Tus datos, en tus manos: por qué he creado Habeas

El derecho que tienes pero no puedes usar

Hace poco quise descargar mis tickets de compra de Carrefour. No es mi supermercado habitual, pero he comprado allí lo suficiente como para tener una cuenta con mi email y mi tarjeta de fidelización. Son mis datos. Los ha generado mi dinero y mi decisión de comprar en ese establecimiento. Quería meterlos en mi app de finanzas para tener un desglose real de en qué gasto.

Algunos supermercados te envían un email con el resumen de cada compra. Para esos casos ya tengo Tiquetera, que los procesa automáticamente. Pero Carrefour no envía nada. La única forma de acceder a tus tickets es entrar en su web, uno a uno. Clic, esperar, clic, esperar. Y si se te ocurre automatizarlo con un script, el muro anti-bot te bloquea antes de llegar al tercero.

Lo razonable sería que hubiera un botón de «Exportar historial», o una API, o al menos un CSV. No hay nada de eso.

Y no es un caso aislado. Es un patrón que se repite en tu compañía eléctrica, tu operadora, tu plataforma de inversión, tu aseguradora. Todas tienen tus datos. Todas te los enseñan. Casi ninguna te deja sacarlos.

El RGPD, en sus artículos 15 y 20, es bastante claro: tienes derecho a acceder a tus datos personales y a recibirlos «en un formato estructurado, de uso común y lectura mecánica». Sobre el papel, todos cumplen. Técnicamente, tus datos están ahí, visibles para ti.

Pero la diferencia entre «puedes ver tus datos» y «puedes llevarte tus datos» es enorme. Es como si el banco te dijera que puedes consultar tu saldo, pero no sacar el dinero.

Y la ironía: los mismos mecanismos diseñados para protegerte — los sistemas anti-bot como Cloudflare, Akamai o DataDome — son los que impiden que ejerzas tu derecho. No distinguen entre un atacante intentando robar datos ajenos y tú intentando descargar los tuyos.

Si la única forma práctica de exportar tus datos en masa es automatizar el proceso, y la automatización está bloqueada por diseño, tu derecho a la portabilidad es teórico.

La «solución» del mercado y por qué no funciona

Hay empresas que han construido un negocio sobre este problema. Plaid, Tink, TrueLayer y otras ofrecen agregación de datos financieros. Les das tus credenciales, se loguean por ti desde sus servidores y extraen tus datos.

PSD2 les da cobertura legal para acceder a cuentas de pago — cuentas corrientes — a través de las APIs que los bancos están obligados a ofrecer. Hasta ahí, todo correcto. El problema es que PSD2 solo habla de cuentas de pago. Tu tarjeta de crédito, tus inversiones, tu plan de pensiones, tus tickets de supermercado, tus facturas de electricidad — todo eso queda fuera del alcance de la directiva.

¿Y qué hacen estos agregadores para acceder a lo que PSD2 no cubre? Exactamente lo que PSD2 pretendía eliminar: custodiar tus credenciales y hacer scraping desde sus servidores. La misma práctica que motivó la regulación, pero aplicada a todo lo que la regulación no alcanza. Con sus certificaciones, sus auditorías y su cumplimiento normativo en la parte regulada — y con screen scraping en todo lo demás.

La lucha constante contra los sistemas anti-bot desde servidores en la nube hace que la fiabilidad sea baja y el coste, alto. Y mientras tanto, le estás dando tus credenciales a alguien.

Lo pensé al revés. Si tú ya estás logueado en tu navegador, si tu IP ya es de confianza, si ya has pasado el MFA y el captcha, el muro anti-bot no existe. No hay nada contra lo que luchar. Tu navegador ya está dentro.

Esa es la premisa de Habeas: una extensión de navegador que corre dentro de tu propia sesión autenticada. Tú te logueas. Tú pasas el 2FA. La extensión, ya dentro, lee los datos que tú ya puedes ver y los exporta al formato y destino que elijas — una carpeta local, Google Drive, o un endpoint HTTP para alimentar otra aplicación.

Sin servidores intermediarios. Sin credenciales almacenadas. Sin lucha contra Cloudflare.

Datos, no código

Habeas no es un scraper. Un scraper accede a servicios ajenos, desde IPs ajenas, con credenciales robadas o cedidas, para extraer datos a escala. Habeas accede a tu cuenta, desde tu navegador, con tu sesión, para extraer tus datos. Es la diferencia entre un ladrón forzando la cerradura de tu casa y tú usando tu llave para sacar tus propias cosas.

¿Puede un proveedor considerar que esto viola sus términos de servicio? Probablemente. Muchos prohíben cualquier «acceso automatizado», incluso cuando es tu cuenta y tu sesión.

Pero hay una pregunta que nadie parece hacerse: ¿hasta qué punto es válida esa cláusula cuando el proveedor no ofrece ningún medio adecuado para ejercer tus derechos? Los derechos del RGPD son irrenunciables — no puedes cederlos por contrato. Y la Directiva 93/13/CEE sobre cláusulas abusivas considera nulas las que crean un desequilibrio significativo en perjuicio del consumidor. «No puedes automatizar el acceso a tus datos, pero tampoco te damos forma de exportarlos» es un desequilibrio bastante claro.

El artículo 20 del RGPD obliga al responsable del tratamiento a entregar los datos «en un formato estructurado, de uso común y lectura mecánica». Si no lo hace, quien incumple es él — no tú por buscar la manera de ejercer tu derecho.

La vía «correcta», claro, es una solicitud formal de portabilidad y, si la deniegan o la hacen impracticable, reclamar ante la AEPD. Pero ese proceso tarda meses o años. Mientras tanto, tus datos siguen atrapados. No hay, que yo sepa, sentencia europea que diga explícitamente «una cláusula anti-automatización es nula cuando el proveedor no ofrece medios adecuados de portabilidad». El argumento jurídico es sólido, pero no está probado judicialmente.

Habeas se sitúa deliberadamente en ese hueco. No elude autenticación, no suplanta identidades, no accede a datos ajenos. Y la cláusula que prohíbe lo que hace tiene difícil encaje con el RGPD.

Cada servicio del que Habeas puede extraer datos se define como un adaptador declarativo en YAML. No hay código JavaScript arbitrario — solo la definición de qué endpoints llamar, cómo mapear los campos y qué esquema de salida usar.

Esto no es capricho técnico: es una decisión de seguridad. Manifest V3 prohíbe la ejecución de código remoto, y el formato declarativo hace que cualquier persona pueda auditar exactamente qué datos recoge un adaptador y de dónde.

Si un servicio necesita lógica que el formato no puede expresar, se amplía el formato para todos — no se permite código ad hoc.

La parte incómoda

No voy a fingir que Habeas es una solución limpia a un problema limpio. El problema de fondo es que el ecosistema digital se ha construido sobre una asimetría: las empresas pueden recopilar, procesar y monetizar tus datos con herramientas industriales, pero tú no puedes ni descargarlos sin pelearte con un muro anti-bot.

El RGPD intentó corregir eso. En teoría. En la práctica, la industria ha encontrado mil formas de cumplir la letra mientras incumple el espíritu.

Y nosotros hemos aceptado que «tus datos están en tu cuenta» significa lo mismo que «tus datos son tuyos». No lo son. No mientras no puedas sacarlos.

Habeas es una herramienta pequeña, imperfecta, y en fase muy temprana. Hoy solo tiene un adaptador (Carrefour España). Pero la arquitectura está pensada para que añadir nuevos servicios sea cuestión de escribir un YAML, no de mantener un scraper frágil.

El nombre viene de habeas data — el derecho constitucional a acceder a tus propios datos personales en manos de terceros. Habeas no te concede un derecho nuevo: hace ejecutable uno que ya tienes.

Si te interesa el problema — o si simplemente quieres poder descargar tus propios tickets de la compra sin hacer quinientos clics — el código está en GitHub y la web del proyecto en habeas.dev.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


veces compartido
Scroll al inicio