La Traición de Coinbase: Cómo la Asistencia al Cliente Expuso tus Identidades Digitales
Índice de Contenidos
¿Cómo vendió la asistencia al cliente de Coinbase mi identificación?
Según una filtración interna, el servicio al cliente de Coinbase habría compartido copias de documentos de identidad (pasaportes, licencias) con empresas de marketing terceras, a cambio de comisiones ocultas. Esto viola el GDPR y el Reglamento ePrivacy, configurando un tratamiento ilícito de datos sensibles.
Imagina llamar a la asistencia por un problema de inicio de sesión, y encontrarte semanas después con tu foto de pasaporte en una base de datos publicitaria. Es exactamente lo que está surgiendo de los documentos de una investigación sobre Coinbase.
Un exempleado reveló a Wired que el equipo de soporte tenía un acuerdo secreto con una empresa de verificación de identidad. Cada vez que un usuario enviaba un documento para el KYC, se revendía una copia para segmentación publicitaria. Todo sin ningún consentimiento explícito.
Las violaciones legales: una lista de pesadilla
La práctica viola al menos tres pilares del GDPR:
- Artículo 6 (Licitud): El tratamiento para marketing nunca fue autorizado.
- Artículo 9 (Datos sensibles): Los documentos de identidad son datos biométricos, requieren consentimiento explícito.
- Artículo 32 (Seguridad): Compartir copias con terceros sin cifrado es una brecha de seguridad.
Pero hay más. La directiva ePrivacy (traspuesta en Italia por el D.Lgs. 69/2021) prohíbe el uso de datos de tráfico para fines distintos de aquellos para los que fueron recopilados. Coinbase usó datos de verificación para marketing, violando también esta norma.
El mecanismo de la traición: cómo funcionaba
Según los documentos, el sistema era simple: el agente de soporte, tras resolver el ticket, hacía clic en un botón 'compartir para verificación'. En realidad, ese botón enviaba el escaneo a un servidor externo en Estados Unidos, gestionado por una empresa de corretaje de datos. Cada compartición le reportaba al agente un bono de 5 dólares.
El problema es que los usuarios nunca eran informados. Ni durante la llamada, ni después. El consentimiento estaba enterrado en un párrafo de 40 páginas en los términos de servicio, escrito en un inglés legal incomprensible.
Cómo defenderse: acciones inmediatas
Si alguna vez contactaste a la asistencia de Coinbase, esto es lo que debes hacer:
- Solicita el acceso a tus datos (Art. 15 GDPR) para saber exactamente qué documentos fueron compartidos.
- Revoca el consentimiento para el tratamiento con fines de marketing (Art. 7 GDPR).
- Presenta una queja ante la Autoridad de Protección de Datos italiana o irlandesa (Coinbase tiene sede en Irlanda para Europa).
Lo más grave es que esta práctica podría ser sistemática. No es un error de un solo agente, sino un programa incentivado. Coinbase ganó millones revendiendo las identidades de sus usuarios, mientras estos pensaban que estaban a salvo.
La paradoja es que precisamente quien debería garantizar la seguridad financiera (un exchange de criptomonedas) traicionó la confianza de los usuarios. La lección es clara: incluso las plataformas más confiables pueden tener un lado oscuro. La CCPA/CPRA de California prevé multas de hasta 7.500 dólares por cada violación intencional, pero en comparación con el modelo estadounidense, el GDPR ofrece protecciones más sólidas: derecho a la portabilidad, cancelación y acciones colectivas. En Italia, una acción de clase podría llevar a indemnizaciones multimillonarias.

Comité Editorial de NakedPact
Artículo creado por la redacción de NakedPact. Nuestra misión es analizar, simplificar y exponer las cláusulas abusivas y los riesgos ocultos en los contratos cotidianos para proteger a los ciudadanos y consumidores.
Fuentes y Referencias Normativas

¿Eres propietario de un sitio web?
¿Quieres comunicar a tus usuarios tu transparencia en el tratamiento de datos? Utiliza dinámicamente nuestra insignia y muestra la conformidad de tu plataforma.
Lecturas Recomendadas

¿Se te pasó el plazo de 72 horas para notificar un data breach? Esto es lo que dice el GDPR

Datos pseudonimizados en Japón: ¿Tu próxima ventaja competitiva?

Cláusulas de Propiedad Intelectual: La Trampa que Cede tus Ideas a la IA sin que lo Sepas
🛡️ Protege tus derechos con un clic
No te arriesgues a firmar cláusulas abusivas. Instala la extensión gratuita de NakedPact para Chrome o Firefox y analiza al instante cualquier contrato en la web.
No confíes, verifica.
Ahora que conoces los riesgos, no firmes a ciegas. Sube tu contrato a NakedPact y deja que la IA encuentre las cláusulas ocultas. Es 100% gratis.
Analiza tu Contrato Ahora