eToro, plataforma global de trading social y criptoactivos, ha revelado ante la Comisión de Bolsa y Valores de Estados Unidos (SEC) que afronta riesgos significativos en Europa y Reino Unido por su extenso manejo de datos personales. El informe detalla una compleja red de recopilación de información sensible de usuarios, empleados, contratistas y fuentes externas, lo que la expone a un escrutinio creciente bajo el Reglamento General de Protección de Datos (RGPD) y su versión británica.
EL MOMENTO WHATSAPP PARA EL DINERO YA ESTÁ AQUÍ Y SE LLAMA STABLECOINS
La compañía se encuentra actualmente bajo auditoría por parte de la autoridad de protección de datos de Chipre, donde tiene sede su filial europea, eToro (Europe) Ltd. Aunque aún no se han emitido hallazgos que afecten materialmente sus operaciones, el proceso, centrado en evaluar el cumplimiento del RGPR, podría derivar en multas millonarias, demandas y daños reputacionales.
eToro y los riesgos por privacidad
El informe presentado a la SEC revela que eToro recopila datos personales de múltiples fuentes para operar su plataforma en Europa y el Reino Unido, incluyendo información altamente sensible:
- Usuarios de la plataforma: Los usuarios proporcionan datos durante el registro y el proceso de «Conozca a su Cliente (KYC)», como nombres, direcciones, números de identificación oficial (por ejemplo, pasaportes) y datos financieros. También se recopilan detalles de transacciones, incluyendo operaciones en acciones, criptoactivos y contratos por diferencia.
- Visitantes del sitio web: eToro obtiene datos de quienes acceden a su sitio, incluso sin registrarse, mediante direcciones IP, cookies y patrones de navegación, utilizados para personalizar experiencias y dirigir campañas de marketing.
- Empleados y contratistas: La compañía recopila datos demográficos, información de salud, para adaptaciones en el lugar de trabajo, y otros datos sensibles de empleados. También se obtienen datos de contratistas, como nombres y datos financieros para contratos.
- Fuentes externas: eToro adquiere datos a través de campañas de generación de leads y proveedores de terceros, que ofrecen información como correos electrónicos o perfiles demográficos de usuarios potenciales.
- Datos de la plataforma: Funciones como CopyTrader y Smart Portfolios generan datos sobre interacciones sociales, estrategias de trading copiadas y preferencias de inversión.
- Cookies y tecnologías de seguimiento: eToro utiliza cookies para recopilar datos de comportamiento y ubicaciones geográficas, esenciales para marketing y cumplimiento de la Directiva e-Privacy de la UE.
Cumplir con RGPD, un marco riguroso
La inclusión de datos de salud de empleados, considerados especialmente sensibles bajo el RGPD, eleva los riesgos regulatorios, ya que requieren medidas de protección más estrictas y consentimiento explícito. Esta recopilación masiva de datos, aunque crucial para los servicios de trading social y el cumplimiento de regulaciones como KYC, expone a eToro a un escrutinio regulatorio intenso en Europa y Reino Unido, donde las leyes de privacidad son de las más exigentes del mundo.
Cómo afectan el GDPR y el AMLR a Bitcoin y a los usuarios de autocustodia
El RGPD, vigente en la UE y adaptado en el Reino Unido como RGPD del Reino Unido, es el pilar regulatorio que rige el manejo de datos por parte de eToro en estas regiones.
RGPD impone obligaciones estrictas:
- Transparencia y consentimiento: eToro debe informar claramente a los usuarios y empleados sobre cómo se recopilan y usan sus datos, requiriendo consentimiento explícito para procesar datos sensibles, como los de salud, y para cookies no esenciales.
- Derechos de los interesados: Los usuarios y empleados pueden acceder, rectificar, eliminar o restringir el procesamiento de sus datos, lo que exige sistemas robustos para gestionar estas solicitudes.
- Seguridad de datos: La compañía debe implementar medidas técnicas y organizativas, como cifrado y monitoreo de amenazas, para proteger datos sensibles, especialmente los de salud.
- Transferencias transfronterizas: Los datos transferidos fuera del Espacio Económico Europeo (EEE) o Reino Unido deben cumplir con mecanismos como cláusulas contractuales tipo o el Marco de Privacidad de Datos UE-EEUU
El incumplimiento del RGPD puede acarrear multas de hasta 20 millones de euros o el 4% de los ingresos globales anuales, un riesgo financiero significativo para eToro. Además, los reguladores pueden imponer órdenes de cese o restricciones operativas, afectando servicios clave como el marketing personalizado o el procesamiento de datos de empleados.
Auditoría en Chipre
Un punto crítico destacado en el informe es la auditoría obligatoria que enfrenta eToro por parte de la autoridad de protección de datos de Chipre, donde opera eToro. Este proceso, señala el informe, consume recursos significativos y podría generar publicidad negativa, incluso sin sanciones. Dado el manejo de datos financieros y de salud, eToro anticipa auditorías similares en otras jurisdicciones de Europa y Reino Unido, lo que aumenta la presión para mantener un cumplimiento impecable.
Transferencias transfronterizas
El informe de la SEC identifica las transferencias transfronterizas de datos como un riesgo clave, particularmente entre la UE/Reino Unido y terceros países como EEUU. El RGPD exige que los datos transferidos fuera del EEE o Reino Unido cumplan con estándares de protección equivalentes, pero la incertidumbre legal complica este proceso. El fallo Schrems II de 2020, que invalidó el Privacy Shield, y las dudas sobre las cláusulas contractuales tipo obligan a eToro a realizar evaluaciones caso por caso, incrementando costes operativos.
El Marco de Privacidad de Datos UE-EEUU, adoptado en 2023, busca facilitar estas transferencias, pero eToro anticipa impugnaciones judiciales que podrían invalidarlo, según el informe. Una anulación forzaría a la compañía a adoptar soluciones costosas, como servidores locales en el EEE o Reino Unido, o limitar funcionalidades dependientes de datos transfronterizos, como el análisis de trading social o la gestión de datos de empleados. Esto podría afectar la experiencia del usuario, los procesos internos y la competitividad de eToro frente a plataformas menos reguladas.
Cookies y marketing
En Europa, la Directiva e-Privacy complementa el RGPD al regular cookies y marketing electrónico. El informe enviado a la SEC destaca que eToro debe obtener consentimiento informado para cookies no esenciales, un requisito cada vez más estricto tras decisiones de reguladores europeos. Las recientes directrices enfatizan un enfoque de «opt-in» riguroso, lo que podría limitar las capacidades de marketing de eToro, reducir la efectividad de la personalización y aumentar los costes de cumplimiento. El incumplimiento podría derivar en multas, investigaciones y órdenes de cese, afectando una fuente clave de ingresos.
Blockchain y privacidad
El informe también señala riesgos relacionados con la tecnología blockchain, utilizada por eToro para gestionar criptoactivos. Las transacciones en blockchains públicas son transparentes, lo que podría exponer datos personales sin medidas de anonimización adecuadas. Además, principios del RGPD, como el derecho al olvido, son difíciles de cumplir en blockchains inmutables, creando un conflicto regulatorio potencial, especialmente para datos vinculados a usuarios o empleados. A medida que los reguladores europeos examinan la privacidad en blockchain, eToro enfrenta presión para desarrollar soluciones innovadoras, según el informe.
Estrategias y desafíos
eToro ha invertido en políticas de privacidad, ciberseguridad (como cifrado y autenticación multifactor), capacitación y asesoramiento legal para mitigar estos riesgos, según el informe de la SEC. Sin embargo, los desafíos persisten:
- Datos sensibles: La recopilación de datos de salud de empleados y datos financieros de usuarios requiere medidas de protección más estrictas y consentimiento explícito, aumentando la complejidad.
- Evolución regulatoria: Las leyes de privacidad en Europa y Reino Unido cambian rápidamente, requiriendo adaptaciones continuas.
- Dependencia de terceros: Proveedores externos, como servicios en la nube, pueden introducir vulnerabilidades o incumplimientos.
- Crecimiento rápido: La expansión de usuarios en Europa y Reino Unido amplifica los riesgos de brechas de datos.
El informe presentado por eToro ante la SEC describe que la compañía obtiene datos de usuarios, visitantes, empleados (incluyendo datos de salud), contratistas, fuentes externas y cookies, pero el manejo masivo de datos la expone a riesgos regulatorios críticos en Europa y Reino Unido.

