El mercat negre de les dades personals

Després de dècades d’erosionar el dret a la privacitat, aquest sector tan tèrbol i poc regulat dels que es dediquen a desenterrar dades personals per traficar-hi ha portat les seves sinistres llistes a una nova dimensió. Elaboren llistes de víctimes d’agressions sexuals i de persones amb malalties de transmissió sexual. Llistes de persones amb Alzheimer, demència i sida. Llistes de gent amb impotència i depressió.

Hi ha llistes de “compradors compulsius”. Llistes de beneits: consumidors ingenus propensos a convertir-se en víctimes del “màrqueting basat en la vulnerabilitat”. Llistes dels considerats comercialment indesitjables perquè viuen en caravanes o residències per a vells, o a la vora. Per no parlar de les llistes de persones que han sigut acusades d’algun delicte, encara que no hagin anat a judici ni les hagin condemnat.

Aquestes llistes, que se solen vendre a uns quants centaus per nom, no cal que siguin gaire fiables per atreure compradors àvids, majoritàriament experts en màrqueting, però també, cada vegada més, institucions financeres que volen investigar els clients per protegir-se contra el frau i empreses que volen seleccionar els candidats a un lloc de treball.

Amb aquestes llistes hi ha tres problemes. En primer lloc, sovint contenen errors. Per exemple, com ha informat The Washington Post, una dona d’Arkansas es va trobar sense possibilitats d’obtenir crèdits ni perspectives de trobar feina després que per error la cataloguessin com a traficant de metamfetamina. Li va costar anys netejar la seva reputació i trobar una feina.

En segon lloc, encara que la informació sigui correcta, en molts casos és injustificable que les llistes estiguin en mans de comerciants, directius empresarials o entitats bancàries. Patir una malaltia o haver sigut víctima d’un delicte no és gens rellevant per a la majoria de decisions sobre la concessió d’un lloc de treball o un crèdit.

En tercer lloc, com que a la gent no se li comunica que apareix en aquestes llistes, no té l’oportunitat de rectificar la informació errònia. La dona d’Arkansas no es va assabentar de l’informe equivocat fins que la van rebutjar per a una feina. Va ser una de les poques persones que no van acceptar.

Aquestes pràctiques de contractació basades en l’obtenció de dades estan cada vegada més en el punt de mira perquè les dades poden servir per discriminar per motius de raça, classe o discapacitat. Per exemple, el 2011 l’empresa CVS va haver de pagar una indemnització per discriminació per discapacitat després que un candidat posés en dubte un test psicològic que explorava problemes de salut mental. Però si un empresari fa servir en secret unes llistes amb dades sobre la salut mental, és gairebé impossible que el candidat afectat se n’assabenti. El secret és el millor amic de la discriminació.

Aquests problemes no es poden resoldre amb la legislació vigent. La Comissió Federal de Comerç dels EUA s’ha esforçat per conèixer de prop els mercats de dades personals -una indústria que mou 156.000 milions de dòlars a l’any-, però és incapaç d’esbrinar on obtenen la informació els venedors de dades i a qui la venen. Amb el pretext del secret comercial, gairebé tots es neguen a divulgar aquesta informació vital.

El mercat de la informació personal ofereix pocs incentius per a la veracitat: als compradors de llistes els importa ben poc l’exactitud de les dades, només necessiten un percentatge d’encerts per millorar els seus processos de selecció. Però les persones incloses erròniament en les llistes negatives veuen greument perjudicada la seva reputació.

El World Privacy Forum, una organització dedicada a la investigació i conscienciació, calcula que hi ha prop de 4.000 venedors de dades. S’hi inclouen des de gegants com Acxiom, una empresa que cotitza en borsa i que ajuda els experts en màrqueting a identificar segments de consumidors, fins a empreses petites, com Paramount Lists, que ha recopilat llistes d’addictes i deutors. Aquesta mena d’empreses xuclen les dades de gairebé qualsevol font imaginable: webs per a consumidors sobre temes de salut, prestadors, enquestes en línia, registres de garantia, apostes per internet, dades de les targetes de fidelització dels establiments comercials, llistes de donants d’organitzacions benèfiques, llistes de subscripcions a revistes i informació dels registres públics.

No és realista demanar que busquem els arxius que ens afecten adreçant-nos a cada venedor de dades. El que hem de fer, en canvi, és exigir a aquests venedors que ensenyin determinades llistes als consumidors. Treure a la llum els problemes amb les dades massives, el big data (o amb els models de decisió basats en aquestes dades), no ha de ser un problema que els particulars hagin de resoldre pel seu compte.

Les mesures de protecció de la privacitat que s’apliquen en altres àmbits de la llei s’han de fer extensives a les dades dels consumidors. La llei de transferibilitat i responsabilitat de l’assegurança mèdica ( health insurance portability and accountability act ) obliga els metges i hospitals a donar als pacients accés als seus historials. La llei d’informes de crèdits justos ( fair credit reporting act ) dóna als que sol·liciten un crèdit o aspiren a un lloc de treball el dret a accedir, rectificar i anotar els arxius de les agències que elaboren els informes. Ja és hora de modernitzar aquestes lleis i aplicar-les a totes les empreses que trafiquen amb informació de caràcter personal. Si les lleis cobreixen només una petita part d’entitats, són paper mullat.

El Congrés ha d’exigir als venedors de dades que es registrin a la Comissió Federal de Comerç, i també ha de permetre que es notifiqui immediatament a l’interessat la seva inclusió en llistes que contenen dades sensibles. Els venedors de dades amb bona reputació estaran disposats a respondre a les queixes de bona fe per fer així unes llistes més correctes. Els advocats dels demandants podrien recórrer a les lleis contra la difamació perquè les empreses més recalcitrants assumeixin les seves responsabilitats.

Necessitem una regulació que ajudi els consumidors a reconèixer els perills del nou panorama de la informació sense aclaparar-los amb dades. El dret a la notificació de l’ús de les pròpies dades i el dret a impugnar i corregir errors són fonamentals. Sense aquestes mesures de protecció, seguirem sent jutjats per un mena de tribunals del big data que es basaran en fonts qüestionables sense haver-ne de retre comptes a ningú.