MENÚ
Las aplicaciones que nos permiten controlar nuestros gastos y fijarnos presupuestos recopilan una cantidad de datos sobre nuestros hábitos de consumo que no compartiríamos siquiera con gente de nuestro entorno. Nos sentimos lo suficientemente cómodos como para volcar en ellas nuestros gastos, a pesar de que nuestra información personal se comparta con otras compañías que seguramente ni conocemos ni nos suenan por su nombre. Ojo, no es que nos lo pongan nada fácil a la hora de enterarnos, lo que va en contra de lo que dictan las leyes de protección de datos.
Es una de las conclusiones que hemos extraído de una investigación conjunta de Maldita.es, Tactical Tech y SocialTIC para la cual nos apoyamos en tres métodos: un análisis técnico de las aplicaciones seleccionadas (Fintonic, YNAB, Tricount y Splitwise), un diagnóstico de las políticas de privacidad y condiciones de uso de las mismas y solicitudes de derecho de acceso, una herramienta que recoge el Reglamento General de Protección de Datos (RGPD) y que nos permite conocer qué información recopilan las empresas sobre nosotros y con quién la comparten.
¿Ha sido todo coser y cantar? Ni mucho menos. Para preguntar a las empresas qué tipo de datos guardaban sobre los usuarios y cómo los manejaban, utilizamos el derecho de acceso que, como decimos, es un instrumento legal que se proporciona en el RGPD y se aplica a todos los ciudadanos de la UE, lo que significa que cualquier persona puede utilizarlo para solicitar el acceso a los datos que recopilan diversas entidades (empresas, servicios, instituciones públicas, etc.).
En la práctica, esto no es tan fácil y, en ocasiones, las empresas no están por la labor de cumplir el proceso a rajatabla. Cuando lo cumplen, puede pasar que cometan faltas que terminan creando una brecha de privacidad. En el proceso de investigación, nos ocurrieron las dos cosas. Por ejemplo, al enviar las solicitudes, una de las empresas nos envió los datos de una persona desconocida por error y no fue hasta que nos comunicamos con ella que pudieron enmendarlo. Una vez más, son los datos de un desconocido… Pero, ¿y si fueran los tuyos?
La ley aplica a todos, pero no todos saben aplicar la ley
¿Por qué es importante señalar esto? A veces, las empresas no respetan completamente las reglas en lo que respecta a cómo se pueden hacer estas solicitudes y tampoco responden a todo lo que deberían.
Hay muchas cosas que una solicitud de derecho de acceso nos permite saber. Por ejemplo, obtener una copia de los datos personales que guarda una institución sobre nosotros, pero también una serie de características que nos relacionan como usuarios. Nos da derecho a saber con qué empresas y servicios comparten nuestros datos y con qué propósito; si una empresa ha obtenido datos sobre nosotros de terceros (de otras compañías), o si se ha tomado alguna decisión automatizada que nos pueda afectar en cualquier ámbito de nuestra vida. Por ejemplo, la cancelación de una cuenta o la denegación de algún servicio financiero.
Como ciudadano de la Unión Europea, puedes pedirle a otra persona u organización que envíe una solicitud de derecho de acceso en tu nombre. Lo haces dándoles un poder notarial (a través de documentación escrita y un acuerdo) para representar y mandar tu solicitud y recibir la información en cuestión. Esto significa que puedes pedirle a Maldita.es o a Tactical Tech que consulten a una empresa sobre los datos que tienen sobre ti.
Es exactamente lo que hicieron los usuarios que nos dieron sus datos para realizar esta investigación. Una quincena de personas con diferentes características sociodemográficas que usaron al menos una de las cinco aplicaciones nos autorizaron a solicitar una copia de todos sus datos personales recopilados y almacenados por las empresas que las controlan.
Sin embargo, todavía es un procedimiento que no es habitual fuera de un entorno corporativo o legal: las solicitudes de derecho de acceso a empresas por parte de los ciudadanos no abundan. Eso hace también que, en ocasiones, las propias compañías desconozcan o decidan no aplicar las leyes de protección de datos como corresponde en lo que se refiere al derecho de acceso, tal y como nos explica Ángela Álvarez, miembro de la firma española especializada en el derecho de acceso MyDataMood.
En este caso, al menos una de las empresas propietarias de las aplicaciones no se mostró partidaria de cumplir con el derecho de representación que garantiza el RGPD por no ser nosotros sus titulares. Fintonic no quería enviarnos los datos que habían recopilado de los usuarios que nos autorizaron, a menos que fueran ellos quienes enviaran la solicitud (un requisito que no es necesario según la ley).
A veces las empresas lo saben y lo utilizan a su favor, como recuerda Álvarez: “Las empresas cumplen mal con el derecho de acceso. La mayoría retrasan sus respuestas e informan sobre algunos de los datos que tienen sobre los clientes, pero en la mayoría de los casos no brindan toda la información que deberían sobre ellos, y entregan sólo los datos declarativos que los propios usuarios les han facilitado, como su nombre o su dirección de correo electrónico…”.
En un primer momento, Fintonic nos mandó un archivo con muy pocos datos personales sobre nuestros donantes de datos hasta que le recordamos que el RGPD nos autoriza a hacer una solicitud en su nombre. Tras insistir en que faltaban muchos datos de los usuarios, denegó una vez más la solicitud aludiendo “motivos de seguridad” y mencionando la “privacidad de los usuarios”. Sólo logramos acceder a los datos después de pedir a los donantes de datos que se pusieran en contacto con Fintonic y autorizaran la transacción. Aun así, no nos llegaron a contestar a una de las consultas más importantes, que es el modo por el cual toman decisiones automatizadas sobre los perfiles de los usuarios a través de FinScore, su algoritmo de calificación.
“En raras ocasiones transfieren los datos privados de uso que la empresa utiliza para prestar el servicio”, afirma Álvarez. "Otros problemas, como la lógica que siguen los algoritmos de creación de perfiles, prácticamente nunca son mostrados por la empresa", añade.
Existe una contradicción entre las razones que argumentó la compañía para denegar nuestra solicitud y los requisitos legales para hacerlo. Aparentemente, se podrían entregar datos personales como nombres, números de teléfono o direcciones IP, pero no los datos de los usuarios vinculados al servicio. En este caso: información financiera que se está recopilando, con quién la comparten o los criterios que utilizan para asignar la puntuación de crédito FinScore a los usuarios. Insistimos en que se trata de información que las disposiciones del RGPD permitirían conocer a un usuario y la negativa a facilitarla podría reclamarse ante la Agencia Española de Protección de Datos (AEPD).
En cuanto al resto de las solicitudes, ninguna, excepto YNAB, entregó la información adicional especificada en la solicitud antes de que les volviéramos a preguntar explícitamente al respecto.
Eliminar tu cuenta no significa eliminar tus datos
No es baladí cuando decimos que, como usuarios, apenas somos conscientes de cómo se manejan nuestros datos. Esto se vuelve aún más importante cuando hablamos de datos financieros, lo que significa que entramos en una esfera más privada que tiene que ver con cómo nos gastamos el dinero. De esto nos dimos cuenta cuando descubrimos que una de las empresas a las que enviamos una solicitud de derecho de acceso nos mandó una copia de los datos personales que guardaban... de otro usuario.
En este caso particular, solicitamos a una de las aplicaciones los datos de un usuario que había dejado de usarla hace unos meses. La empresa nos informó que debido a que esta persona había eliminado la cuenta, ya no almacenaba datos financieros. Sin embargo, mantuvieron un archivo con algunos datos personales, como la dirección de correo electrónico, la dirección IP, la ubicación, el tiempo de uso, los datos del dispositivo y también las categorías presupuestarias que el usuario había activado. Por ejemplo, si estaba guardando dinero para unas vacaciones o para un plan de jubilación.
Recibimos toda esta información de un usuario, con la particularidad de que no se correspondía con la persona en cuyo nombre habíamos mandado la solicitud. La empresa no se dio cuenta hasta que preguntamos por algunas incongruencias en la lista de datos. Resultó que, al igual que la persona que nos cedió sus datos voluntariamente para esta investigación, la víctima de la brecha también había eliminado su cuenta. No en 2021 como lo hizo nuestro usuario, sino en 2019. Entonces, había cerrado su cuenta después de un mes de uso, que coincidía con la prueba gratuita de la app.
Como se indica en la política de privacidad de la app en cuestión, si el usuario no llegaba a usar el servicio de suscripción completo, los datos no se conservarían más allá de unos cuantos meses. Según los datos del usuario equivocado a los que tuvimos acceso, esta información debería haberse eliminado, a más tardar, en 2020. Pero, como hemos visto, dos años después, la aplicación y su empresa aún pueden acceder a esos datos.
Esto es algo que hay que tener en cuenta desde el punto de vista de la seguridad: en caso de que la empresa sufra una filtración de datos, los datos de una persona que no haya utilizado el servicio durante tres años completos también serían accesibles para los ciberdelincuentes. Con una lista tan amplia de datos personales, podrían suplantar su identidad, cometer fraude o venderla a data brokers, entre otras cosas.
En nuestro caso, la empresa nos informó tan pronto como se detectó este error que la víctima había sido alertada de que se habían revelado “datos personales limitados” a terceros.
“Este fue un error que ocurrió por primera vez debido al procesamiento manual de la solicitud, y hemos notificado al usuario específico que se vio afectado. Los datos financieros del usuario se eliminaron de acuerdo con nuestra Política de privacidad y, por lo tanto, no se divulgaron. La privacidad de nuestros usuarios es y seguirá siendo nuestra prioridad número uno”, nos respondió la empresa en cuestión en un comunicado.
El nombre de la empresa no se revela ya que no hemos podido verificar si el incumplimiento se debió a un error de procedimiento, técnico o humano.
Alfabetización digital para que las empresas rindan cuentas sobre nuestros datos
Los obstáculos que nos encontramos y los resultados que conseguimos nos mostraron hasta qué punto el derecho de acceso a la información puede ser desafiante, confuso y, a veces, inalcanzable para los usuarios que no tienen experiencia en derechos digitales o no disponen de tiempo para realizar una investigación profunda sobre cómo ejercerlos.
Un reciente Eurobarómetro sobre la concienciación sobre los derechos digitales también demuestra este fenómeno: tres cuartas partes de la población europea encuestada (76%) admite que les sería positivo obtener más información acerca de sus derechos y responsabilidades al usar servicios digitales. En el caso de las personas jóvenes, el porcentaje aumenta hasta el 90%.
El eurobarómetro también muestra que algo más de un tercio (39 %) de la población de la UE es consciente de que sus derechos también deben ser protegidos en el ámbito digital, como el de no ser discriminado y preservar su privacidad y que casi la mitad (46 %) de los ciudadanos de la UE admiten que les preocupa cómo las empresas e instituciones procesan y utilizan sus datos personales.
En esta línea, un estudio cualitativo realizado por Maldita.es revela que los ciudadanos en España identifican un problema en el tratamiento de sus datos y reconocen que su privacidad en el ámbito digital está dañada, pero no hacen nada para revertir la situación. Los entrevistados admiten que no leen las políticas de privacidad y tampoco son capaces de señalar las consecuencias que puede llegar a tener una filtración de datos o el uso indebido de los mismos. Ven los posibles resultados perjudiciales como algo que probablemente afectará a otras personas, pero no a ellos mismos.
Hay algunos aspectos importantes que tener en cuenta al decidir si confiar y entregar nuestros datos a aplicaciones fintech como las analizadas en esta investigación. Por supuesto, insistimos en que estas recomendaciones pueden ser válidas para cualquier otra aplicación. Antes, es importante recordar que no las queremos demonizar: pueden ser muy útiles para monitorizar nuestras finanzas personales, pero es relevante saber que hay contraprestaciones relacionadas de las que puede que no seamos conscientes. Ganamos algo, pero damos algo a cambio muy valioso, nuestros datos y nuestra información más personal.
Antes de utilizar un servicio, debemos saber lo que está en juego. Por ejemplo, los datos de los usuarios no solo van a la empresa en particular que proporciona el servicio de la aplicación, sino a una larga lista de servicios y empresas de terceros que pueden acceder y utilizar los datos personales y las estadísticas de los usuarios para diferentes propósitos. A este nivel, la concienciación de los usuarios sólo se puede lograr si sabemos cómo funcionan estos servicios y no es una tarea fácil.
Leer las políticas de privacidad y cuestionarnos aquello que no entendemos es el primer paso. Por ejemplo, ¿cuál es ese servicio o empresa del que nunca he oído hablar y que puede acceder y procesar datos desde mi aplicación de presupuesto? ¿Cuál es ese rastreador que usa mi aplicación para analizar mis hábitos de gasto y colocar anuncios en mi aplicación? ¿Por qué es necesario y cómo funciona?
Cuando comenzamos a usar una aplicación, financiera o de otro tipo, debemos recordar que nos comprometemos a una serie de interacciones y condiciones tan pronto como la abrimos y hacemos nuestro primer uso. A menudo, "aceptamos" los términos de servicio y las políticas de privacidad en cuanto se nos solicita que lo hagamos, rara vez investigamos más. Además, en algunos casos, ni siquiera podemos usar la aplicación o las funciones clave para las que nos registramos a menos que hayamos marcado que estamos "de acuerdo". A veces ni siquiera somos conscientes de estar de acuerdo porque sólo queremos usarlo y lo que necesitamos es tomar conciencia sobre cómo funciona.
Aprender a enviar una solicitud de derecho de acceso, el proceso de solicitud de datos que hemos descrito en este artículo, es una de las formas de lograrlo. Pero como hemos visto, queda un largo camino por recorrer.
Esta es la tercera parte de una serie de tres artículos sobre la investigación llevada a cabo por Maldita Tecnología (Maldita.es), Tactical Tech y SocialTIC. Puedes consultar el resto de artículos en los enlaces a la primera entrega y la segunda entrega. Puedes leer la investigación completa y su metodología aquí. La producción de esta investigación fue apoyada por una subvención del Investigative Journalism for Europe (IJ4EU).
