SHIELD

Realidad de la exposición

Brokers de datos: la fuga que usted paga

Quién recopila sus datos, cómo, por qué es estructuralmente difícil de detener, y lo que usted puede hacer razonablemente.

Publicado el 15 min de lectura General

Última revisión:

Servidores de datos en filas dentro de un centro de datos

Un broker estadounidense me envía una muestra «gratuita» sobre uno de mis clientes, para convencerme de comprar el perfil completo. Cuarenta y siete atributos predictivos, entre ellos un score de «probabilidad de divorcio en 24 meses» calculado a partir de sus compras de comercio electrónico y de la frecuencia de sus trayectos en VTC. El cliente nunca había autorizado a nadie a analizar sus compras. Nadie le había preguntado nunca nada. Y el broker me facturaba el acceso a su vida privada como se factura un archivo Excel.

Angle de lecture

La trampa habitual

«No uso Facebook, así que no se sabe gran cosa sobre mí.» Esta frase la oigo en reuniones al menos una vez al mes, y es falsa hasta un punto que desconcierta a quienes la pronuncian. La práctica totalidad de los datos que un data brokerEmpresa que recopila, agrega y revende datos personales a gran escala. tiene sobre usted no viene de las redes sociales. Viene de todas partes: la tarjeta de fidelización del supermercado, el formulario de garantía que devolvió por su lavavajillas, la aplicación del tiempo que revende su geolocalización, el concurso en el que participó en 2017, el Registro Mercantil, el operador de telecomunicaciones en ciertas jurisdicciones. Las redes sociales son el árbol. Los brokers explotan el bosque entero, y el bosque sigue creciendo aunque usted corte el árbol.

El segundo reflejo, más sofisticado, consiste en decir: «El RGPDReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018. me protege, tengo un derecho de acceso y de supresión, así que puedo limpiar.» Es cierto sobre el papel y en gran medida ilusorio en la práctica. El RGPD le da derechos oponibles a un responsable de tratamiento identificado. Ahora bien, la industria del brokerage reposa precisamente sobre la opacidad de la cadena: usted no sabe quién tiene su perfil, por tanto no puede ejercer un derecho contra un actor que ignora. Y cuando obtiene la supresión en casa de uno, su perfil se reinyecta tres meses más tarde desde una fuente secundaria que el primero ya había revendido. Usted vacía un cubo agujereado.

La tercera trampa es comercial. Le venden una suscripción a un servicio de opt-outEmpresa que recopila, agrega y revende datos personales a gran escala. automatizado — Incogni, DeleteMe, Optery — y le dejan creer que la suscripción zanja el asunto. Estos servicios tienen un valor real, vuelvo sobre ello con detalle. Pero el discurso de marketing que los rodea mantiene exactamente la misma ficción que la que desmonto en Sus datos ya son públicos: la idea de que existe un estado «limpio» al que se podría volver. Ese estado no existe. El buen encuadre no es «suprimir mis datos de los brokers», objetivo inalcanzable, sino «reducir el ruido explotable y aceptar vivir en un estado de fuga documentado».

Quiénes son los actores, y lo que saben de verdad

La industria del data brokerage es antigua, masiva e invisible para el gran público. El informe de referencia de la FTCInteligencia a partir de fuentes abiertas (públicas): redes sociales, registros, archivos. de 2014 — anticuado en las cifras, intemporal en los mecanismos — censaba ya brokers que poseían más de 700 000 millones de elementos de datos agregados. Diez años más tarde, el orden de magnitud ha estallado, no disminuido.

En la cúspide, los agregadores mayores. Acxiom, comprado por LiveRamp en 2018, mantiene perfiles sobre unos 2500 millones de personas, con una media de casi 1500 atributos por perfil. Experian combina calificación crediticia y brokerage. Oracle Data Cloud (antes Datalogix y luego BlueKai) fue durante mucho tiempo un pivote publicitario antes de que Oracle anunciara su desmantelamiento progresivo en 2022 — prueba, de paso, de que incluso los gigantes reconfiguran sus líneas de datos cuando la presión reguladora sube. LexisNexis Risk Solutions alimenta el seguro, lo jurídico, el sector público. Epsilon y LiveRamp estructuran el matching cross-device, es decir, la capacidad de recomponer su identidad entre su teléfono, su ordenador y su televisor conectado.

Por debajo, los especialistas. Los servicios de people search estadounidenses — Spokeo, Whitepages, BeenVerified, Radaris — que agregan registros públicos y datos comerciales para vender informes sobre cualquier particular, a 20 o 30 dólares cada uno. CoreLogic en lo inmobiliario. Y la nebulosa de los brokers europeos, más discretos porque más expuestos al RGPD: Schober en Alemania, diversos actores de data management platform locales que revenden segmentos de audiencia sin aparecer jamás en su campo de visión.

Lo que poseen se ordena en tres capas. Los datos declarativos primero: nombre, direcciones sucesivas, teléfonos, correos, fecha de nacimiento, composición del hogar, estado civil, hijos, ingresos estimados, patrimonio inferido, propiedad inmobiliaria. Los datos conductuales después: historial de compras reconstituido vía las tarjetas de fidelización y los acuerdos de comercio electrónico, navegación web captada por los píxeles de marketing, geolocalización aproximada revendida por aplicaciones móviles que no tienen ninguna razón funcional para recopilarla, hábitos de consumo de medios. Los scorings predictivos por último, y es ahí donde se vuelve desagradable: probabilidad de compra por categoría, riesgo financiero, etapa de vida (mudanza inminente, nacimiento, jubilación), y sí, en ciertos catálogos estadounidenses, segmentos tan intrusivos como «persona en duelo reciente» o «hogar en dificultad financiera».

¿Cómo llegan sus datos hasta allí? Por tres canales. Las fuentes contractuales: tarjetas de fidelización, formularios web banales, aplicaciones móviles gratuitas, programas de fidelización aéreos y hoteleros, casillas premarcadas que nadie desmarca. Los acuerdos: operadores de telecomunicaciones que revenden metadatos agregados según la jurisdicción, proveedores de acceso, emisores de tarjetas que revenden agregados de gasto. Las fuentes públicas: registros legales como el BORMEPublicación oficial española de anuncios mercantiles (constituciones, modificaciones, concursos)., datos registrales vía el Registro Mercantil y portales como Infocif o Axesor, censos electorales según los países. Y una cuarta categoría que ningún broker serio asume pero que existe: las bases de fugas reempaquetadas bajo la etiqueta «data enrichment», donde volcados procedentes de breaches vienen a enriquecer los perfiles legítimos.

Un punto que martilleo en misión: el valor de un broker no reside en el dato bruto, que a menudo es banal, sino en la resolución de identidad. Recomponer su dirección de correo de 2012, su número de teléfono de 2019, su dirección postal actual y el identificador publicitario de su teléfono en un solo perfil único, ese es el oficio. Un dato aislado no vale nada; el grafo que los vincula vale mucho, porque permite seguirle a través de los servicios, los dispositivos y el tiempo. Por esa razón un opt-out parcial — usted retira el correo pero deja el teléfono — no rompe el perfil: basta un identificador pivote todavía válido para que el resto se recomponga. Cuando trate su exposición, razone en identificadores pivote (correo, teléfono, dirección) y no en datos aislados.

El terreno jurídico explica por qué el problema resiste. En Europa, el RGPDReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018. le da un derecho de acceso (artículo 15) y de supresión (artículo 17). Sobre el papel, es sólido. En la práctica, el artículo 17 va acompañado de excepciones amplias — interés legítimo del responsable de tratamiento, obligaciones legales de conservación, archivos — y sobre todo, supone que usted sepa a quién dirigirse. Los brokers europeos responden, a menudo con lentitud y al borde de los plazos legales. Los brokers estadounidenses que operan en Europa responden cuando estiman estar obligados a ello, y la AEPDAutoridad española de protección de datos, regulador RGPD para España. no tiene ni los medios ni la jurisdicción para perseguirlos a todos.

En Estados Unidos, no existe una ley federal equivalente. El paisaje es un mosaico de estados. La California Consumer Privacy Act (CCPA), reforzada por la CPRA, abre un derecho de opt-out, y la agencia californiana desplegó en 2026 el mecanismo DROP (Delete Request and Opt-out Platform), que permite una solicitud de supresión única propagada a todos los brokers registrados en el estado — un verdadero avance estructural. Vermont impone un registro obligatorio de los data brokers, lo que vuelve al menos la lista pública. En el resto de Estados Unidos, la protección federal es casi nula. El resto del mundo varía por completo: Brasil (LGPD) está alineado con el RGPD pero poco aplicado, China (PIPL) está alineada en la superficie con una finalidad estatal distinta, y amplias zonas de Asia, África y América Latina no ofrecen ningún recurso práctico.

La consecuencia operativa es neta: sus datos circulan en jurisdicciones donde usted no tiene ninguna palanca, y la supresión que obtiene en una jurisdicción no tiene ningún efecto en las demás. Por eso el buen objetivo no es la supresión — ilusoria a escala mundial — sino la reducción del caudal en las jurisdicciones donde tiene agarre, y la aceptación documentada del resto.

El buen enfoque: reducir el ruido, no apuntar al cero

El giro pragmático cabe en una frase: usted no suprimirá sus datos del mercado, reducirá el volumen de datos frescos y explotables que entran en él, y hará limpieza allí donde sea jurídicamente posible. Es una lógica de caudal, no de supresión definitiva.

En concreto, tres palancas funcionan. La primera es el opt-out ante los agregadores mayores, hecho a mano, una vez, en serio. Acxiom, Experian, Oracle, LexisNexis, Epsilon ofrecen todos formularios de baja — a menudo enterrados, a veces penosos, pero reales e impuestos por la presión reguladora estadounidense y europea. Cortar la cabeza de la cadena reduce la redifusión hacia los actores secundarios que se alimentan en ellos. En Estados Unidos, el registro de Vermont y el mecanismo DROP de la agencia californiana (CPPA), que permite desde 2026 una solicitud de supresión centralizada ante los brokers registrados, son puntos de entrada estructurantes incluso para un europeo cuyos datos han transitado por plataformas estadounidenses.

La segunda palanca es la automatización por suscripción, para la larga cola de las decenas de brokers secundarios que usted nunca iría a tratar individualmente. Es el papel de Incogni, DeleteMe, Optery. Seamos honestos sobre lo que hacen y no hacen. Incogni (editado por Surfshark) cubre alrededor de 180 a 220 brokers, envía solicitudes RGPDReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018. y CCPA automatizadas, no toca ni las bases de fugas ni los registros públicos, y cuesta alrededor de 7 a 8 euros al mes en fórmula anual. DeleteMe (Abine) se apoya en operadores humanos, cubre una treintena de brokers de predominio estadounidense, y factura más caro. Optery reivindica la cobertura más amplia (250+ brokers) con una transparencia apreciable: le muestran, perfil por perfil, el estado de cada solicitud y proporcionan capturas de pantalla de la exposición hallada y luego suprimida. Para un europeo, Optery o Incogni hacen el trabajo; DeleteMe es pertinente sobre todo para los perfiles con fuerte huella estadounidense.

La tercera palanca es el trabajo manual no delegable, el que ninguna suscripción hará en su lugar: cortar el grifo en la fuente. Desactivar la geolocalización en las aplicaciones que no la necesitan, revocar los compartidos de marketing de las tarjetas de fidelización, cerrar las cuentas dormidas de los últimos cinco años, rechazar sistemáticamente las casillas de reventa. Es ese trabajo el que reduce el flujo de datos frescos. Los opt-out tratan el stock; la disciplina de higiene trata el flujo. Ambos son necesarios, y la suscripción no dispensa del segundo.

Una palabra sobre el peligro del remedio peor que la enfermedad: ciertos brokers de tipo people search le proponen una supresión… a cambio de la creación de una cuenta en su sitio, con verificación de identidad mediante documento oficial. Usted les da entonces más datos de los que poseían. No proporcione nunca un documento de identidad a un broker para ejercer un opt-out; el RGPD solo exige una verificación proporcionada en casos limitados, y un broker serio se contenta con una confirmación por correo.

Lo que implica en concreto

Angle de lecture

Para usted, como particular

Probablemente haya dejado un rastro de datos en casa de decenas de brokers que no conoce, acumulado a lo largo de diez a veinte años. No lo va a hacer desaparecer. Va a reducir el ruido y a cortar la alimentación. Tres prioridades, accionables esta semana, por menos de 200 euros al año.

  1. Haga el opt-out manual de los cinco agregadores mayores — Acxiom, Experian, Oracle, LexisNexis, Epsilon. Cuente una hora y media, formulario a formulario, con un seguimiento de las confirmaciones en una simple tabla. Es gratis, y es el gesto con mejor relación esfuerzo/impacto porque corta la cabeza de la cadena de redifusión.

  2. Suscríbase a un servicio de opt-out automatizado para la larga cola — Incogni u Optery según su tolerancia al precio, 100 a 150 euros al año. No lo vea como una solución, sino como una suscripción de limpieza recurrente: reenvía las solicitudes cada trimestre porque los brokers le reinyectan. Verifique su informe de exposición una vez por trimestre, diez minutos.

  3. Corte el grifo en la fuente. En los ajustes de su teléfono, revise los permisos de localización y córtelos para toda aplicación que no tenga una necesidad evidente. Desmarque los compartidos de marketing de sus tarjetas de fidelización (El Corte Inglés, Carrefour, FNAC, y las demás). Cierre las cuentas que no haya usado desde hace cinco años. Es gratis, y es lo que impide que sus datos futuros alimenten el mercado.

El resto es una disciplina anual, no un sprint. Bloquee media jornada al año para repetir estos tres gestos. Es suficiente para el 95 % de los perfiles.

Para usted, CISO / Dirección de TI / directivo

Los brokers son el punto ciego de su programa de protección de datos. Usted protege lo que trata; ellos explotan lo que sus colaboradores y sus directivos dejan fugar, sin que usted tenga el menor agarre. Tres puntos para integrar esta realidad en su encuadre.

1. La exposición de sus personas clave vía los brokers es un dato de entrada de su threat model, no un asunto de RR. HH. colateral. Los brokers y los servicios de people search permiten reconstituir, por unas decenas de euros, las direcciones de domicilio, números personales, composición familiar y patrimonio estimado de sus directivos. Es el carburante del spear-phishingPhishing dirigido a una persona concreta, construido a partir de su perfil OSINT. y del social engineeringManipulación humana para obtener información o acciones, eludiendo las defensas técnicas. dirigido. Consecuencia directa: añada una línea «broker exposure» a la auditoría de exposición anual del comité de dirección y de las funciones sensibles (jurídica, M&A, finanzas, I+D), igual que un pentest aplicativo.

2. Su cumplimiento del RGPD no mide su exposición real. Una organización perfectamente conforme — registro de actividades de tratamiento al día, DPO nombrado, NIS 2Directiva europea (2022/2555) que amplía las obligaciones de ciberseguridad a entidades esenciales e importantes. en curso — puede tener la integralidad de su comité de dirección vendible en casa de una decena de brokers. Son dos cuadros de mando distintos. Consecuencia directa: distinga explícitamente, en gobernanza, el indicador de cumplimiento (cobertura jurídica) y el indicador de exposición operativa (lo que es comprable sobre sus personas). Ese segundo cuadro está casi siempre ausente, o peor, confiado a una solución de marketing que se contenta con reformatear datos públicos.

3. Puede financiar un broker monitoring de nivel directivo por el precio de una jornada de consultor. Las suscripciones Optery/DeleteMe en versión «business» o «family» cubren varias identidades por unos cientos de euros al año y por persona. Consecuencia directa: para un comité de dirección de diez personas, un presupuesto del orden de 2000 a 4000 euros anuales cubre el opt-out automatizado y la monitorización. Es marginal frente a su línea de EDR, y trata un vector que su DLPSolución que detecta y bloquea fugas de datos sensibles (correos, archivos, portapapeles). y su CASBSolución que se interpone entre los usuarios y las apps cloud para aplicar políticas de seguridad. no ven en absoluto.

Errores que se ven constantemente

  • Suscribir una suscripción de opt-out y considerar el asunto cerrado. El opt-out trata el stock; sin cortar la alimentación (geoloc, tarjetas de fidelización, formularios), usted paga por vaciar un cubo que se llena continuamente.
  • Proporcionar un documento de identidad a un broker para «acelerar» la supresión. Usted le da más datos de los que poseía. Un opt-out legítimo no reclama nunca un pasaporte.
  • Ignorar los agregadores mayores y tratar solo la larga cola. Cortar Acxiom o LexisNexis tiene más impacto que dar de baja diez people search secundarios que se realimentan en ellos.
  • Olvidar los brokers europeos y fuera de alcance. El foco estadounidense de los servicios de gran público deja puntos ciegos en Alemania, en España y fuera de la UE, donde algunos de sus datos circulan sin ningún recurso práctico.
  • Confundir supresión y desindexación. Obtener una retirada de Google (derecho al olvidoArtículo 17 del RGPD: derecho a la supresión de datos personales bajo ciertas condiciones.) no suprime nada en casa del broker: el dato sigue siendo vendible, solo es menos visible en una búsqueda de gran público.

Checklist accionable

  • N1 Hacer el opt-out manual de los 5 agregadores mayores (Acxiom, Experian, Oracle, LexisNexis, Epsilon) y trazar cada confirmación
  • N1 Suscribir un servicio de opt-out automatizado adaptado al perfil (Incogni u Optery para Europa, DeleteMe si fuerte huella US)
  • N2 Desactivar la geolocalización de las aplicaciones que no tienen una necesidad funcional evidente
  • N2 Desmarcar los compartidos de marketing / reventa de las tarjetas de fidelización y cerrar las cuentas inactivas de los últimos 5 años
  • N2 No proporcionar nunca un documento de identidad a un broker para ejercer un opt-out
  • N3 Para perfil expuesto: encargar un informe people search estadounidense sobre uno mismo para medir la exposición real
  • N3 Para organización: añadir una línea 'broker exposure' a la auditoría de exposición anual del comité de dirección y seguir la tasa de reaparición a 90 días
  • N3 Para perfil US: solicitud de supresión vía el registro de Vermont y el mecanismo DROP de la CPPA californiana

Para profundizar

El informe de la FTC de 2014, Data Brokers: A Call for Transparency and Accountability, sigue siendo la cartografía de referencia de los mecanismos de la industria, aunque sus cifras hayan envejecido. Para seguir la evolución reguladora, el registro de Vermont y el mecanismo DROP de la agencia californiana (CPPA) documentan en claro la lista de los brokers registrados y los procedimientos de supresión centralizada — útiles incluso desde Europa. En el lado práctico del RGPD, la AEPD detalla los recursos en materia de publicidad y prospección comercial. Todas estas fuentes figuran en el frontmatter. Para el encuadre estratégico de conjunto, véase Sus datos ya son públicos y, para los gestos concretos aguas abajo, La auditoría de exposición y El derecho al olvido.

Fuentes y lecturas complementarias

Artículos relacionados