar el valor de los cien euros por persona.

En la recolección y venta de datos personales en internet hay empresas que actúan dentro de los márgenes de la ley y asociaciones ilícitas que captan sin nuestro permiso la información pública que compartimos y mercadean con ella de forma ilegal. En este sentido, el elemento fundamental para actuar dentro o fuera de las reglas que establece la Ley General de Protección de Datos (LGPD) es el consentimiento explícito e informado del usuario para que su información personal se use para un determinado fin. Por lo tanto, si no damos nuestro consentimiento para que usen nuestros datos, aunque los hayamos compartido voluntariamente en la red, nadie podrá usarlos.

Una de las empresas que recopila datos de forma legal en España es Xeerpa, una agencia que consigue el permiso de los usuarios para recopilar la información que comparten en una red social a través del social login. Este mecanismo permite a cualquier persona registrarse en una web, por ejemplo, en la de una aerolínea para comprar unos billetes, a través de su perfil de Facebook o LinkedIn, de modo que se ahorra un largo proceso de registro y puede adquirir sus pasajes en segundos.

Pero, a cambio, el comprador le da permiso para que recolecte todos los datos que comparte en esa plataforma social, con los que Xeerpa elabora extensos perfiles que le sirven para conocer su personalidad y predecir sus comportamientos. Con esos informes, las compañías que contratan sus servicios tienen acceso a una gran cantidad de información sobre sus usuarios con el objetivo, según afirman, de hacer campañas de marketing más personalizadas.

«Con la nueva ley hay dos aspectos principales que marcan la protección del dato: la propiedad y la finalidad. Y si el usuario acepta, la empresa quedará cubierta”

“Xeerpa te ayuda a conocer con detalle a cada uno de tus usuarios/clientes, interpretando gran cantidad de datos que ellos mismos comparten en redes como Facebook, Twitter o LinkdIn. Crea perfiles ‘one to one’ de ellos y los almacena en una base de datos especialmente diseñada para que puedas personalizar con precisión tus comunicaciones, creando experiencias únicas para tus clientes”, se puede leer en la web de la agencia.

Por lo tanto, Xeerpa recopila información personal y crea perfiles para usarlos en lo que se conoce como marketing relacional, una estrategia de venta que, en teoría, usa el mejor conocimiento del usuario para personalizar los mensajes y enviarle sólo información que le pueda interesar, con lo que se evitaría el bombardeo publicitario masivo y de escaso interés.

Para que esto sea posible y, sobre todo, legal, las agencias como Xeerpa deben contar con el consentimiento informado, explícito e inequívoco del usuario. Esto es especialmente importante desde la entrada en vigor de la nueva Ley General de Protección de Datos (LGPD), en mayo de 2018, normativa que eliminaba el consentimiento tácito o por omisión recogido en la anterior legislación, “ya que se basaba en la inacción”, señala la Agencia Española de Protección de Datos (AEPD).

“La LGPD exige informar de forma más clara y que el usuario acepte de forma explícita lo que se va a hacer con sus datos. Con la nueva ley hay dos aspectos principales que marcan la protección del dato: la propiedad y la finalidad. A quién le cede el dato el usuario de manera consciente y explícita, y con qué finalidad permite trabajar con su información personal. Y si el usuario acepta, la empresa quedará cubierta”, explica Álvaro García, experto en Big Data de Genetsis Group.

La compañía de García también se dedica a dedica al cruce de datos para crear perfiles de usuarios y desarrollar estrategias de marketing relacional, aunque no usa el social login, sino que captan esa información a través de otros canales, como las interacciones de un cliente con el comercio digital de la marca o mediante el acceso gratuito al Wi-Fi de las instalaciones de la empresa.

He leído y acepto…

Así, uno de los principales peligros para la privacidad de los datos de los usuarios reside en su propia forma de interactuar con internet, según señalan los expertos consultados por Xataka. Ya que las empresas que se dedican a la recolección y procesado de información personal de forma legal procuran guardarse bien las espaldas y actuar dentro del marco normativo vigente, pero si la persona no lee lo que está aceptando corre el riesgo de que sus datos pasen a manos de empresas que no quiere.

“El problema actual es el desconocimiento. La gente se registra en muchos sitios y no sabe qué es lo que ha hecho, y después hay empresas que recopilan y usan esos datos. La gente da su consentimiento sin saber, y después se sorprenden si se mercadea con su información personal, algo que en el 90% de las ocasiones es legal”, explica Ernesto -nombre escogido por la fuente para preservar su anonimato-, que trabaja en el negocio de los datos personales en internet.

Otro asunto es el de los datos que el propio usuario publica de manera voluntaria en internet. Legalmente, y en función de las políticas de cada red social, esa información pertenece a las plataformas donde fueron publicadas y sólo pueden ser usadas bajo el consentimiento de estas y del propio usuario. Pero si cualquiera puede acceder a esos datos, cualquiera puede usarlos, aunque no sea legal.

“Aunque sean públicos, si no tienes el permiso expreso del propietario de los datos es ilegal. En todas las páginas de promociones y registro ahora mismo hay dos checks, el de quiero que me envíen publicidad y el importante, el de acepto que mis datos se compartan. Sin ese dato junto con la IP, ese registro no tiene ninguna validez, solamente se podría vender la información en el mercado negro, porque no hay nadie profesional que vaya a comprarlo”, señala Ernesto.

Y, pese a que el usuario piense que lo que comparte públicamente en internet es información inofensiva, no es en una publicación en sí, sino en el cruce de muchas de ellas con datos personales, donde reside el peligro para su privacidad.

“A veces la información que podría parecer inocua se convierte en útil dependiendo del objetivo que se persiga, simplemente por explotación de la correlación de datos. Esa correlación de datos, con el Big Data y el Data Minning, permite deducir pautas de comportamientos que superan los datos estadísticos”, señala Juan José Galán, Business Strategy de la empresa de seguridad informática All4sec.

El mercado negro

El dato es el nuevo petróleo, señalan los expertos a Xataka. Un tesoro suculento que es mucho más fácil de conseguir para quien no sigue las normas, consigue la información personal de los usuarios de forma fraudulenta y la vende en el mercado negro.

Ernesto conoce ese mundo. Según explica a Xataka, en España no existe mucha actividad bajo cuerda de este tipo, pero hay empresas que sí lo hacen de países como India, Israel u Holanda. “Esta gente, con robots, se meten en las redes y recopilan todo lo que esté público. Si, por ejemplo, pones en Twitter que te gusta el nuevo modelo de un coche y tienes una cuenta de correo asociada a tu perfil, pueden cazar ese dato automáticamente y enviarte publicidad de ese automóvil”, señala.

Según explica, esos robots suelen hacer invitaciones masivas en Facebook o LinkedIn para acceder a información que los usuarios solo comparten con sus contactos – en Twitter e Instagram lo tienen más fácil si los perfiles son públicos-, se quedan con los datos y los venden a empresas interesadas en enviar publicidad a un determinado tipo de perfil.

Y con esa información elaboran largos dosieres que pueden tener un precio superior a los cien euros por persona, revela Ernesto, porque ayudan a predecir comportamientos de forma exhaustiva y eso es oro para determinadas empresas y organizaciones.

“Imagina que saben que a mí me gusta Apple, que me gusta el montañismo, que me gusta trabajar con un tipo de ordenador, que saben cuáles son mis costumbres, por dónde me muevo, etc. ¡Pueden predecir lo que voy a comprar en todo momento! Eso es un tesoro para una compañía en cuyos productos esté yo interesado”, afirma Ernesto.

Esos dosieres son tan lucrativos porque son exhaustivos y, a menudo, ilegales. Pero hay toda una gama de precios, desde los pocos céntimos por informaciones sencillas como el correo electrónico y el interés por un producto -que se puede obtener, por ejemplo, con el registro en el sorteo de un teléfono móvil- hasta 7 u 8 euros por una mayor cantidad de datos. Y estos sí suelen ser legales.

Xeerpa, por ejemplo, también ofrece a sus clientes dosieres con bastante información acerca de los usuarios que les ceden sus datos a través del social login. Pero, a diferencia de los citados por Ernesto, para la elaboración de estos sólo cruzan los datos para los que ha dado permiso la persona al registrarse con su red social.

“Estas fichas recogen, básicamente, los datos del perfil de la red social que comparte el usuario con su analítica agregada: datos sociodemográficos, cumpleaños, edad, ciudad de residencia, hashtags, keywords usados, un análisis en profundidad de su personalidad y preferencias de consumo, intereses predictivos en cerca de 300 categorías, marcas, comunidades y celebrities favoritos, lugares visitados y nivel de influencia”, explican desde Xeerpa.

Aspecto de una de las fichas de usuario de Xeerpa.

El uso legal de los datos personales

A pesar de que existe el mercado negro de datos personales, los expertos aseguran que la mayor parte de este mercado es legal, al menos en Europa. En primer lugar porque el Viejo Continente tiene la ley de protección de datos más dura del mundo, y en segundo porque las empresas que están interesadas en esa información prefieren no verse envueltas en asuntos turbios.

Por eso las fuentes consultadas por Xataka hacen un llamamiento a la calma. Las empresas recopilan y usan los datos personales de los usuarios de internet, sí, pero en la mayoría de los casos con un fin concreto y un tratamiento ético. Además, las compañías no suelen estar interesadas en el perfil de una persona particular, sino en segmentar muchos de ellos para enviar mensajes personalizados a grupos de personas con intereses similares.

“Lo que nosotros queremos es perfilar al usuario para conocerle mejor y enviarle comunicaciones adecuadas. En lugar de enviar contenidos masivos a toda la base de datos, segmentarlos por la información que dan y las interacciones que tienen para enviarle, a lo mejor, un mensaje al mes, pero que le interese mucho y que nos dé más opciones de tener con él una relación a largo plazo”, explica Álvaro García.

Ernesto, por su parte, señala que, si bien la privacidad es importante, quizás se está creando un nivel de alarma innecesario: “Yo estoy harto de encontrar en el buzón de mi casa publicidad de la pizzería o del kebab. Ellos me pueden poner cualquier tipo de publicidad sin restricción, pero yo para mandar un email tengo que cumplir un montón de leyes. En el mundo online estamos sometidos a mucha más presión que en el mundo offline”.

Intermediarios del dato

En este mercado también existe una diferencia entre quien recopila el dato para después venderlo a terceros y quien presta las herramientas necesarias para la recolección y procesado de información a otras empresas. En el segundo caso, que es el de Xeerpa y Genetsis Group, la propietaria de esos datos es la compañía que las contrata, que los almacena y usa según convenga, en principio dentro de los parámetros establecidos con el usuario para su cesión.

“Cuando nosotros trabajamos con cualquier empresa hay una parte muy importante que es la arquitectura de almacenamiento de datos. Los servidores suelen ser de la empresa, nosotros somos terceros y tenemos que firmar un acuerdo para la gestión y tratamiento de datos. Firmamos con esa empresa un acuerdo para una finalidad concreta, pero los datos son propiedad de la empresa, y cuando se termina el trabajo se nos corta el acceso y no podemos hacer copias de seguridad, porque infringiría la LGPD”, explica el experto en Big Data de Genetsis Group.

Por lo tanto, ante cualquier queja o para ejercer cualquier reclamación, como el derecho al borrado de sus datos, el usuario debe dirigirse a la empresa que contrató los servicios de estas agencias.

Las redes sociales y la recolección de datos

La forma en la que Xeerpa recopila datos es diferente a la de empresas como Genetsis Group. La segunda lo hace mediante las interacciones de los clientes con las plataformas digitales de las marcas, como su tienda electrónica, y accesos Wi-Fi, mientras que la primera lo lleva a cabo mediante social login, una herramienta más delicada puesto que debe cumplir con las políticas de protección de datos de la red social que la persona elija para registrarse.

“Recopilamos datos a través de Facebook, Twitter, Instagram o LinkedIn. Para ello, gestionamos la obtención de permisos avanzados siguiendo el protocolo de cada red social, que son muy estrictos a la hora de compartir datos con empresas externas, con una serie de limitaciones y restricciones. Y tenemos que acreditar que esa información la vamos a utilizar con una finalidad muy positiva para el usuario en cuanto a la recomendación de contenidos”, explican desde Xeerpa.

Esas limitaciones y restricciones, sin embargo, no siempre han sido tan duras como ahora afirman desde Xeerpa. Las redes sociales parecen haberse vuelto más estrictas con la información que comparten a raíz de la multa de 4.500 millones de euros que la Comisión Federal de Comercio de Estados Unidos impuso a Facebook en 2018 por violar la privacidad de 50 millones de sus usuarios en el caso Cambridge Analytica. La sanción incluyó, además, la obligación de reportar a las autoridades estadounidenses las medidas que están aplicando en materia de protección de datos y para prevenir fututos abusos.

Facebook fue sancionada por no proteger debidamente la privacidad de sus usuarios y la multa sentó un importante precedente en la protección de datos en internet. Pero la lección más importante que se sacó del caso Cambridge Analytica es el peligro que conlleva el cruce de datos con una finalidad diferente a la informada al usuario para crear perfiles psicológicos y predecir su comportamiento.

Los datos recogidos mediante una empresa externa por Cambridge Analytica estaban destinados, en teoría, a un estudio académico. Los recolectores de datos atraían a los usuarios para ceder su información mediante un test de personalidad. Al rellenarlo, no sólo compartían la información de la prueba, sino que también daban permiso para acceder a sus perfiles y al de sus contactos.

Así, Cambridge Analytica se hizo con la información de 50 millones de usuarios. Después, cruzaron los datos de sus interacciones y comentarios y crearon perfiles psicológicos que, según la empresa infractora, permitía identificar la tendencia de voto de esas personas. Esto habría hecho posible dirigir campañas de desinformación a los indecisos para manipular su intención de voto en favor del partido que contratase sus servicios.

Por lo tanto, la clave en la cesión de datos personales es, por una parte, el consentimiento explícito de usuario y, por otra, la finalidad debidamente informada. Si una empresa solicita la información personal de una persona exclusivamente para enviarle una mejor publicidad, la compañía no podrá usarla con otros fines, como predecir determinadas tendencias políticas o sociales ajenas a esa relación comercial. Y si la entidad lo hace, el ciudadano español podrá denunciarlo ante la Agencia Española de Protección de Datos, que prevé importantes sanciones para estos casos.