Un corredor de datos no conoce a tu acosador. No le importa. Vende tu dirección particular, número de teléfono, lugar de trabajo y rutinas diarias a quien pague, y el historial del sector demuestra que tiene muy poco interés en preguntar por qué.
Este no es un problema hipotético. Los casos en que datos personales obtenidos de sitios de búsqueda de personas han facilitado el acoso, el seguimiento y la violencia han sido documentados por periodistas, investigadores y agencias policiales. El problema estructural es sencillo: estos servicios agregan registros de acceso público y los venden en un formato que de otro modo requeriría considerable tiempo y habilidad para compilar. Reducen la barrera para encontrar a alguien que no quiere ser encontrado.
Lo que hace realmente un corredor de datos
El término «corredor de datos» abarca una variedad de empresas, pero la categoría relevante aquí son los agregadores de datos de consumidores, empresas como Spokeo, Whitepages, BeenVerified y docenas más que compilan perfiles de individuos a partir de registros públicos, redes sociales, bases de datos comerciales y conjuntos de datos comprados.
Un perfil típico de corredor de datos contiene: nombre completo, domicilios actuales y anteriores, números de teléfono, direcciones de correo electrónico, nombres y datos de contacto de familiares, edad estimada, registros de propiedad y, a veces, historial laboral o antecedentes penales. Esta información se vende tal cual o se ofrece a través de servicios de suscripción accesibles a cualquier persona con tarjeta de crédito.
El mercado principal es ostensiblemente la verificación de antecedentes y el reencuentro con contactos perdidos. Los compradores reales son más variados, y el sector carece de mecanismos significativos para filtrar las intenciones.
La conexión con el acoso
El vínculo entre estas bases de datos y el acoso está bien documentado a nivel de políticas públicas. La Federal Trade Commission de EE.UU. ha publicado múltiples informes sobre las prácticas del sector, señalando la ausencia de mecanismos significativos de consentimiento y la dificultad de darse de baja. Investigadores de privacidad en instituciones académicas han demostrado repetidamente con qué facilidad un perfil de búsqueda de personas puede convertirse en un paquete integral de vigilancia.
El patrón específico de daño es directo: una persona intenta dejar una relación o un trabajo, se traslada a una nueva dirección, cambia su número de teléfono. Sin estos servicios, reconstruir el anonimato físico es alcanzable, no fácil, pero alcanzable. Con ellos, una dirección actual puede encontrarse en minutos a partir de una dirección anterior, a través de listados de familiares, o mediante registros de propiedad que se actualizan automáticamente cuando se registra una hipoteca.
Las organizaciones contra la violencia doméstica han señalado explícitamente este problema. La National Domestic Violence Hotline y organizaciones similares incluyen orientación para darse de baja de estos servicios en sus recursos de planificación de seguridad, un reconocimiento implícito de que eliminarse de estas bases de datos forma ahora parte de la planificación de seguridad física, no solo de la higiene digital.
El vacío regulatorio
Estados Unidos no cuenta con ninguna ley federal integral que regule la actividad de los corredores de datos. La Ley de Privacidad del Consumidor de California (CCPA) otorga a los residentes californianos el derecho a solicitar la eliminación de sus datos de las empresas que superan ciertos umbrales. El RGPD de la UE ofrece protecciones más amplias de «derecho al olvido» para los residentes europeos. Pero para la mayoría de los estadounidenses, el único mecanismo de eliminación son los sistemas de exclusión voluntaria mantenidos por cada corredor, a menudo deliberadamente engorrosos, que requieren formatos diferentes por sitio y a veces caducan a los pocos meses.
Los investigadores han contado más de 200 sitios de búsqueda de personas operando en EE.UU. Una campaña de exclusión manual, incluso ejecutada a la perfección, lleva decenas de horas y proporciona solo un alivio temporal. La mayoría de las solicitudes de exclusión no se propagan a los licenciatarios de datos posteriores.
Lo que requeriría una reforma significativa
La regulación de los corredores de datos no es técnicamente difícil. Requiere un marco legal que clasifique los perfiles personales agregados como datos personales con derechos correspondientes, imponga mecanismos de exclusión o inclusión estandarizados y universalmente accesibles, y cree mecanismos de cumplimiento con consecuencias reales.
La oposición de los lobbies es sustancial, el sector argumenta que proporciona servicios valiosos para verificaciones de antecedentes, detección de fraude y búsqueda de personas, y el historial legislativo en EE.UU. ha producido hasta ahora leyes estatales específicas en lugar de un estándar federal. Hasta que eso cambie, la responsabilidad de la eliminación recae sobre los individuos, un formulario de exclusión a la vez.
Para cualquier persona con una razón específica para limitar su huella digital, supervivientes de violencia doméstica, personas en situaciones de custodia disputadas, periodistas, personas públicas que reciben acoso dirigido, el marco legal actual coloca la carga exactamente en el lugar equivocado.
Fuentes
- FTC: Política tecnológica e investigación sobre privacidad, Corredores de datos , análisis regulatorio fundamental del sector de los corredores de datos
- Auxier, Brooke et al. “Americans and Privacy,” Pew Research Center, noviembre 2019. pewresearch.org , datos de encuesta sobre las actitudes del público hacia la recopilación de datos y las prácticas de los corredores
- Electronic Frontier Foundation: Privacidad , cobertura continua de la regulación de la privacidad y los derechos digitales
