Los cazarrecompensas son una figura legendaria de aquellas películas del far west en las que los forajidos campaban a sus anchas ante la ausencia de ley. Pero, en algunos aspectos, Estados Unidos sigue siendo un territorio sin ley, más específicamente, sin ley de protección de datos personales.

Un artículo de esta misma semana de la publicación Motherboard expone cómo los cazarrecompensas usan los datos de localización de las operadoras de telefonía para localizar a sus objetivos. Y lo más alarmante es que lo hacen de manera totalmente legal. No hay hackeo ni soborno ni brecha de seguridad. Los datos de geolocalización de los usuarios de telefonía móvil estadounidenses están a la venta.

Las telecos de Estados Unidos no solo viven de vender conexiones móviles. Uno de sus negocios más lucrativos y que en muchas ocasiones pasa desapercibido, es el de la venta de datos.

Un ejemplo de este tipo de comercio sería el de las aseguradoras que necesitan saber si una persona estaba en un sitio determinado para comprobar si ha habido fraude o el de las compañías de asistencia en carretera que necesitan localizar a un cliente para asistirlo. Incluso los bancos compran datos de geolocalización para comprobar, entre otras cosas, si una persona reside donde declara residir.

¿Cómo es posible que se comercie con los datos de localización de los smartphones?

Existen dos razones principales para que este tipo de comercio de datos personales sea posible.

Por un lado, Estados Unidos carece de una ley que proteja todas las tipologías de datos personales. En el país norteamericano existen leyes específicas que protegen determinadas tipologías de datos personales, como por ejemplo los datos sanitarios, pero no una ley general como sería la LOPDGDD o la RGPD.

Este vacío legal se llena, en teoría, con una voluntad de que sean las propias empresas las que se autorregulen y adopten medidas de protección de los datos personales de sus clientes. Como vemos, esto no parece estar funcionando muy bien.

La otra razón por la que este comercio de datos personales es posible y legal es que las empresas lo incluyen en la letra pequeña del consentimiento que los clientes deben aceptar para poder acceder a sus servicios. Si los interesados dan su consentimiento, es legal.

¿Solución a la venta de datos?

El caso del cazarrecompensas y otros muchos escándalos como el de Cambridge Analytica y MyFitnessPal está haciendo que los políticos norteamericanos empiecen a tomar conciencia de la necesidad de proteger los datos personales de sus ciudadanos. Por el momento, el ala demócrata del Senado ha pedido esta misma semana que se abra una investigación sobre la venta de datos personales por parte de las operadoras móviles.

Entre los personajes públicos que se han manifestado sobre la necesidad de una regulación destaca el CEO de Apple Tim Cook que recientemente declaró que la privacidad es un derecho humano y que debería estar protegido como tal en su país.

Sin embargo, existe una gran oposición a la creación de una legislación similar al RGPD europeo, sobre todo entre el ala más conservadora de la política y en la empresa. El argumento en contra de la regulación es que limitaría la capacidad de innovación de la industria tecnológica, uno de los grandes motores de la economía de la primera potencia económica mundial.

¿Sería posible que ocurriese eso en España bajo el RGPD?

En principio, es posible. El RGPD no prohíbe vender datos personales a terceros siempre que se cuente con el consentimiento del interesado. Sin embargo, es razonable suponer que nadie daría su consentimiento informado a este tipo de tratamiento por parte de terceros y que, por lo tanto, de darse esta práctica, sería denunciada de inmediato.

La información de geolocalización de los terminales móviles tan solo se puede acceder con orden judicial en aquellos casos en que dicha información sea relevante para un caso.

Según informa la publicación digital Xataka, las operadoras españolas comercializan con datos de geolocalización anonimizados sobre todo con fines de prestación de servicios de Big Data.

Cuidado con los abusos legales en protección de datos

Si una lección sacamos de este caso es la necesidad de leernos bien la letra pequeña del consentimiento que prestamos y de que no estamos obligados a aceptar tratamientos de datos que no sean necesarios para la prestación del servicio que contratamos.

En ocasiones, las grandes brechas de seguridad para nuestros datos pueden venir de agujeros en la ley y de consentimientos mal dados. Nunca debemos bajar la guardia.