Cuidar de nuestros datos personales requiere casi el mismo esfuerzo que administrar nuestras finanzas, una tarea nada fácil. Cuando se cruzan los dos espacios es la tormenta perfecta, que se da cuando usamos aplicaciones de control de gastos. Hablamos de esas aplicaciones que nos permiten fijarnos presupuestos, gestionar el dinero para ahorrar para un viaje, una tele, un curso, una casa, la jubilación o cualquier otro gasto extra. En ellas volcamos todos nuestros pagos, incluídos derroches y caprichos. Pero, ¿te has planteado alguna vez cómo se usan luego esos datos?
En una investigación conjunta, Maldita.es, Tactical Tech y SocialTIC hemos analizado estas aplicaciones para comprender un poco mejor cómo manejan nuestros datos y cómo afecta eso a nuestra privacidad, teniendo en cuenta que les contamos con pelos y señales en qué gastamos nuestro dinero. Ya no sólo eso, sino cómo nosotros mismos manejamos la información personal que metemos en estos servicios.
Para indagar en el manejo de los datos de estos servicios, usamos tres métodos: solicitudes de derecho de acceso -una herramienta que recoge el Reglamento General de Protección de Datos (RGPD)-, un análisis técnico de las aplicaciones que seleccionamos y examinamos sus políticas de privacidad y condiciones de uso.
Por el camino, nos encontramos con cosas bastante intrigantes: una empresa llegó a entregarnos datos sobre una persona desconocida; una aplicación se negó inicialmente a enviarnos datos aunque lo exija la ley; comprobamos que algunas aplicaciones usan ‘rastreadores’ bastante agresivos que acceden a nuestros datos personales, y que se usan algoritmos para perfilarnos como usuarios. ¿Usas una de estas aplicaciones? Cualquiera de los casos que contamos en este reportaje podría ser el tuyo.
Máquinas que analizan tus datos
De entre las aplicaciones de finanzas personales disponibles para los usuarios en Europa, nos centramos en cinco: Fintonic, You Need a Budget (YNAB), Splitwise, Tricount y Revolut, una aplicación de banca móvil que también se ha utilizado para gestionar gastos en países como Rumanía. La selección de estas aplicaciones no fue arbitraria. Estaban entre las aplicaciones fintech (sobre tecnología financiera) más descargadas a finales de 2021 en España, Francia, Alemania o Rumanía, países que analizamos en nuestra investigación. Todas nos ofrecen servicios personalizados, desde compartir gastos con compañeros, amigos o desconocidos, hasta crear un presupuesto detallado para ahorrar dinero para un viaje, un máster o cualquier otro gasto que necesitemos planificar. A continuación vamos a explicar cómo analizan tus datos todas ellas.
Fintonic es una de las principales aplicaciones en España dedicada al control de gastos. Opera como una banca digital desde 2019, cuando recibió la licencia del Banco de España. Desde su lanzamiento en 2012 ha añadido cada vez más funciones, como la de contratar un seguro o solicitar un préstamo con otra empresa, y todos estos trámites se pueden realizar directamente desde la aplicación que, a su vez, sirve para gestionar el dinero. También tiene disponible una tarjeta propia para gastos.
Vincula nuestra cuenta bancaria y todos nuestros movimientos a la aplicación y a partir de ellos configura un presupuesto "inteligente" para cumplir ciertos objetivos. Los gastos se pueden categorizar en muchas áreas: ocio, transporte, vivienda, energía, banca, viajes, belleza, hoteles, inversión, salud, etc. Esto significa que la aplicación recopila todas las transacciones financieras y receptores de pago como si fuera un banco: desde el terapeuta al que visitamos hasta la escuela infantil a la que van nuestros hijos.
A partir de estos datos, usa un algoritmo de aprendizaje automático para calcular si estamos gestionando adecuadamente nuestros gastos al que llaman FinScore.
Fintonic promociona FinScore como un índice "imparcial" e "independiente" que puntúa lo bien (o fatal) que estamos gestionando nuestro dinero. Preguntamos a Fintonic cómo funciona exactamente este algoritmo, a lo que nos respondieron sólo que es el “resultado de un proceso de análisis de la información que Fintonic conoce de los usuarios en función de su perfil personal y su historial de movimientos”. La empresa no ha proporcionado más información al respecto.
En su página web mencionan que el algoritmo tiene en cuenta “160 variables”, entre ellas el nivel de ingresos, el saldo neto, los recibos que se devuelven o el historial crediticio (si hemos pedido un préstamo alguna vez, si lo devolvimos en plazo, etc.). La puntuación que devuelve el sistema informático es la que se comparte con los bancos asociados a Fintonic en caso de que quisiéramos contratar algún servicio con ellos, y son las entidades quienes deciden si se aprueba un préstamo u otro producto.
Se supone que la nota que nos da el algoritmo se actualiza a principios de mes. En algún momento, hay usuarios que han alertado de que la puntuación automática se mantuvo igual a pesar de que el saldo de su cuenta se fue incrementando y los gastos reduciendo: “Llevo con vosotros varios meses y la puntuación de FinScore no ha cambiado nada, aunque debería haberlo hecho (...) pues durante el confinamiento no he gastado prácticamente nada”.
Según nos informó Fintonic, la puntuación que genera su algoritmo sólo se transfiere a otras empresas con el consentimiento del usuario, lo que significa que, en teoría, tienen que preguntar a los usuarios cada vez que se comparte con terceros.
Comprobar esta y otras cuestiones relacionadas con los datos personales de los usuarios no es tarea fácil: la Política de Privacidad consiste en una escueta página web que nos proporciona poquitos detalles sobre nuestros datos y que nos lleva al final del texto a otra página titulada “Términos Legales y Protección de Datos”. Ahí mezcla las obligaciones que tienen los usuarios con los tipos de datos personales que recopila la aplicación. El formato no ayuda realmente a comprender de forma clara cómo se usa nuestra información personal.
Por su parte, Revolut también puede tomar decisiones automatizadas sobre sus usuarios, según los productos o servicios de la aplicación que utilicen: “Esto significa que podemos usar tecnología que pueda evaluar sus circunstancias personales y otros factores para predecir riesgos o resultados. Lo hacemos para asegurar el funcionamiento efectivo de nuestros servicios y para garantizar que las decisiones sean justas, consistentes y basadas en la información correcta”, dice su Política de Privacidad. Este proceso de decisiones automatizadas, de hecho, ha fracasado varias veces. Así lo han denunciado algunos usuarios de la aplicación de Revolut en Rumanía y otros países, cuyas cuentas fueron congeladas en base a la decisión de un algoritmo.
Revolut también actúa como un servicio de banca digital al operar transacciones y proporcionar tarjetas de pago. Al registrarse para obtener una cuenta, el usuario dará su consentimiento a una Política de Privacidad que contiene una larga lista de datos que recopilarán sobre ellos e incluso sobre su familia a partir de otras empresas. Todo esto es parte de un proceso de debida diligencia de la empresa hacia sus usuarios.
¿Tuviste un desliz anoche? Cuéntale a tu aplicación lo de la ‘pastilla del día después’
Saber si un servicio digital utiliza algoritmos para algún propósito es importante porque no 'ven' lo que una persona puede ver.
Pongamos un ejemplo. Al analizar los datos que nos enviaban las empresas, nos encontramos con un caso que hizo saltar nuestras alarmas. En la lista de gastos de uno de los usuarios, encontramos uno con el nombre “Pranzo”. Si una persona investigara ese conjunto específico de gastos, se daría cuenta de que el usuario probablemente estaba hablando de un "almuerzo", que se traduce al italiano como “pranzo”. El problema es que, en España, Pranzo es el nombre de un medicamento que se utiliza para tratar trastornos alimentarios, como la anorexia. Podríamos inferir que el usuario estaba de viaje en Italia analizando el resto de sus gastos pero, si aislamos la palabra de su contexto, sabiendo que el usuario es español y no italiano y dependiendo del tipo de algoritmo utilizado, una máquina podría interpretar que se gastó dinero en este medicamento.
Hemos convertido estas aplicaciones en pequeños diarios, que creemos que sólo nuestra pareja o nuestros amigos pueden leer si compartimos gastos con ellos. Esto llega al punto en el que nos sentimos lo suficientemente seguros como para anotar el día en que gastamos dinero en una píldora anticonceptiva -una pastilla ’del día después’-, sin ser conscientes de quién puede tener acceso a dicha información y cómo manejan esos datos (considerados confidenciales bajo el RGPD por relacionarse con la salud).
A veces, describimos los gastos con demasiada claridad o los anotamos como una broma interna, sabiendo que en una aplicación como Splitwise, donde compartimos gastos con amigos, los entenderán y tal vez se rían. Algo similar pasa en España con las transferencias por Bizum; mucha gente aprovecha para incluir conceptos disparatados para gastar una broma. Aun así, debemos tener en cuenta que si le decimos a Splitwise (o a cualquier otra de las aplicaciones mencionadas) que estamos gastando 50 euros en “setas” o 115 euros en “marihuana”, esto se va a quedar en la app (estos son ejemplos reales que obtuvimos en las respuestas a nuestras solicitudes). Registrado, almacenado y quizás procesado.
Splitwise es una aplicación que permite a los usuarios dividir facturas, realizar un seguimiento de las deudas y controlar los gastos con otras personas, como amigos, familiares, compañeros de casa, etc., que también tienen cuenta en la aplicación. A diferencia de otras aplicaciones que analizamos para esta investigación, este servicio no puede conectarse a la cuenta bancaria de un usuario.
La aplicación es propiedad de la empresa estadounidense Splitwise Inc. (registrada en el estado de Delaware y con sede en Rhode Island), y también está disponible para usuarios de toda Europa, que están sujetos a la protección del RGPD. Sin embargo, al aceptar la Política de Privacidad y Términos de Uso, los usuarios de Splitwise que residen en la UE aceptamos automáticamente que nuestros datos se transfieran a los EE.UU. y otras áreas donde las regulaciones de protección de datos pueden no cumplir con el RGPD.
Los términos de servicio de Splitwise establecen que los usuarios aceptan que su política de privacidad se interpretará de acuerdo con las leyes del Estado de Massachusetts en los EE.UU. El manejo de datos UE-EE.UU. de la empresa cumple con los marcos de protección de la privacidad UE-EE.UU. y Suiza-EE.UU., que ofrecen mecanismos para que las empresas que operan en estas áreas cumplan con los requisitos de protección de datos al transferir datos personales "en apoyo del comercio transatlántico".
Con Splitwise, podemos crear grupos privados para compartir gastos de actividades específicas como fiestas, viajes, cenas y otros eventos. También permite que las personas interactúen, comenten y planifiquen gastos conjuntos dentro de cada grupo, llevando funciones que normalmente tenemos asociadas a las redes sociales al ámbito de las finanzas. Nos permite etiquetar y localizar los gastos entre grupos; por lo tanto, cuantos más detalles se agreguen, más fácil será para la aplicación crear un perfil más completo de las personas y sus contactos en varios grupos.
Por ejemplo, a partir de las solicitudes de usuarios de la aplicación que nos han cedido sus datos, pudimos confirmar que Splitwise indexa información muy detallada sobre las relaciones, ubicaciones, estado de salud y actividades diarias de los usuarios, así como hábitos muy particulares, que podrían influir en el seguro del interesado o incluso en un futuro perfil crediticio. Por supuesto, los usuarios nutren la aplicación con toda esa información de forma voluntaria y la forma en que lo hacen determina los posibles riesgos para su privacidad a largo plazo.
Un ejemplo del nivel de detalle que empleamos en estas aplicaciones es el caso que encontramos en la lista de gastos de uno de los usuarios que nos donaron sus datos: escribir que hemos comprado “cervezas” y [comida] “vietnamita” junto a la palabra “vacuna” nos da una idea de que esa persona seguramente se haya vacunado contra la COVID-19 y que está de celebración.
Splitwise puede usar y compartir esa información tan específica para que otros servicios te coloquen publicidad relacionada: “Podemos enseñarte anuncios de apartamentos más baratos que tu apartamento actual basándonos en el gasto de alquiler que apuntes en nuestro sistema”, señalan en su Política de Privacidad. Esto significa que ya no es Splitwise la única empresa con acceso a lo que te gastas en tu alquiler. Ni a lo que te gastas en alcohol, en fiestas, en medicinas…
El hecho de que se puedan combinar datos para identificarnos y saber más sobre nosotros es muy relevante. Por ejemplo, a partir de los datos que obtuvimos durante nuestra investigación sobre usuarios de Tricount, pudimos mapear los detalles granulares de una persona, incluido el itinerario de un viaje completo: dónde fueron, dónde se quedaron, dónde comieron, qué atracciones visitaron, cuánto pagaban en comida y taxis, cuándo usaban su propio coche, e incluso cuándo ingresaban a un baño público en medio de la calle. Agregando a eso los nombres de las personas con las que estaban (algo que también se incluye en la aplicación), ¡voilá! Tenemos mucho material con el que trabajar.
Además, cuando hablamos de datos financieros, nos referimos a un impacto directo en los usuarios en el caso de que se trate con descuido la información personal vinculada a estas transacciones. “Los peores escenarios que se me ocurren en este contexto son las puntuaciones que pueden conducir fácilmente a la discriminación (decisiones basadas en puntuaciones individuales sobre la concesión de préstamos, seguros, etc.) y la suplantación de identidad y/o el fraude en el caso de filtraciones de datos”, alerta el abogado especializado en tecnología y protección de datos Rahul Uttamchandani en una entrevista con Maldita.es, cuando se le preguntó sobre el riesgo potencial.
Saben lo que hiciste la semana pasada, aunque no lo subas a redes sociales
Tricount, al igual que Splitwise, permite compartir los gastos de un viaje, por ejemplo, y calcular cómo repartirlos entre los diferentes participantes. También nos ofrece vías para pagar las deudas a través de PayPal o con un IBAN (una cuenta bancaria).
La aplicación solicita ciertos datos personales cuando los usuarios se registran: nombre, correo electrónico, número de teléfono, una foto de perfil si queremos y un IBAN si optamos por agregar una cuenta bancaria al servicio. Este registro se puede omitir si, en lugar de crear un nuevo perfil con Tricount, optamos por iniciar sesión con Facebook, Google o con una ID de Apple si usamos un dispositivo iOS.
Este inicio de sesión “social” permite a los usuarios que no quieran crear una cuenta desde cero usar la aplicación con un perfil que ya existe: el de la red social Facebook, en este caso. Al hacerlo le brindamos a Tricount acceso inmediato a un subconjunto de la información de nuestro perfil en Facebook. El alcance de esos datos depende de las preferencias de la empresa, pero también de cómo tengamos configuradas nuestras opciones de privacidad, y puede variar desde el correo electrónico y la foto de perfil hasta la lista de amigos, publicaciones, páginas que nos gustan, edad, sexo, cumpleaños, ubicación, ciudad natal o fotos subidas.
¿Esto cómo funciona? A través de un paquete de herramientas que Meta (Facebook) pone a disposición de desarrolladores y terceros, el Facebook Software Development Kit (SDK), que podríamos traducir al español como un kit de desarrollo de software. Incluye una serie de plugins y rastreadores que los editores, socios comerciales o anunciantes pueden usar para integrar su aplicación con Facebook y obtener datos sobre cómo los usuarios interactuamos con la plataforma y el servicio. De paso, obtienen información sobre cómo mejorar sus estrategias publicitarias.
“Estos socios brindan información sobre sus actividades fuera de nuestros Productos, incluida información sobre su dispositivo, los sitios web que visita, las compras que realiza, los anuncios que ve y cómo usa sus servicios, ya sea que tenga o no una cuenta o haya iniciado sesión en nuestros productos", establece la Política de Privacidad de Facebook ("Información de socios").
A través de esta función, un desarrollador de aplicaciones fintech podría decirle a Facebook qué hacen los usuarios dentro de la aplicación. Si la aplicación, en este caso Tricount, estuviera interesada en que usáramos una característica particular de pago (Tricount también tiene un servicio premium), podrían mostrarse anuncios relacionados con ella en la red social.
Cuando preguntamos a Meta por esta función, desde la empresa nos explicaron que están en proceso de restringir el acceso a los datos aún más para prevenir abusos en el uso. Entre estas medidas, dicen que eliminarán el acceso de los desarrolladores a los datos de Facebook e Instagram si el usuario no ha usado la aplicación en tres meses y que restringirán la información a la que puede acceder un desarrollador justo al empezar a usar este kit. Facebook, como proveedor de identidad de usuario de Tricount, puede obtener mucha información sobre el comportamiento de cada usuario dentro de la aplicación. Sabe a qué están accediendo en cada momento, desde qué dispositivo y muchos datos más. Esto le permite conocer mejor a los usuarios, incluyendo gustos, hábitos, intereses u horarios.
Al ser preguntado por qué información en particular podría recibir de una aplicación fintech, Meta nos dirigió a la página web de su mesa de ayuda, donde explican que "prohíben" a los proveedores de datos compartir datos financieros con ellos. Entre estos datos, especifican números de cuenta bancaria o tarjeta de crédito, ingresos, calificaciones crediticias o saldo bancario. No mencionan categorías de gastos ni hábitos de consumo.
El Gobierno de EE.UU. está más cerca de tus datos que tu madre
A veces, estos datos personales viajan desde Europa hasta Estados Unidos. Según el Reglamento General de Protección de Datos (RGPD), no se permite enviar datos de usuarios de aplicaciones a los EE.UU. u otros continentes si no es absolutamente necesario o sin permiso, porque las empresas deben proteger nuestros datos en un país que se ajuste a las leyes de protección de datos en Europa.
Antes de analizar cómo viajan estos datos, veamos cómo funciona You Need a Budget (YNAB). Es una aplicación de control de gastos que permite a los usuarios clasificar sus gastos en diferentes categorías y plantear un presupuesto. Vincular una cuenta bancaria y las respectivas transacciones es una opción si preferimos sincronizar automáticamente los gastos en lugar de incluir a mano cada desembolso. Tiene funciones muy específicas como el poder agregar plazos a las facturas mensuales, por ejemplo para pagar la luz o internet, e incluso da la opción de vincular una tarjeta de crédito y monitorizar sus operaciones.
YNAB está disponible para usuarios en países europeos, incluidos España, Francia, Reino Unido, Alemania, Rumania o Lituania, pero es una empresa con sede en EE.UU. (en el estado de Utah).
De acuerdo con su Política de Privacidad, almacenan el correo electrónico con el que nos registramos y las credenciales de inicio de sesión (nombre de usuario y contraseña), nombres de cuenta, saldos, transacciones y titularidad de las cuentas vinculadas a otros servicios financieros. También procesan datos de uso, gastos, ubicación (si la activamos) e información de los dispositivos. Esta información (datos de contacto, dirección, transacciones financieras y datos bancarios, etc.) se envía automáticamente a servidores ubicados en EE.UU. Esto es algo que YNAB nos confirmó a principios de febrero por correo electrónico: “YNAB es una empresa con sede en EE.UU. Estamos ubicados en los EE.UU.”
¿Por qué es importante señalar cuándo los datos personales se almacenan y procesan en los Estados Unidos y no bajo la jurisdicción europea?
“Hay un gran problema con las transferencias a los EE. UU., que es la Ley de Vigilancia de Inteligencia Extranjera (FISA), que se ha aplicado una y otra vez para restringir los derechos de protección de datos de los residentes de la UE. FISA permite un acceso desproporcionado a datos personales a través de programas de vigilancia y no permite una reparación judicial efectiva por parte de las personas después del hecho”, explica Rahul Uttamchandani.
Esto significa que hay más posibilidades de que nuestros datos sean tratados y accedan a ellos empresas de terceros que no conocemos, lo que implica una pérdida de control sobre nuestra información personal. Los datos considerados sensibles por el RGPD (registros de salud, por ejemplo) no pueden ser tratados en Europa para ponernos publicidad y, en teoría, no pueden ser transferidos a terceros sin el consentimiento del usuario o una justificación estricta que esté contemplada en el reglamento.
Por ejemplo, si el Gobierno de EE.UU. pidiera a una empresa como YNAB los registros de datos de un usuario, podría acceder a cierta información personal si llegara a vincular su cuenta bancaria a la aplicación. De esta forma, se transferirían datos personales introducidos en la aplicación, como correo electrónico, número de teléfono, cuenta bancaria, datos del dispositivo (incluida la ubicación, la dirección IP) o la edad o el sexo si esto se puede inferir u obtener directamente de los datos de la cuenta bancaria.
Para algunas empresas con sede en los EE.UU., el procesamiento de datos personales es básico para llevar a cabo sus operaciones. Un ejemplo que vemos una y otra vez es el de Meta (Facebook), una compañía que durante los últimos años ha obtenido el 99% de sus beneficios de la publicidad y que ha avisado en varias ocasiones de que su modelo de negocio depende de las transferencias de datos a EE.UU. En el informe anual de 2021 afirman directamente que “probablemente no podrán” seguir ofreciendo sus servicios a usuarios europeos si un nuevo marco regulatorio les impide enviar datos a los EE.UU., algo que “afectaría” su negocio y situación financiera.
En el caso de YNAB, todos los datos de los usuarios se procesan en EE.UU., aunque estemos usando el servicio en un país europeo. Autoridades de protección de datos, como el regulador francés de datos personales (Commission nationale de l'informatique et des libertés / CNIL), clasifican a los Estados Unidos como un país que "no garantiza un nivel adecuado de protección de datos reconocido por la UE".
En nombre de uno de los usuarios de esta aplicación, pedimos acceso a la información de estos datos a la compañía y le preguntamos directamente con qué destinatarios estaban compartiendo la información. A esta segunda parte, respondieron lo siguiente:
“Compartimos los datos personales con los siguientes destinatarios: servicios de análisis, servicio de correo electrónico, servicios en la nube, servicios de agregación financiera, servicios de registro, servicios de seguridad en la nube, servicios de marketing, procesadores de pagos y servicios de atención al cliente." (Fuente: comunicación por correo electrónico entre un representante de YNAB y el equipo de investigación).
Al responder a nuestra solicitud de derecho de acceso, la empresa también declaró que, si bien transfieren los datos personales "a destinatarios ubicados fuera del país de origen del interesado", utilizan "garantías apropiadas para proteger la información personal." No ofrecieron más información sobre cuáles son esas salvaguardas o dónde se encuentran los destinatarios.
Lo mismo pasa con Splitwise, que también envía datos de sus usuarios a Estados Unidos. En este país, además, los usuarios pueden conectarse y compartir pagos a través de la aplicación Venmo, propiedad de PayPal. El proyecto Exposing the Invisible de Tactical Tech publicó una investigación sobre los problemas de Venmo con la privacidad y la exposición de los datos personales de los usuarios que puede leerse en este artículo.
Esta es la primera parte de una serie de tres artículos sobre la investigación llevada a cabo por Maldita Tecnología (Maldita.es), Tactical Tech y SocialTIC. La producción de esta investigación fue apoyada por una subvención del Investigative Journalism for Europe (IJ4EU). Puedes leer la investigación completa y su metodología aquí.
Primera fecha de publicación de este artículo: 21/03/2022