Equifax, la industria de la información crediticia y lo que el Congreso debe hacer a continuación

Incluso para los expertos, la reciente violación de datos en Equifax fue asombrosa. Los datos en los que se basa el historial crediticio de 143 millones de consumidores se vieron comprometidos. Los números de la seguridad social, las fechas de nacimiento y los registros del carné de conducir se utilizan para autenticar la identidad. No es difícil cambiar el número de una tarjeta de crédito, pero cambiar los números de la Seguridad Social y las fechas de nacimiento es una cuestión completamente diferente. Las filtraciones de datos van en aumento en los Estados Unidos. Es hora de que el Congreso actúe. ¿Por qué esto requiere que el Congreso tome medidas? Hay al menos cinco razones principales por las que el sector privado no puede gestionar este tema por sí solo:

El robo de identidad es una de las principales quejas de los consumidores. La Comisión Federal de Comercio informó 399.225 casos de robo de identidad en los Estados Unidos en 2016. De esa cifra, el 29% se refería al uso de datos personales para cometer fraude fiscal. Más del 32% informó de que sus datos se habían utilizado para cometer fraude con tarjetas de crédito, un fuerte aumento con respecto al 16% de 2015. Un informe de 2015 del Departamento de Justicia reveló que el 86% de las víctimas de robo de identidad sufrió un uso fraudulento de la información de una cuenta existente, como información de tarjetas de crédito o cuentas bancarias. El mismo informe estimó el coste en 15 400 millones de dólares.

Las medidas actuales no funcionan. Cuando se producen filtraciones de datos, se ruega a los consumidores que consulten un sitio web para ver si se han visto afectados. Se les ofrecen servicios de supervisión crediticia por tiempo limitado y se les anima a comprobar los informes crediticios para ver si hay transacciones extraviadas. Este protocolo ha hecho poco para detener el aumento de las filtraciones de datos y los robos de identidad en los Estados Unidos. Y como la mayoría de las leyes estatales sobre la notificación de violaciones de datos no establecen límites de tiempo estrictos, los consumidores se enteran de que sus datos han sido robados mucho después de que se produjera el crimen.

Equifax consultó ese guion, esperó más de un mes para notificar la infracción al público y, a continuación, creó un sitio web para ofrecer información a los consumidores. Se produjeron varios problemas. La empresa solicitó aún más datos personales (los seis últimos números de seguridad social de las personas). El sitio no funcionaba y la empresa intentó aprovechar la interacción como una oportunidad para eximirse de responsabilidad.

Esta no es una respuesta empresarial viable ni una política pública sensata. Los consumidores no deberían cargar con la carga cuando se producen filtraciones de datos. Y la laxitud de la respuesta pone en peligro los flujos de datos globales.

Las filtraciones de datos podrían perjudicar el comercio de EE. UU. con Europa. El anuncio de la violación de Equifax se produjo una semana antes de que altos funcionarios de la Unión Europea llegaran a los Estados Unidos para llevar a cabo la primera revisión anual de «Escudo de privacidad», un acuerdo de comercio de datos entre la UE y EE. UU. que permite la transferencia de datos personales de los consumidores europeos a firmas estadounidenses fuera de los canales legales normales. El acuerdo se basa en la creencia de que los Estados Unidos proporcionarán una protección de datos suficiente para los datos personales obtenidos del otro lado del Atlántico. El Escudo de Privacidad es necesario, ya que la Casa Blanca lo explicó la semana pasada, para «permitir el libre flujo de la información, lo que sustenta el comercio de bienes y servicios de casi 1 billón de dólares a través del Atlántico e incluso más en todo el mundo». Pero Privacy Shield también se enfrentó a una feroz oposición por parte de grupos de consumidores de ambos lados del Atlántico, de los principales funcionarios de privacidad europeos y, ahora, posiblemente de los políticos europeos. La BBC informó de que sobre 400 000 británicos se vieron afectados por la violación de Equifax. Los políticos de los EE. UU. y la UE buscarán soluciones, pero las medidas pequeñas no resolverán el problema.

Se han pedido los números de la Seguridad Social para hacer demasiado. Es hora de dejar de usar los números de seguridad social (SSN) como identificador de uso general. Hoy en día, los consumidores estadounidenses sufren niveles récord de robo de identidad y fraude financiero, que se deben en gran medida al uso no regulado del SSN en el sector privado. Los números contribuyen a sistemas de contraseñas inseguros (muchas cuentas siguen utilizando por defecto los últimos cuatro dígitos del SSN), a una identificación incorrecta y a que la elaboración de perfiles y la toma de decisiones sean secretas. El SSN nunca tuvo la intención de usarse de esta manera y ahora vivimos con las consecuencias. Los usos futuros del SSN en el sector privado solo deberían realizarse con autoridad legal, y el Congreso también tiene que asumir la responsabilidad. Si el Congreso no autoriza el uso del SSN, un número creado por el gobierno federal, el número no debe utilizarse para transacciones comerciales.

El sector de la información crediticia tiene defectos fundamentales. El problema principal del sector de la información crediticia es que no funciona. En el mejor de los casos, la información que proporcionan los agentes de datos a las empresas es inexacta, incompleta o desactualizada. En algunas circunstancias, a las personas se les niega injustamente el trabajo, la vivienda y el crédito. En otras circunstancias, los datos contribuyen al robo de identidad. En casi todas las circunstancias, los consumidores no conocen la recopilación y el uso de sus datos personales por parte de otros.

Próximos pasos

Las reformas no solo deberían solucionar estos problemas, sino también tener como objetivo transformar la industria para mejor. Las agencias de informes crediticios deberían ofrecer servicios de supervisión crediticia gratuitos y de por vida. A continuación, las agencias de información crediticia deberían cambiar la configuración predeterminada de acceso de terceros a los informes crediticios. En lugar de la configuración actual, que permite a prácticamente cualquier persona consultar el informe crediticio de una persona, las agencias de información crediticia deberían establecer una congelación crediticia para todas las divulgaciones. Los consumidores seguirían teniendo la posibilidad de divulgar la denuncia cuando así lo decidan. Las agencias de informes crediticios también deberían enviar un informe anual gratuito a todos los titulares de tarjetas de crédito con toda la información sobre los consumidores que se recopiló, a quién se proporcionó y con qué propósito se utilizó. Las leyes actuales permiten a los consumidores acceder a informes crediticios gratuitos, pero el proceso es engorroso y pocos consumidores lo aprovechan. Un mercado racionalizado ayudaría a garantizar que los consumidores dispongan de la mayor cantidad de información posible sobre el uso de sus datos personales por parte de otros.

El sector de la información crediticia es un blanco fácil. Es bien conocido y sus problemas están ampliamente documentados. Pero la realidad es que la puntuación de los consumidores es un campo en rápido crecimiento, con las empresas ahora eliminar sitios web para recopilar datos de perfil que se vende a terceros. Muchos de los errores conocidos de los 50 años de historia de los informes crediticios (imprecisión, discriminación) son agravado en el campo de la puntuación de los consumidores. Los marcos normativos modernos necesitarán nuevos principios de protección de datos, como la minimización de los datos y la transparencia algorítmica.

Los consumidores y las empresas se enfrentan a una verdadera crisis. El riesgo de que aumente el robo de identidad como resultado de la violación es real. Equifax creó este problema en particular y debería ser responsable de la limpieza. Pero este problema va mucho más allá de Equifax.

Una mayor transparencia garantiza una mayor responsabilidad, esa es la paradoja esencial de la protección de la privacidad. Pero la privacidad del consumidor no es un objetivo alcanzado por los mercados. Debe ser un mandato del Congreso. Al fin y al cabo, los consumidores también son votantes.