Khari Johnson
CalMatters
Si visitó una organización de Planned Parenthood en los Estados Unidos continentales en los últimos años, entonces la empresa Near Intelligence, un intermediario de datos, probablemente lo sabía y pudo haber vendido esa información a activistas antiaborto. Si asistía a ciertos lugares de culto o frecuentaba farmacias particulares, el corredor de datos conocido como Outlogic supuestamente vendía esa información.
Near Intelligence se declaró en quiebra en diciembre. Outlogic acordó un acuerdo con la Comisión Federal de Comercio para dejar de vender datos de ubicación de los usuarios, al tiempo que insistió en que los reguladores no habían encontrado “ningún uso indebido de ningún dato”. Ambas se encontraban entre las casi 90 empresas incluidas en la última versión del registro de corredores de datos de California que auto informaron datos de venta sobre dónde están o han estado las personas.
Por primera vez este año, California exige que los intermediarios de datos (empresas que, a sabiendas, recopilan y venden datos de consumidores a terceros) informen si recopilan datos de ubicación. Los nuevos requisitos estatales de transparencia que entraron en vigor este año también revelaron que aproximadamente dos docenas de empresas recopilan datos personales sobre niños y alrededor de una docena recopilan datos de salud reproductiva sobre personas embarazadas.
¿Los intermediarios de datos en algún lugar tienen datos sobre usted? Casi con certeza. Casi todos los lugares a los que vaya en su viaje digital recopilarán rastros de información sobre usted. Si ha estado en Internet en los últimos años, probablemente haya visto un montón de avisos preguntando si está bien que el sitio web en el que se encuentra recopile sus “cookies”, información que permite al sitio web recordarlo, esencialmente. Algunas aplicaciones de su teléfono pueden rastrear su ubicación. Es difícil decir con precisión qué información sobre usted está y dónde porque hay muchas variables (su configuración de privacidad, los sitios que visita, qué compra y a quién, etc.), pero los intermediarios de datos se dedican a encontrar, recopilar y vender esos datos a otras empresas.
Los corredores venden su actividad web y otra información personal a empresas que pueden dirigirle publicidad o tomar decisiones importantes sobre su vida, como si consigue un apartamento, si su actividad está etiquetada como fraudulenta o cómo lo tratan las compañías de seguros.
El mercado está en gran medida desregulado.
Vender datos sobre personas es la piedra angular de la economía moderna de Internet, ya que impulsa la publicidad dirigida basada en conocimientos obtenidos de datos personales. La empresa de inversión en medios GroupM pronostica 258 mil millones de dólares en ingresos por publicidad digital este año.
Para que la gente pueda ver quién vende sus datos personales con fines de lucro, hace cuatro años California empezó a exigir que los intermediarios de datos se registraran una vez al año. Desde entonces, cada año se publica un nuevo registro basado en esas presentaciones.
El último registro debutó hace un mes con información más detallada y ahora lo mantiene una agencia estatal relativamente nueva. Una ley aprobada el otoño pasado introduce nuevos derechos de los consumidores y requisitos más estrictos para los corredores.
Aquí hay algunas cosas importantes que debe saber:
¿Cómo pueden los intermediarios de datos perjudicar a usted o a sus seres queridos?
Los intermediarios de datos pueden vender datos a malos actores, desde estafadores hasta gobiernos extranjeros adversarios. En testimonio ante un comité del Congreso hace un año, la profesora asociada del Georgetown Law Center, Laura Moy, dijo que los intermediarios de datos que venden información a agencias encargadas de hacer cumplir la ley podrían constituir una violación del derecho de la Cuarta Enmienda a vivir libres de registros e incautaciones irrazonables.
Desde Beijing hasta Bruselas, Washington DC y las capitales de los estados de EE. UU., los reguladores gubernamentales están creando registros y reglas de presentación de informes comerciales que tienen como objetivo prevenir violaciones de la privacidad o formas dañinas de inteligencia artificial. Los defensores de la privacidad han instado durante años a la creación de un registro nacional de intermediarios de datos ante la Comisión Federal de Comercio, pero aún no existe tal registro.
¿Quién protege mis derechos de privacidad?
Los votantes de California aprobaron una medida electoral en 2020 que otorga a los consumidores el derecho a acceder a la información recopilada sobre ellos, eliminar o modificar esa información, o decirle a un corredor que no pueden vender ni compartir esa información. Los consumidores pueden iniciar el proceso enviando un correo electrónico a un punto de contacto que figura en el sitio web del registro. Luego deben presentar una copia de su identificación, como una licencia de conducir, para demostrar quiénes son. Los consumidores y las personas menores de 18 años también pueden trabajar con un agente autorizado, alguien que realiza solicitudes de eliminación de datos en su nombre. Empresas como Transcend y organizaciones sin fines de lucro como Consumer Reports ofrecen servicios de eliminación de datos de consumidores.
Para hacer cumplir estos derechos, la medida electoral creó la Agencia de Protección de la Privacidad de California y una junta de cinco miembros para gobernar su actividad.
Las empresas que compran, venden o comparten datos personales de al menos 100.000 californianos o que obtienen la mayoría de los ingresos anuales de la venta de datos deben cumplir con la ley de privacidad del consumidor.
¿Qué hay de nuevo?
Los cambios más recientes en el registro de intermediarios de datos de California, que entraron en vigor en enero, exigen que los intermediarios revelen si venden datos sobre niños, personas embarazadas o datos de geolocalización de cualquier persona.
Pero relativamente pronto –debido a la velocidad con la que operan los gobiernos estatales– los consumidores deberían poder eliminar los datos recopilados sobre ellos.
En este momento, los consumidores deben acudir a cientos de intermediarios de datos, uno a la vez, si quieren que eliminen sus datos.
El otoño pasado, el gobernador Gavin Newsom firmó la Ley de Eliminación que brinda a los consumidores una forma de eliminar datos de todos los corredores registrados mediante el uso de una única herramienta o sitio web.
Según la ley, escrita por el senador estatal Josh Becker, un demócrata de Menlo Park, la agencia de privacidad del estado debe lanzar un sitio web para 2026 que permita a los californianos eliminar sus datos en 30 segundos o menos. La Ley de Eliminación duplica el costo si los intermediarios de datos no se registran hasta $200 por día, así como los costos asociados con la acción iniciada por el fiscal general del estado. Para 2028, las auditorías deben verificar que los intermediarios de datos cumplan con la Ley de Eliminación.
El otro cambio importante es que la Ley de Eliminación requiere que los corredores eliminen cualquier información que recopilen sobre un consumidor, no solo la información compartida directamente de un consumidor, cerrando lo que los defensores de la privacidad llamaron una laguna crucial que existía en el derecho de eliminar otorgado a los consumidores bajo la Ley de Eliminación. Ley de Privacidad del Consumidor de California.
La ley también transfiere la responsabilidad de mantener el registro del Departamento de Justicia a la Agencia de Protección de la Privacidad de California. Eso significa que el poder para determinar qué empresas no se registran y no cumplen con la ley de privacidad estatal o la Ley de Eliminación lo deciden los funcionarios encargados de hacer cumplir la ley dentro de esa agencia de privacidad.
Y depende de la agencia decidir si las empresas deben registrarse como intermediarios de datos.
La división de aplicación de la ley recibió más de 1200 quejas desde julio de 2023 hasta febrero de 2024, según una actualización del personal el mes pasado. La mayoría de esas quejas se refieren al derecho a eliminar los datos recopilados sobre personas.
¿Está completo el registro de intermediarios de datos de California?
Dado que los intermediarios de datos no tienen una relación directa con los consumidores, la mayoría de la gente nunca ha oído hablar de empresas que compran y venden datos. Pero el registro no es exhaustivo, al menos no todavía.
El registro que se lanzó el 1 de marzo incluye aproximadamente 450 empresas y puntos de contacto de correo electrónico. Los corredores debían registrarse antes del 31 de enero, pero en una reunión celebrada el mes pasado, la abogada de la agencia de protección de la privacidad, Liz Travis Allen, advirtió que “si miras el universo completo de cada corredor de datos, no tenemos esa lista. Pero eso sería algo que podemos hacer cumplir, determinar quién no está registrado y quién debería estarlo”.
El registro de 2023 mantenido por el Departamento de Justicia del estado incluía 550 empresas.
La directora de privacidad del Privacy Rights Clearinghouse, Emory Roane, fue con patrocinadora de la Ley de Eliminación. Dijo que es “realmente genial” que el registro de corredores de datos de la agencia de protección de la privacidad ilumine métricas que antes no se podían ver, como la cantidad de empresas que rastrean su ubicación o recopilan datos sobre niños y personas embarazadas, o que la agencia de calificación crediticia Experian colecciona los tres. Pero dijo que el registro está claramente incompleto. El estado de Vermont define un corredor de datos de la misma manera que California, también mantiene un registro de corredores de datos y creó su registro aproximadamente al mismo tiempo que California, pero incluye 660 empresas.
Esa discrepancia “sugiere que hay un problema con los intermediarios de datos no registrados”, dijo a CalMatters en un correo electrónico. “En cuanto a cuántos corredores no están registrados, bueno, nadie lo sabe. Podrían ser docenas, cientos o incluso miles”.
Un estudio de enero de Consumer Reports en el que participaron casi 700 voluntarios que compartieron los datos que Meta recopila sobre ellos en Facebook e Instagram encontró que más de 2220 empresas rastrean a una persona promedio.
¿Cómo puedo decirle a un corredor de datos que elimine mis datos?
Cada empresa mantiene su propia política de privacidad, pero eliminar los datos que recopila sobre usted puede ser tan simple como enviar un correo electrónico al corredor, cuyo correo electrónico de contacto figura en el registro. La ley de California exige que el corredor responda dentro de los 90 días.
También puede utilizar herramientas de terceros, como la aplicación Permission Slip, para indicarles a los intermediarios de datos que eliminen sus datos.
Los corredores deben detallar cómo se pueden eliminar o modificar datos en una política de privacidad que figura en su sitio web. Si una empresa no actúa en esos 90 días, puede presentar una queja ante la agencia de protección de la privacidad de California.
Para ver rápidamente la lista completa de empresas que venden datos sobre niños, datos de salud reproductiva o datos de geolocalización, mueva los botones de flecha en la parte superior de la pantalla en el sitio de registro en línea de California.
¿Cómo elimino los datos recopilados sobre mi hijo?
Un padre o tutor que desee realizar una solicitud de eliminación en nombre de un niño puede hacerlo siguiendo los mismos pasos necesarios para cualquier otro californiano, pero una empresa puede exigirles que verifiquen su identidad con una tarjeta de identificación emitida por el gobierno, por teléfono o por video. llame con un profesional capacitado.
¿Qué sigue en California?
La agencia de protección de la privacidad del estado ya está desarrollando una opción de eliminación de datos con un solo clic. La división de aplicación de la ley se comunicará con las empresas que crea que deberían formar parte del registro o enfrentar multas, tarifas o acciones legales.
¿Cuán agresiva será realmente la agencia de privacidad del consumidor de California? Una prueba es la frecuencia con la que impone multas y tarifas a los corredores que no se registran. La subdirectora de asuntos externos de la agencia de protección de la privacidad, Megan White, no dijo cuándo los agentes encargados de hacer cumplir la ley se comunicarán con las empresas que, según determinaron, deben registrarse como intermediarios de datos y violan la ley.
Roane dijo que espera y espera que “los encargados de hacer cumplir la ley sean más vigilantes y hagan que los corredores de datos que no se registran y no cumplen con los requisitos rindan cuentas”.
En julio, California comenzará a exigir a los intermediarios de datos que informen públicamente en sus propios sitios web la cantidad de solicitudes que reciben para eliminar, modificar o compartir los datos que recopilaron sobre las personas, y el tiempo promedio que lleva cumplir con esas solicitudes.
