¿Y si hubiera un sistema oculto que te rastreara y te otorgara una puntuación basada en cada llamada telefónica que realices? Esto puede parecer sacado de un episodio de Black Mirror o recordar al controvertido sistema de crédito social de China, pero para sorpresa tuya, la mitad de los usuarios de teléfonos móviles en el mundo ya forman parte de un sistema así. Incluso muchos de ellos están en Europa, un lugar que en teoría podría ofrecer fuertes regulaciones de protección a la privacidad.

Cómo funciona la creación de perfiles de comportamiento y por qué es problemática

NOYB, un grupo de abogados defensores de la privacidad, ha iniciado una demanda contra la empresa estadounidense TeleSign, el proveedor de telecomunicaciones belga BICS y su empresa matriz, Proximus. Alegan que estas empresas no están autorizadas a crear perfiles de comportamiento de miles de millones de usuarios de teléfonos móviles para otorgarles una "reputación" y una puntuación de "confiabilidad".

Esta puntuación puede afectar su acceso a servicios en línea. Si es mala, puede que bloqueen tu acceso a varias plataformas o estar sujeto a verificaciones adicionales, a las que los usuarios con una mejor puntuación no están expuestos. Estas restricciones son impuestas por los socios de TeleSign, que supuestamente incluyen a Microsoft, TikTok, Skype, LinkedIn y SalesForce. ¿Pero quiénes son BICS y TeleSign y qué hacen exactamente?

BICS es un gigante de las telecomunicaciones belga que conecta redes móviles de proveedores en más de 190 países. Al hacerlo, BICS accede a información personal de miles de millones de clientes. BICS conoce la frecuencia con la que las personas realizan llamadas, la duración de estas llamadas, cuánto tiempo pasan sin usar sus teléfonos, dónde se encuentran, cuándo reciben llamadas y de quién. Estos datos se comparten con TeleSign, que otorga "puntos de reputación" a números de teléfono y vende estos datos como una herramienta de prevención de fraudes llamada "Intelligence API". Cada mes, según TeleSign, la empresa "verifica más de 5 mil millones de números de celular," lo que representa "la mitad de los usuarios móviles del mundo" y "proporciona información crucial sobre los otros miles de millones."

¿El problema? Los usuarios de teléfonos móviles que confían su información personal a los operadores móviles no tienen idea de que esto está sucediendo.

El proceso destaca que el sistema también es problemático porque TeleSign está obligada a cumplir con las leyes de vigilancia de Estados Unidos, lo que significa que el gobierno estadounidense tiene acceso a estos datos. Enviar datos personales desde Europa a través del océano Atlántico es técnicamente ilegal sin un tratado válido de transferencia de datos entre la Unión Europea y Estados Unidos. El antiguo acuerdo, llamado Privacy Shield, fue cancelado en 2020 en parte porque se consideró que Estados Unidos era demasiado intrusivo y sus leyes de protección de privacidad no estaban alineadas con el estándar del GDPR en la UE. El resultado fue un vacío legal que dejó a muchas grandes tecnológicas como Meta enfrentando varias multas por continuar transfiriendo datos de usuarios europeos a Estados Unidos.

A principios de julio, Estados Unidos y la UE finalmente acordaron los detalles de otro acuerdo que funcionaría como sustituto, pero aún es incierto, ya que puede enfrentar desafíos legales

¿A qué datos accede TeleSign para determinar los puntos de reputación?

En su sitio web, TeleSign afirma que la puntuación de reputación depende de varios factores, pero la metodología exacta es de su propiedad. Entre los datos que TeleSign utiliza se incluyen números de teléfono y análisis, datos de organizaciones que permiten identificar si un número pertenece o no a un estafador, patrones de uso de teléfonos móviles, frecuencia de uso (que también puede indicar fraudes si se utiliza cada pocos minutos, por ejemplo) y predicciones de aprendizaje automático.

Dado que la metodología es propiedad de la empresa, no es posible saber qué detalles pueden influir positiva o negativamente en la puntuación final. Los usuarios pueden solicitar una copia de sus datos a TeleSign y algunos de ellos han descubierto que han recibido una evaluación de riesgo "de media a baja".

Aunque los usuarios pueden obtener sus datos de TeleSign, los operadores móviles parecen no saber que los datos de sus clientes están siendo enviados a TeleSign, según NOYB.

En resumen, tu acceso a un servicio en línea en particular puede estar bloqueado debido a un sistema de puntuación oscuro, operado por una empresa privada, que te otorga o quita puntos en base a criterios arbitrarios y que opera en secreto sin tu conocimiento.

Base legal: qué dicen BICS y TeleSign

El GDPR enumera seis bases legales para el procesamiento de datos personales, específicamente el consentimiento, el contrato, los intereses vitales, el deber público y los intereses legítimos. Estos últimos son los más flexibles y permiten que las empresas utilicen datos sin solicitar directamente el consentimiento de los usuarios. Por ejemplo, OpenAI utiliza "intereses legítimos" como justificación para recopilar y utilizar información personal disponible públicamente para entrenar modelos de IA como ChatGPT, que es la base de ChatGPT. Esta justificación es altamente cuestionable, y la práctica de OpenAI de recopilar información personal y otros datos de la web ha generado varios litigios acusando a la empresa de beneficiarse de violaciones de privacidad.

Tanto BICS como TeleSign afirman que sus "intereses legítimos" incluyen la detección o prevención de fraudes como base legal para el procesamiento de datos.

Fuente: Política de privacidad de TeleSign

En una entrevista con el periódico belga Le Soir el año pasado, Proximus, la empresa matriz de BICS y TeleSign, afirmó que transfieren todos los datos a través de “criptografía de extremo a extremo” y que los números de teléfono “están enmascarados para evitar la identificación individual.” En cuanto a los riesgos de privacidad asociados con la transferencia de datos de Brasil a Estados Unidos (que aún no cuenta con una ley de privacidad), la empresa afirma que ha tomado “medidas adicionales para evitar la identificación de individuos en caso de que los datos lleguen a manos de las autoridades o se filtren.” Sin embargo, los métodos utilizados por estas empresas para evitar que los datos caigan en manos equivocadas siguen siendo oscuros.

La demanda alega que las actividades de BICS y TeleSign van más allá de la prevención de fraudes y son desproporcionadas a los riesgos, ya que están centradas únicamente en el beneficio económico. BICS nunca informó a los usuarios sobre el procesamiento de datos, lo que potencialmente viola su deber de transparencia según el artículo 14 del GDPR.

¿Esto te recuerda algo?

Lo que hace el sistema de TeleSign es básicamente evaluar tu reputación, es decir, cuánto confiable eres basándose en cómo utilizas tu teléfono móvil. Hasta cierto punto, este sistema se asemeja al sistema de crédito social de China, ya que ambos evalúan la confiabilidad basándose en datos de comportamiento. Esto debería alertar a los usuarios preocupados por la privacidad.

Por supuesto, esta comparación entre TeleSign, BICS y el gobierno chino es un tanto exagerada. En primer lugar, el sistema de crédito social de China es una política gubernamental y no un producto comercial. En segundo lugar, el alcance de estas políticas es radicalmente diferente, ya que una de ellas prevé el seguimiento tanto en línea como en la vida real.

¿Cómo este sistema puede afectarte?

A pesar de las garantías de Proximus, BICS y TeleSign, tus datos no están seguros con ellos. Existe un riesgo evidente de procesamiento de datos en Estados Unidos, donde las leyes de protección de datos son débiles. Además, las garantías de seguridad propuestas en el nuevo acuerdo de transferencia de datos entre Estados Unidos y la Unión Europea aún enfrentarán desafíos legales. Los datos recopilados también podrían verse expuestos en caso de una filtración, lo que llevaría al robo de identidad. Además, quizás lo más preocupante de todo esto es la posibilidad de que los servicios se nieguen a los usuarios en función de su puntuación de reputación, calculada sin su conocimiento o consentimiento, sin posibilidad de corrección o eliminación de los datos simplemente porque desconocen su existencia.

¿Qué puedes hacer al respecto?

Gracias a la exposición que NOYB ha dado a esta práctica, cada vez más personas se enterarán de ella y exigirán su derecho a solicitar, corregir y eliminar sus datos de TeleSign. Esto se puede hacer a través de un formulario en el sitio web de TeleSign. Según su política de privacidad, es posible optar por no permitir que los datos sean vendidos y compartidos, incluso con el propósito de crear perfiles.

Fuente: Política de privacidad de TeleSign

Para evitar que se cree tu perfil por TeleSign u otras empresas similares, recomendamos usar números de teléfono diferentes para situaciones distintas o utilizar un número virtual en lugar de tu número real para registrarte en servicios en línea. Por ejemplo, si recibes muchas llamadas de trabajo, es mejor tener un teléfono separado solo para eso. De esta manera, no serás confundido con un estafador y no se te denegará el acceso a ciertos servicios.

Además, es importante estar al tanto de las leyes de protección de datos que te benefician, como solicitar los datos que las empresas tienen sobre ti y pedir que sean eliminados. También puedes tomar otras medidas para proteger tu privacidad, como el uso de una VPN, reducir la cantidad de datos compartidos en línea y tener más cuidado con los permisos otorgados a las aplicaciones. Estas medidas no evitarán directamente que se cree tu perfil basado en el uso de tu teléfono móvil, pero agregarán una capa adicional de privacidad durante tu navegación en línea.