AIO APEX
Privacy & Data

La industria de los data brokers finalmente enfrenta una regulación real: lo que significa para ti

Compartir:
La industria de los data brokers finalmente enfrenta una regulación real: lo que significa para ti

La industria de $300 mil millones que comercializó tu vida sin preguntar

Los data brokers —empresas que compran, agregan y venden información personal sin el conocimiento del sujeto— han operado una industria de $300 mil millones durante décadas con prácticamente ninguna rendición de cuentas. Eso cambió en 2024 y 2025. La FTC promulgó su primera norma ejecutable sobre data brokers, la Ley de Eliminación de California (SB 362) entró en vigor en enero de 2026, y los reguladores de la UE impusieron una multa de €150 millones a una red publicitaria francesa por vender datos de ubicación sin el consentimiento del GDPR. La era del comercio de datos personales sin consecuencias está terminando, pero no lo suficientemente rápido y no sin lagunas legales.

Qué hacen realmente los data brokers con tu información

El modelo de negocio es simple: recopilar datos de todas las fuentes disponibles, combinarlos en perfiles completos y vender el acceso a esos perfiles a anunciantes, aseguradoras, empleadores, fuerzas del orden y campañas políticas. Las fuentes de datos son mucho más amplias de lo que la mayoría de la gente cree.

  • Registros públicos: propiedad de inmuebles, presentaciones judiciales, registro de votantes, licencias profesionales
  • Programas de fidelización: historial de compras de tarjetas de recompensas de minoristas, que infiere ingresos, estado de salud y estilo de vida
  • SDK de aplicaciones: las aplicaciones móviles incorporan código de terceros que recopila datos de ubicación e identificadores de dispositivos, a menudo con un consentimiento oculto en un contrato de términos de servicio de 40 páginas
  • Datos de transacciones con tarjetas de crédito: vendidos de forma agregada por procesadores de pagos, revelando patrones de gasto en diferentes comercios
  • Señales de ubicación: coordenadas GPS de aplicaciones meteorológicas, herramientas de navegación y juegos móviles, con marca de tiempo y almacenadas indefinidamente

Un perfil típico de un data broker sobre un adulto estadounidense contiene: nombre completo, direcciones actuales e históricas, números de teléfono (incluidos los no listados), ingresos familiares estimados, afiliación política derivada de registros de donaciones y condiciones de salud inferidas a partir de compras de medicamentos recetados, ayudas para la movilidad o productos alimenticios específicos. Estos perfiles se actualizan continuamente y se venden a cualquiera que esté dispuesto a pagar.

Los principales actores y quiénes los utilizan

El mercado de data brokers está dominado por un puñado de grandes empresas, cada una con una especialización diferente:

  • Acxiom / LiveRamp: Acxiom mantiene perfiles de aproximadamente 2.500 millones de personas en todo el mundo. LiveRamp, su filial, es la plataforma dominante de "resolución de identidad": vincula datos offline con identificadores de anuncios digitales para que las marcas puedan dirigirse a individuos a través de dispositivos. Clientes principales: empresas de bienes de consumo y anunciantes minoristas.
  • Experian: Conocida principalmente como una agencia de crédito, la división de servicios de marketing de Experian vende datos demográficos y de comportamiento completamente separados de sus archivos de crédito. Suministra datos para campañas de correo directo, modelos de suscripción de seguros y segmentación de productos financieros.
  • LexisNexis Risk Solutions: Se centra en la verificación de identidad, la detección de fraudes y las verificaciones de antecedentes. Sus datos son utilizados por bancos, compañías de seguros y agencias gubernamentales, incluidas las fuerzas del orden, un canal que ha atraído un escrutinio significativo de la ACLU.
  • Oracle Data Cloud (ahora parte de Oracle Advertising): Agrega datos de compras de minoristas y datos de consumo de medios de editores. Sirve principalmente a campañas publicitarias de grandes empresas. Oracle anunció planes para cerrar su negocio de datos de terceros en 2024 bajo presión regulatoria, aunque sus asociaciones de datos de primera parte continúan.
  • Epsilon: Propiedad del grupo publicitario francés Publicis, Epsilon opera el gráfico de identidad CORE ID y se centra en datos de programas de fidelización. Su base de clientes incluye fabricantes de automóviles, servicios financieros y empresas de telecomunicaciones.
  • Spokeo y BeenVerified: Data brokers de "búsqueda de personas" orientados al consumidor. Cualquier persona puede pagar $20–$30 al mes para buscar direcciones, números de teléfono, familiares e historial laboral de cualquier persona por su nombre. Estos servicios se utilizan con frecuencia en casos de acoso, un hecho documentado en múltiples quejas de fiscales generales estatales.

La Ley de Eliminación de California (SB 362): La ley de privacidad más significativa de EE. UU. de la que quizás no has oído hablar

Firmada en octubre de 2023, la Ley de Eliminación de California entró en vigor en enero de 2026. Exige que todos los data brokers registrados ante la Agencia de Protección de la Privacidad de California (CPPA) cumplan con las solicitudes de eliminación presentadas a través de un único mecanismo centralizado de exclusión voluntaria, lo que significa que los consumidores pueden eliminar sus datos de todos los brokers cubiertos con una sola solicitud, en lugar de navegar por cientos de portales de exclusión individuales.

La ley se aplica a cualquier empresa que "a sabiendas recopile y venda a terceros la información personal de un consumidor con el que la empresa no tenga una relación directa". Esto abarca a la mayor parte de la industria. Sin embargo, las exenciones son significativas:

  • Las agencias de informes crediticios que operan bajo la Ley de Informes Crediticios Justos (Equifax, Experian, TransUnion) están en gran medida exentas
  • Las empresas de verificación de antecedentes con fines comerciales legítimos (selección de personal, verificación de inquilinos) conservan amplias exenciones
  • Las instituciones financieras cubiertas por la Ley Gramm-Leach-Bliley están exentas para los datos utilizados en productos financieros

La CPPA debe construir el mecanismo centralizado de eliminación, con la aplicación a partir de 2026. Las multas por incumplimiento alcanzan $200 por consumidor por día, lo que crea una exposición financiera significativa para los grandes brokers que poseen millones de perfiles.

Aplicación de la FTC: El caso Kochava y el acuerdo con X-Mode

La Comisión Federal de Comercio pasó años emitiendo informes sobre los data brokers sin autoridad de aplicación. Eso cambió bajo la autoridad de prácticas desleales de la Sección 5 de la Ley de la FTC, y la agencia comenzó a tratar las ventas de datos de ubicación como inherentemente dañinas.

En 2022, la FTC demandó a Kochava, una empresa de análisis móvil, por vender datos de ubicación precisos que podrían usarse para identificar a personas que visitan clínicas de aborto, centros de tratamiento de adicciones y refugios para víctimas de violencia doméstica. El caso estableció que vender datos de ubicación sensibles sin consentimiento constituye una práctica comercial "desleal", independientemente de si los consumidores aceptaron técnicamente la recopilación de datos en los términos de servicio de una aplicación. El litigio continúa a mediados de 2026.

En enero de 2024, la FTC llegó a un acuerdo con X-Mode Social (renombrada como Outlogic) por $4.95 millones, el primer acuerdo con un data broker en la historia de la FTC relacionado con datos de ubicación. X-Mode había vendido datos de ubicación precisos a contratistas militares y agencias gubernamentales de EE. UU., incluidos datos que podían identificar sitios religiosos, mítines políticos e instalaciones médicas. El acuerdo exigió la eliminación de todos los datos y prohibió a la empresa vender información de ubicación sensible sin consentimiento explícito.

La FTC también ha propuesto una reglamentación formal que clasificaría los datos de ubicación y los datos de salud como categóricamente "sensibles", lo que requeriría un consentimiento explícito de aceptación antes de su recopilación o venta, un estándar mucho más alto que la práctica actual de la industria de exclusión voluntaria si se puede encontrar.

Aplicación en la UE: El Artículo 9 del GDPR finalmente tiene dientes

El Reglamento General de Protección de Datos de la UE ha prohibido nominalmente la venta de datos personales sensibles sin consentimiento explícito desde 2018. La aplicación fue lenta hasta 2024, cuando los reguladores centraron su atención en la cadena de suministro de la tecnología publicitaria.

La autoridad francesa de protección de datos (CNIL) impuso una multa de €150 millones a una red publicitaria francesa por vender datos de ubicación de aplicaciones móviles a anunciantes sin obtener el consentimiento conforme al GDPR. El caso se centró en la interpretación del Artículo 9, que cubre datos de salud, políticos, religiosos y biométricos, aplicándose a características inferidas derivadas de patrones de ubicación, no solo a categorías sensibles recopiladas directamente.

La Comisión de Protección de Datos de Irlanda (DPC), que supervisa la mayoría de las operaciones de Silicon Valley en la UE debido a las sedes irlandesas de las empresas, abrió investigaciones sobre los SDK de publicidad móvil que operan en la UE. Dado que la DPC de Irlanda ha sido históricamente criticada por su lenta aplicación, las investigaciones representan una escalada significativa. Las multas del GDPR pueden alcanzar el 4% de los ingresos anuales globales, lo que para los grandes data brokers crea un riesgo financiero existencial.

Qué significa esto en la práctica ahora mismo

La regulación está teniendo un efecto medible pero incompleto en la industria. Los data brokers han comenzado a cumplir más activamente con las solicitudes de eliminación, no por buena voluntad, sino porque las auditorías de la CPPA y el escrutinio de la FTC hacen que el incumplimiento sea costoso. Los portales de exclusión voluntaria que antes requerían correo físico y documentos notariados ahora son accesibles en línea.

Sin embargo, persiste el problema estructural fundamental: la eliminación no es permanente. Los data brokers operan canales automatizados de re-recopilación que extraen continuamente datos de registros públicos, SDK de aplicaciones y socios de datos. Un perfil eliminado hoy puede reconstruirse en 30 a 90 días a partir de nuevos puntos de datos. Esta es la razón por la que los servicios de eliminación para consumidores requieren suscripciones continuas en lugar de limpiezas únicas.

Herramientas para eliminar realmente tus datos

Tres servicios dominan el mercado de eliminación de datos para consumidores:

  • DeleteMe ($129/año para una persona): Envía manualmente solicitudes de exclusión voluntaria a más de 750 data brokers en nombre de los usuarios, con reenvíos trimestrales para detectar perfiles que reaparecen. Cubre Spokeo, BeenVerified, Whitepages, Intelius y la mayoría de los brokers de búsqueda de personas importantes. No cubre las agencias de crédito.
  • Privacy Bee ($197/año): Cobertura más amplia que DeleteMe, afirmando cubrir más de 200 sitios de brokers adicionales. Incluye una extensión de navegador que señala las solicitudes de intercambio de datos en tiempo real. La efectividad reportada es de aproximadamente un 60–80% de éxito en la eliminación; los perfiles en algunos brokers son técnicamente imposibles de eliminar debido a exenciones legales.
  • Kanary ($99/año): Se centra en la velocidad de eliminación y proporciona un panel que muestra qué brokers devolvieron perfiles y el estado de la eliminación. Tiene una lista de brokers más pequeña que sus competidores, pero una barrido inicial más rápido.

Ninguno de estos servicios puede eliminar tus datos de las agencias de informes crediticios, bases de datos de las fuerzas del orden, proveedores de verificación de antecedentes que operan bajo exenciones de la FCRA, o registros públicos gubernamentales (presentaciones judiciales, registros de propiedad, listas electorales). Para esos, necesitarías buscar el sellado de registros a través de procesos legales, que son costosos y específicos de cada jurisdicción.

Hacia dónde se está moviendo la industria

Ante la presión regulatoria, los data brokers más grandes no están abandonando el negocio, sino que están renombrando sus productos como "respetuosos con la privacidad". Tres estrategias dominan:

  • Segmentación por cohortes: En lugar de vender perfiles individuales, los brokers venden acceso a segmentos de audiencia definidos por comportamiento —"personas que visitaron concesionarios de automóviles en los últimos 30 días"— sin exponer identificadores individuales. La API Topics de Google, que reemplazó las cookies de terceros en Chrome, es la versión más visible de este enfoque.
  • Asociaciones de datos de primera parte: Los brokers se posicionan como intermediarios entre las marcas que tienen datos de clientes de primera parte, facilitando la coincidencia de audiencias sin transferencia de datos. La red de datos de fidelización de Epsilon y la plataforma de colaboración de datos de LiveRamp operan bajo este modelo.
  • Salas limpias (clean rooms): Entornos de computación que preservan la privacidad donde dos empresas pueden analizar audiencias superpuestas sin que ninguna vea los datos sin procesar de la otra. InfoSum y Habu (adquirida por LiveRamp) son los principales proveedores. Las salas limpias son técnicamente más respetuosas con la privacidad, pero aún permiten los mismos resultados de segmentación conductual: ocultan el mecanismo, no el resultado.

Qué deberías hacer ahora mismo

La regulación avanza lentamente. Los pasos prácticos que puedes tomar hoy para reducir tu exposición a los data brokers:

  • Excluirte de las ventas de datos de la CCPA: Cada sitio web que cumpla con la normativa de California debe ofrecer un enlace "No vender ni compartir mi información personal". Úsalo para cada minorista importante, data broker y plataforma con la que interactúes.
  • Suscribirte a un servicio de eliminación: DeleteMe o Privacy Bee no lograrán una eliminación del 100%, pero reducir la presencia de tu perfil en sitios de búsqueda de personas disminuye significativamente la exposición al acoso dirigido, el phishing y los ataques de ingeniería social.
  • Auditar los permisos de ubicación: Revisa cada aplicación en tu teléfono y revoca el acceso a la ubicación para cualquier aplicación que no lo necesite para funcionar. Desactiva la "ubicación precisa" para las aplicaciones donde la ubicación aproximada sea suficiente. Esto corta el canal principal que los data brokers utilizan para la inteligencia de ubicación en tiempo real.
  • Congelar
privacygdprdata-brokerspersonal-dataccpa
Compartir:
La industria de los data brokers finalmente enfrenta una regulación real: lo que significa para ti | AIO APEX