pedir datos personales tuyos

En mi libro «25+1 Relatos Distópicos» profundizaba en el impacto que tenía la creación de Reminder, una (en principio) suerte de red social que con el tiempo acaba por ser utilizada como herramienta de control en todas y cada una de las múltiples facetas sociales y políticas de nuestra civilización.

El libro, como ya sabrás, empezó a cuajarse hace cosa de 4 años, cuando aún mirábamos a oriente sorprendidos por el paulatino rumbo que la sociedad china estaba tomando en esto de la economía del dato.

Ese crédito social chino, del que ya hemos hablado por aquí, y que también suelo meter en algunas de mis charlas, es hoy en día una realidad. Gracias a él un ciudadano chino tiene siempre asociada a su identidad una variable numérica que cuantifica lo «cívico» que es ese ciudadano, y de la que depende cada vez más las acciones que puede realizar en su día a día.

Lo cual tiene dos elementos que, al menos desde la óptica de un occidental, hace que se me erice el pelo de todo el cuerpo:

  • Las variables en las que está basado esa cuantificación: ¿Qué hace que un ciudadano chino tenga más crédito social que otro? Si el sistema depende de un gobierno claramente antidemocrático, la respuesta debería ser obvia. Si quieres aumentar tu nivel de crédito social, además de lo obvio (tener un buen puesto de trabajo que te de una buena fuente de ingresos) entran en juego variables que podemos considerar cuanto menos perniciosas, como la imposibilidad de quejarse o participar en manifestaciones, el hecho de estar casados y con una familia «normal» (hombre, mujer e hijos), consumir información por las fuentes oficiales, rodearte del resto de ciudadanos con un nivel de crédito social X…
  • La marginación de quien se escapa de lo que está bien visto en el Gran Hermano: Porque la alternativa, como decía en mi libro, es ser uno de los UNOS. Un paria al que se le niega el acceso al transporte público, ya ni hablemos de una vivienda digna o una carrera académica/profesional adecuada.

Que, recalco, ya lo decía Ortega y Gasset en su momento: Toda esta reflexión la hacemos desde Occidente, con un bagaje cultural específico en el que por ejemplo, y a diferencia de los asiáticos, valoramos ese intangible que es la privacidad individual sobre el colectivo. Una sociedad que ha visto de cerca el daño de las políticas totalitaristas y populistas, y que ha decidido abrazar, con sus dimes y diretes, la «dictadura» de una democracia.

Más aún en esta Europa vieja, que a ratos se postula como el ejemplo a seguir en cuanto a derechos humanos dentro y fuera del ciberespacio.

En Europa un crédito social «a lo China» no sería posible, ¿verdad?

Pues prepárate que vienen curvas…

Sobre el Secret Consumer Score

Hace ya un tiempo en The New York Times (EN) Kashmir Hill publicaba una pieza en la que analizaba su Secret Consumer Score, una suerte de estandarización numérica asociada ya a prácticamente toda la sociedad occidental, y que por tanto se está utilizando en nuestro día a día para valorar nuestra solvencia económica en un muy nutrido grupo de servicios y productos tanto online como offline.

Básicamente esta valoración se realiza en base a una serie de servicios de analítica fiscal que se dedican a recopilar los datos de millones de consumidores, agregándolos a datos de negocio, y revendiéndolos a toda empresa que esté interesada, que por supuesto lo aplica para «ofrecer un mejor servicio a sus clientes».

[Por ejemplo, ] cuando uno llama a uno de los call centers de estas compañías, el tiempo de espera viene determinado por esa puntuación social que cada uno de sus clientes tenemos asignada.

Igualmente se utiliza esta puntuación personal para determinar el servicio que nos dispensarán, o qué podemos y qué no podemos devolver en los puntos de venta.

Vamos, no sólo es diferenciación a nivel individual y con una granularidad nunca antes vistas, es literalmente una segregación de los derechos que tenemos como consumidores.

De esta manera, una compañía como Airbnb puede negarnos o aceptar un registro basándose en el ranking de una de estas bases de datos… pese a que no seamos aún usuarios suyos.

Una aseguradora puede subirnos la prima a nosotros pese a no conocer realmente las variables en las que está basada esa tasación. Sencilla y llanamente se asume que los sistemas algorítmicos de estas compañías están valorando adecuadamente el riesgo de cada potencial consumidor, y eso, en una sociedad capitalista, es un arma realmente poderosa.

Lo veíamos hace ya unas semanas con el caso de la tarjeta de crédito de Apple. David Heinemeier, que entre otras cosas es conocido mundialmente por ser el creador de Ruby on Rails y ser el CEO de Basecamp, comentaba indignado cómo, tras llegarles a casa la tarjeta tanto a él como a su mujer, habían descubierto que él tenía 20 veces más de crédito que su mujer pese a que ambos estaban casados en régimen de gananciales, y por ende a nivel puramente fiscal la situación era exactamente la misma.

Al darse cuenta decidió pedir explicaciones a Apple, y tanto Apple como el proveedor de la tarjeta (Goldman Sachs) no fueron capaces de ir más allá del típico «el algoritmo en el que se basa el sistema para calcular el riesgo funciona correctamente«.

Y la cosa es que me picó la curiosidad, así que me puse en contacto con algunas de las empresas que están detrás del Consumer Score para ver qué datos tenían de mi.

peticiones email

Cómo puedes conocer tu «valor comercial»

Como decía, hay varios servicios se dedican a este tipo de tasaciones, y en Europa tenemos desde 2018 una GDPR que obliga a cualquier compañía a ceder los datos que tengan de un ciudadano si este así lo exige.

¿Que me estás leyendo desde EEUU o algún país de latinoamérica? Pues según el caso puede que te puedas acoger a alguna otra regulación nacional (en California por ejemplo tienen la California Consumer Privacy Act (EN) para estos menesteres), pero es que además afortunadamente cada vez más la GDPR europea se está tomando como un estándar de la industria, por lo que aunque estrictamente hablando para ciudadanos de fuera de Europa una compañía de estas no tiene por qué cumplirla, en la práctica y por simplificar los procesos de tratamiento de datos no es algo extremadamente raro (si para Europa tenemos que trabajar de esta manera, adaptamos el resto de la operativa a este escenario y nos quitamos mayores quebraderos de cabeza).

En particular yo me he puesto en contacto con los siguientes servicios:

  • Sift: Una compañía cuyo negocio core es calcular el riesgo fiscal. Al parecer hace poco tenía un formulario en la web en el que podías pedir estos datos, pero curiosamente desde la publicación del artículo en el NYT la única manera de hacerlo es enviándoles un correo con tus datos y una fotocopia del DNI a [email protected]
  • Zeta Global: La única que he encontrado que aún tiene un formulario de contacto (EN).
  • Retail Equation: Especializada, al parecer, en identificar usuarios fraudulentos en retail (gente que por ejemplo suele devolver productos comprados habitualmente), y a los que podemos pedirles los datos vía [email protected]
  • Riskified: Otro sistema de tasación de riesgo entre consumidores, con el correo [email protected]
  • Kustomer: Una compañía de datos especializada en este sector en particular, que cuenta con el email [email protected]

¿Y qué he recibido?

Pues poco, la verdad.

Me puse en contacto con todas estas empresas a principios de diciembre.

En el caso de Kustomer al poco de enviar el email recibí una respuesta en la que me pedían rellenar un formulario. Lo hice, pero al darle a enviar la página muestra un error en su API. Di por supuesto que había fallado, pero en cambio me llegó un email confirmando que la petición se había hecho. Dos meses más tarde me llegaron cuatro emails seguidos (uno por cada intento que hice, seguramente) para informarme que no tenían nada de información mía. Y de paso darme a conocer su servicio, por si quiero «utilizarlo» con mis clientes.

Por ReturnActivityReport me respondieron pasados un par de días para informarme que no tenían datos sobre mi.

Los de Sift me enviaron dos emails automáticos a los cuatro días, pidiéndome en el segundo que volviera a demostrar que en efecto era yo quien pedía esos datos. ¿Y cómo lo hicieron? Mediante un enlace que me llevaba a una página en la que tuve que poner mi número de teléfono… para que me enviasen al móvil un SMS con una URL donde tuve que subir en directo la imagen de mi DNI por delante, por detrás, y dos fotos mías en plan selfie.

Pasó alrededor de una semana, y recibí otro email en el que enlazaban a un documento subido a una cuenta de Dropbox y protegido con una contraseña cuya primera parte me enviaban ellos en el propio email (un array de números y letras aleatorio), y que para terminarla tenía que incluir los cuatro números de mi año de nacimiento.

El archivo era un TXT de 9MBs, lo que quiere decir que tenía más de 280.000 líneas escritas en formato XML con la información que al parecer tiene esta compañía de mi.

Y lo más curioso de todo es casi todo eran datos de logging de mi perfil público de Patreon (el sistema que utilizamos en esta Comunidad para realizar las donaciones) y de Shuttershock (una plataforma de compra de imágenes para fines comerciales), principalmente comprados a Google y a Apple (entiendo que por utilizar, según el dispositivo, Chrome o Safari).

También, por cierto, enlazaban a otro documento (EN), esta vez en abierto, con una pequeña guía para entender el archivo que envían a los que como un servidor así lo pedimos.

Te pongo por aquí un ejemplo (las «X» las he metido yo para mantener en la medida de lo posible la información anonimizada):

{
   "type": "$page_activity",
   "time": "1450853238",
   "sessionId": "d9a1ba7eXXXXXXXXXXXX",
   "pageActivity": {
     "url": "https://www.patreon.com/PabloYglesias?ty=h",
     "pageTitle": "Support Pablo F. Iglesias creating Artíc",
     "deviceProperties": {
       "httpUserAgent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/53XXXXX (KHTML, like Gecko) Chrome/XXXXXXXXXX Safari/53XXXXXX",
       "ip": "85.XXX.XXX.XXX",
       "proxyCount": 0,
       "userAgent": "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/53XXXX (KHTML, like Gecko) Chrome/47.XXXXXXX Safari/53XXXX",
       "pluginsHash": "075d1a86d96218dXXXXXXXXXXXXXXXXXXXX",
       "pluginsCount": 5,
       "mimeTypesHash": "d99c64c8ecb03XXXXXXXXXXXXXXXXXXX",
       "mimeTypesCount": 7,
       "flashVersion": "20.0.0.XXX",
       "screenHeight": 720,
       "screenWidth": 1280,
       "colorDepth": 24,
       "platform": "Win32",
       "language": "es",
       "hostName": "www.patreon.com",
       "characterSet": "UTF-8",
       "dstOffset": 60,
       "localTimezoneOffset": -60,
       "captureTime": 1397,
       "random": 739XXXXXX,
       "uuid": "1f1ad8a4-XXXX-XXXX-XXXX-XXXXXXXXXXXX"
     }
   }
 }

Entre esos datos aparecían por supuesto mis distintas IPs, mi email, las fechas, el tipo de navegador y la tecnología (sistema operativo y demás) utilizada.

Que ojo, es información de valor (de ahí puedes más o menos sacar conclusiones sobre, por ejemplo, el nivel adquisitivo de esa persona o los hábitos de consumo que tiene), pero sinceramente esperaba bastante más chicha…

Tres semanas más tarde (ya van casi cuatro meses desde que empecé a escribir este artículo) me contestaron desde Zeta, haciéndome loguearme en su servicio de ticketing para decirme que no tenían constancia de mis datos.

Del resto no he obtenido respuesta alguna.

¿Cuál es el verdadero riesgo de este tipo de valoraciones?

No me importa ser pesado en este punto, pero es que centralizar sistemas de este tipo tiene riesgos presentes y sobre todo a futuro.

Lo vivimos en su día con lo que pasó en Holanda y ese censo que además de tener los datos habituales que se piden en el censo, incluía la preferencia religiosa.

Cuando llegaron los nazis, el trabajo ya estaba hecho:

El 90% de los judíos holandeses murieron en el Holocausto.

Ahora extrapola esto a ese Costumer Score.

Sí, en efecto solo se está aplicando a nivel puramente comercial, como medida de seguridad para que las empresas proveedoras de productos y servicios tengan que correr menor riesgo.

Pero ¿quién te dice a ti que el día de mañana no sea un gobierno quien compre este sistema? ¿O un partido político? ¿O simplemente una empresa cuyo accionariado, además de ganar billetes, tiene una línea ideológica específica?

¿Qué hay si el día de mañana, como ya está ocurriendo en China, tu capacidad de acceder a un puesto de trabajo, a salir o entrar del país, depende de ese Costumer Score?

¿Si da la casualidad de que, como contaba en mis relatos, los UNOS (fiscalmente hablando) acaban siendo considerados una molestia para un porcentaje significativo de los negocios o de los servicios públicos? A fin de cuentas, hablamos de consumidores con un poder adquisitivo más bajo, y por tanto, que menos aportan y que probabilísticamente hablando más coste suponen a las arcas públicas.

¿Te preocupa tu Seguridad y Privacidad Online?

He diseñado este curso online en 8 módulos en el que cubriremos todos los fundamentos de la ciberseguridad, ayudándote paso por paso a configurar la seguridad y privacidad de tus cuentas digitales y de tus dispositivos.

El crédito social de occidente no ha entrado en este tipo de valoraciones, pero la base, que es el sistema de crédito social, YA está funcionando.

Y hoy es, en efecto, para fines comerciales. Y quiero pensar (al menos con mi caso fue así) que aún le falta mucho que mejorar. Pero ya veremos qué pasa el día de mañana…

________

¿Quieres conocer cuáles son mis dispositivos de trabajo y juego preferidos?

Revisa mi setup de trabajo, viaje y juego (ES).

Y si te gustaría ver más de estos análisis por aquí. Si el contenido que realizo te sirve en tu día a día, piénsate si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.