Los data brokers —también llamados corredores de datos— son empresas que recopilan, empaquetan y venden tus datos personales a terceros. Sin contrato contigo. Sin pedirte permiso explícito. Sin que tengas la menor idea de que existen. El tráfico de datos personales mueve miles de millones de euros al año, y tú eres el producto. Tu nombre, dirección, historial de compras, estado civil, estimación de ingresos, búsquedas recientes: todo tiene precio. Y si te preguntas cómo eliminar tus datos de internet, la respuesta corta es que se puede, pero requiere paciencia y saber a quién reclamar. La respuesta larga es este artículo.
Qué son exactamente los data brokers y cómo consiguen tus datos
Un data broker es una empresa cuyo modelo de negocio consiste en agregar información personal de millones de personas y venderla. No hackean nada. No necesitan. Recopilan datos de fuentes legales —o al menos, en una zona gris lo bastante amplia como para operar tranquilamente—.
Sus fuentes principales son:
- Registros públicos: catastro, BOE, registros mercantiles, censos electorales, boletines oficiales de las comunidades autónomas.
- Redes sociales: todo lo que publicas en abierto (y a veces lo que no, si las condiciones de uso lo permiten).
- Programas de fidelización: tarjetas de puntos de supermercados, apps de cashback, concursos y sorteos online.
- Cookies y trackers: esos banners que aceptas sin leer. Cada clic alimenta un perfil.
- Compraventa entre brokers: se venden datos entre ellos, creando perfiles cada vez más completos.
Empresas como Acxiom, Oracle Data Cloud, Equifax o Experian manejan perfiles de cientos de millones de personas. Acxiom, por ejemplo, presume de tener datos sobre más de 2.500 millones de consumidores a nivel global. No son hackers en un sótano. Son corporaciones cotizadas en bolsa.
Qué datos venden y a quién
La pregunta no es qué datos tienen. Es qué datos no tienen. Un perfil típico de un corredor de datos puede incluir:
| Categoría | Ejemplos concretos |
|---|---|
| Identificación | Nombre completo, DNI, fecha de nacimiento, dirección postal |
| Contacto | Email, teléfono, perfiles en redes sociales |
| Financiero | Estimación de ingresos, historial crediticio, propiedades |
| Comportamiento | Historial de compras, búsquedas, webs visitadas |
| Salud (inferido) | Compras en farmacia, búsquedas de síntomas, apps de fitness |
| Político/religioso | Donaciones, afiliaciones, participación en eventos |
¿Los compradores? Agencias de publicidad, aseguradoras, empresas de recursos humanos, fondos de inversión, partidos políticos y, ocasionalmente, estafadores. Porque cuando tus datos circulan por decenas de intermediarios, el control sobre quién los compra al final se diluye. Esto conecta directamente con el problema del phishing personalizado que llega con tu nombre y dirección real: los atacantes no adivinan tus datos, los compran.
El marco legal: RGPD, la LOPDGDD y lo que realmente puedes hacer
Europa tiene la legislación de protección de datos más estricta del mundo. El Reglamento General de Protección de Datos (RGPD), en vigor desde mayo de 2018, y la LOPDGDD española (Ley Orgánica 3/2018) te dan armas reales contra los data brokers. El problema es que la mayoría de la gente no sabe que las tiene.
Tus derechos concretos:
- Derecho de acceso (art. 15 RGPD): puedes pedir a cualquier empresa qué datos tiene sobre ti.
- Derecho de supresión (art. 17 RGPD): puedes exigir que los borren. Es el famoso "derecho al olvido".
- Derecho de oposición (art. 21 RGPD): puedes prohibir que usen tus datos para perfilado o marketing.
- Derecho a la portabilidad (art. 20 RGPD): puedes pedir tus datos en formato legible por máquina.
Si una empresa no responde en 30 días, puedes presentar reclamación ante la Agencia Española de Protección de Datos (AEPD). Las multas del RGPD llegan hasta el 4% de la facturación anual global de la empresa. Eso sí duele, incluso a las grandes.
El matiz: muchos corredores de datos operan desde EE.UU., donde la regulación es un patchwork de leyes estatales. California tiene la CCPA/CPRA, Vermont exige que los data brokers se registren públicamente, pero a nivel federal no existe un equivalente al RGPD. Si tus datos acaban en manos de un broker americano, la reclamación se complica.
Cómo eliminar tus datos de los principales data brokers
Vamos a lo práctico. Eliminar datos de internet requiere un enfoque sistemático. No basta con borrar tu cuenta de Facebook y cruzar los dedos.
Paso 1: Identifica quién tiene tus datos. Busca tu nombre completo en Google entre comillas. Visita sitios como Spokeo, WhitePages, BeenVerified o PeopleFinder. Si apareces, esos son data brokers que venden tu perfil.
Paso 2: Solicita la eliminación uno por uno. La mayoría tienen formularios de opt-out enterrados en sus webs. Algunos lo ponen fácil. Otros requieren que envíes una copia de tu DNI (irónico, ¿verdad?). Los principales y sus páginas de eliminación:
- Acxiom: isapps.acxiom.com/optout
- Oracle/Datalogix: formulario de privacidad en oracle.com
- Spokeo: spokeo.com/optout
- WhitePages: whitepages.com/suppression-requests
- BeenVerified: beenverified.com/app/optout
Paso 3: Usa servicios de eliminación automatizada. Herramientas como DeleteMe, Kanary o Incogni (de Surfshark) monitorizan decenas de data brokers y envían solicitudes de eliminación en tu nombre. Cuestan entre 6 y 15 € al mes, según estimaciones de 2025. Si valoras tu tiempo, puede merecer la pena.
Paso 4: Controla la fuente. Revisa los permisos de tus apps, desactiva la personalización de anuncios en Google (myactivity.google.com) y Apple, y asegura tus cuentas con contraseñas únicas y robustas. Cada formulario que rellenas, cada app que instalas, cada wifi pública a la que te conectas genera datos que alimentan a los brokers.
Y una nota sobre los asistentes de voz como Alexa o Google Home: sus grabaciones también alimentan perfiles de usuario que acaban, directa o indirectamente, en manos de terceros. Revisa la configuración de privacidad de cada uno.
Herramientas para auditar tu exposición
Antes de entrar en pánico, conviene saber cuánto de ti ya circula por ahí. Estas herramientas te dan una radiografía rápida:
- Have I Been Pwned (haveibeenpwned.com): comprueba si tu email aparece en filtraciones conocidas. Creado por Troy Hunt, indexa miles de millones de registros de brechas como las de LinkedIn, Adobe o Dropbox.
- Google Alerts: configura alertas con tu nombre completo y variaciones. Te avisará cuando aparezcas en nuevas páginas.
- Mozilla Monitor (anteriormente Firefox Monitor): similar a HIBP, con recomendaciones de acción.
- Permission Slip (de Consumer Reports): app que envía solicitudes de eliminación a empresas americanas en tu nombre.
Si gestionas dispositivos inteligentes en casa, ten en cuenta que el ecosistema domótico también genera datos que pueden acabar en manos de brokers. Cada sensor, cada cámara, cada termostato conectado es un punto de recopilación.
El negocio invisible: cifras del tráfico de datos personales
El sector de los corredores de datos no suele aparecer en titulares. Prefieren la discreción. Pero el dinero habla: según estimaciones del sector, la industria del tráfico de datos personales genera en torno a 250.000 millones de dólares anuales a nivel global. Solo en EE.UU., el estado de Vermont —el único que obliga a los data brokers a registrarse— tenía más de 480 empresas registradas en 2024.
Algunos casos que ilustran la escala:
- Equifax (2017): una brecha expuso datos de aproximadamente 147 millones de personas. Equifax es, simultáneamente, una agencia de crédito y un data broker. Pagó 700 millones de dólares en acuerdos legales.
- Cambridge Analytica (2018): usó datos de unos 87 millones de usuarios de Facebook para perfilado político. No era un data broker clásico, pero usó las mismas técnicas.
- Clearview AI: recopiló miles de millones de fotos de redes sociales para crear una base de datos de reconocimiento facial. Multada por varias autoridades europeas de protección de datos —Italia, Francia y Grecia le impusieron sanciones de 20 millones de euros cada una— bajo el RGPD.
Estos no son hackeos sofisticados con exploits de día cero. Son modelos de negocio. La diferencia entre un data broker y un ciberdelincuente a veces es solo un contrato de términos y condiciones que nadie lee.
Preguntas frecuentes
¿Es legal que una empresa venda mis datos personales en España?
Depende. Bajo el RGPD, necesitan una base legal: consentimiento explícito, interés legítimo o contrato. Si nunca diste tu consentimiento informado, puedes ejercer tu derecho de oposición y supresión ante la empresa y, si no responde, reclamar ante la AEPD.
¿Cómo sé si un data broker tiene mis datos?
Busca tu nombre en Google entre comillas y revisa sitios como Spokeo, WhitePages o BeenVerified. También puedes ejercer tu derecho de acceso (art. 15 RGPD) enviando un email al DPO de cualquier empresa que sospeches que maneja tu información.
¿Sirve de algo pedir que borren mis datos si ya los han vendido a terceros?
Sí, pero con matices. La empresa está obligada a informar a los terceros a quienes cedió tus datos de tu solicitud de supresión (art. 19 RGPD). En la práctica, es un juego de persecución: borras en un sitio, pero tus datos pueden seguir en otros. Por eso los servicios de eliminación continua como DeleteMe o Incogni repiten el proceso cada pocos meses.
¿Los data brokers operan también en Europa o solo en EE.UU.?
Operan globalmente. Empresas europeas como Bisnode (ahora parte de Dun & Bradstreet) o Acxiom tienen operaciones dentro de la UE y están sujetas al RGPD. El problema son los brokers que operan desde jurisdicciones con regulación más laxa y procesan datos de europeos sin cumplir la normativa.
El siguiente paso
Entra ahora en haveibeenpwned.com, introduce tu email principal y comprueba en cuántas filtraciones apareces. Ese número te dará una idea real de cuánto de ti ya circula fuera de tu control. A partir de ahí, elige los tres data brokers más grandes donde aparezcan tus datos y envía tu primera solicitud de eliminación. No te llevará más de veinte minutos. Y es el primer paso para dejar de ser un producto que se vende en silencio.
