El organismo regulador de la privacidad de California ha multado a una empresa de Texas dedicada al comercio de datos con 45 000 dólares y le ha prohibido vender información personal de ciudadanos californianos tras vender datos de pacientes con Alzheimer. La empresa texana Rickenbacher Data LLC, que opera bajo el nombre de Datamasters, compró y revendió los nombres, direcciones, números de teléfono y direcciones de correo electrónico de personas que padecían graves problemas de salud, según la Agencia Privacy de California (CPPA).
La orden final de la CPPA contra Datamasters afirma que la empresa mantenía una base de datos con 435 245 direcciones postales de pacientes con Alzheimer. Pero eso no fue todo. También se comercializaron registros de 2 317 141 personas ciegas o con discapacidad visual y 133 142 personas con adicciones. Además, se vendieron registros de 857 449 personas con problemas de control de la vejiga.
Los datos relacionados con la salud no eran la única categoría con la que comerciaba Datamasters. La empresa también vendía información relacionada con el origen étnico, incluidas las denominadas «listas hispanas», que contenían más de 20 millones de nombres, así como «listas de personas mayores» basadas en la edad e indicadores de vulnerabilidad financiera. Por ejemplo, vendía registros de personas con hipotecas de alto interés.
Y si los compradores querían datos sobre otras características y acciones probables de los clientes, como quién era más liberal y quién más conservador, también se les podía proporcionar, gracias a los 3370 «modelos predictivos de consumo» que abarcaban preferencias automovilísticas, actividad financiera, uso de los medios de comunicación, afiliación política y actividad sin ánimo de lucro.
Datamasters ofrece la compra directa de registros de su base de datos nacional de consumidores, que según afirma abarca 114 millones de hogares y 231 millones de personas. Los clientes también pueden adquirir actualizaciones mediante suscripción.
Las autoridades reguladoras de California comenzaron a investigar a Datamasters tras descubrir que la empresa no se había registrado como agente de datos en el estado, tal y como exige la Ley de Eliminación de Datos de California. La ley exige que los agentes de datos se registren desde el 31 de enero de 2025.
La empresa negó inicialmente que operara en California o que tuviera datos sobre ciudadanos californianos. Sin embargo, esa afirmación se vino abajo cuando los reguladores encontraron una hoja de cálculo Excel en el sitio web con 204 218 registros de estudiantes de California.
Datamasters afirmó inicialmente que no había revisado su base de datos nacional para eliminar los datos de los residentes de California. Tras contratar a un abogado, cambió su versión y afirmó que, de hecho, había filtrado los datos de los residentes de California. Sin embargo, esto no convenció a la CPPA.
El regulador reconoció que Datamasters intentó cumplir con las leyes de privacidad de California, pero que
«carecía de políticas y procedimientos escritos suficientes para garantizar el cumplimiento de la Ley de Eliminación».
La multa impuesta a Datamasters también tiene en cuenta que no se había registrado en el registro estatal de corredores de datos. Los corredores de datos que no se registran están sujetos a multas de 200 dólares al día, y el hecho de no eliminar los datos de los consumidores conllevará multas de 200 dólares por consumidor y día.
A partir del 1 de enero de 2028, los corredores de datos registrados en California también deberán someterse a auditorías de cumplimiento independientes realizadas por terceros cada tres años.
Por qué es tan peligroso vender datos de clientes extremadamente sensibles
«La historia nos enseña que ciertos tipos de listas pueden ser peligrosas».
Michael Macko, director de cumplimiento de la CPPA, señaló.
Las investigaciones nos han revelado que los pacientes con Alzheimer son especialmente vulnerables a la explotación financiera. Si cree que los estafadores no buscan este tipo de listas, piénselo de nuevo: se ha descubierto que los delincuentes han accedido a datos de al menos tres corredores de datos en el pasado. Aunque no hay indicios de que Datamasters haya vendido datos a estafadores a sabiendas, parece fácil para cualquiera comprar listas de corredores de datos.
Tampoco hace falta ser un genio para darse cuenta de por qué muchos de estos registros (que, recordemos, la empresa tiene sobre personas de todo el país) podrían ser especialmente delicados en el clima político actual de Estados Unidos.
Aquí también hay una cuestión más amplia relacionada con la privacidad. Aunque muchos estadounidenses podrían suponer que la Ley Federal de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) protege sus datos sanitarios, esta solo se aplica a los proveedores de atención médica. Sorprendentemente, los corredores de datos quedan fuera de su ámbito de aplicación.
Entonces, ¿qué puedes hacer para protegerte?
Lo primero que debe hacer es consultar la ley de protección de datos de su estado. California ha introducido este año el sistema Data Request and Opt-out Platform (DROP) en virtud de la Ley Delete. Se trata de un sistema de exclusión voluntaria que permite a los residentes de California exigir a todos los corredores de datos inscritos en el registro que eliminen los datos que tienen sobre ellos.
Si no vives en un estado que se toma en serio los datos confidenciales, tus opciones son más limitadas. Podrías mudarte, tal vez a Europa, donde las protecciones de la privacidad son considerablemente más estrictas.
No nos limitamos a informar sobre la privacidad de los datos: le ayudamos a eliminar su información personal.
Los riesgos de ciberseguridad nunca deben ir más allá de un titular. Con Malwarebytes Personal Data Removerpuede escanear para averiguar qué sitios están exponiendo su información personal y, a continuación, eliminar esos datos confidenciales de Internet.
