Los datos personales que entregas al verificar tu identidad en LinkedIn

 (thelocalstack.eu)
5 puntos por GN⁺ 2026-02-22 | 2 comentarios | Compartir por WhatsApp
  • El proceso de verificación de identidad de LinkedIn se completa cuando el usuario envía su pasaporte y una foto de su rostro, pero en realidad los datos se transfieren no a LinkedIn sino a Persona, una empresa de Estados Unidos
  • Persona recopila una gran cantidad de datos personales, como la foto del pasaporte, datos biométricos para reconocimiento facial, datos del chip NFC, información del dispositivo y de ubicación
  • Estos datos se utilizan para el entrenamiento de IA, y la base legal indicada es el “interés legítimo” (legitimate interest), por lo que se procesan sin consentimiento explícito
  • De los 17 subencargados del tratamiento (subprocessors) de Persona, 16 son empresas estadounidenses, y compañías de IA como OpenAI y Anthropic analizan datos de pasaportes y rostros
  • Según la CLOUD Act de Estados Unidos, incluso si los datos se almacenan en servidores europeos, el gobierno estadounidense puede acceder a ellos, por lo que la protección de los datos personales de los usuarios europeos no está realmente garantizada

La estructura real del proceso de verificación de LinkedIn

  • Al hacer clic en el botón “Verify” de LinkedIn, el usuario es redirigido a Persona Identities, Inc. (con sede en San Francisco)
    • LinkedIn es el cliente corporativo y el usuario pasa a ser objeto del tratamiento de datos de Persona
    • La mayoría de los usuarios entrega su pasaporte y foto facial sin siquiera saber que Persona existe

Datos que recopila Persona

  • Durante el proceso de verificación de identidad, Persona recopila la siguiente información
    • Nombre, imagen completa del pasaporte, selfie en tiempo real, geometría facial (datos biométricos)
    • Datos del chip NFC, número de identificación nacional, género, fecha de nacimiento, correo electrónico, número de teléfono, dirección
    • Dirección IP, información del dispositivo y del navegador, idioma, datos de ubicación
  • Además, también rastrea biometría conductual (behavioral biometrics) como “detección de vacilación” y “detección de copiar y pegar”

Cruce de datos con terceros

  • Además de la información proporcionada por el usuario, Persona realiza verificaciones cruzadas con bases de datos gubernamentales, agencias de crédito, operadoras de telecomunicaciones y empresas de servicios públicos
    • No se trata solo de una verificación de identidad, sino de una consulta de datos a nivel de investigación de antecedentes

Uso como datos de entrenamiento para IA

  • Según la política de privacidad, las imágenes del pasaporte y las selfies cargadas se utilizan para el entrenamiento de modelos de IA
    • El objetivo es mejorar el reconocimiento de pasaportes de distintos países y optimizar el servicio
    • La base legal es el “interés legítimo”, lo que permite el tratamiento sin consentimiento explícito del usuario
    • No está claro si esto vulnera derechos fundamentales bajo el GDPR

Compartición de datos y entidades con acceso

  • La información que recibe LinkedIn incluye el nombre, año de nacimiento, tipo de documento de identidad, autoridad emisora, resultado de la verificación y una copia difuminada del documento
  • Persona también comparte datos con los siguientes actores
    • Proveedores de servicios y socios de datos, afiliadas, posibles compradores, autoridades encargadas de hacer cumplir la ley
  • La lista de 17 subencargados del tratamiento (subprocessors) incluye lo siguiente
    • Anthropic, OpenAI, Groqcloud (extracción y análisis de datos)
    • AWS, Google Cloud, Snowflake, MongoDB y otros servicios de infraestructura y bases de datos
    • Stripe, Twilio y otros proveedores de APIs de pagos y comunicaciones
  • De los 17, 16 están en Estados Unidos y 1 en Canadá, y no hay ninguna empresa dentro de la UE

La CLOUD Act y el problema de la soberanía de los datos

  • Persona opera centros de datos en Estados Unidos y Alemania, pero al ser una empresa estadounidense, está sujeta a la CLOUD Act
    • Los tribunales de Estados Unidos pueden acceder mediante orden legal incluso a datos almacenados en servidores en el extranjero
    • La política de Persona indica que puede proporcionar datos ante solicitudes por fines de cumplimiento de la ley o seguridad nacional
    • Esto puede incluir una orden de confidencialidad (gag order), por lo que el usuario podría no ser notificado

Los límites del EU-US Data Privacy Framework

  • Persona cuenta con certificación del EU-US Data Privacy Framework (DPF)
    • Sin embargo, este es un mecanismo sustitutivo del Privacy Shield, y su efecto legal se basa en una Orden Ejecutiva (Executive Order)
    • Existe la posibilidad de que sea revocado si cambia la administración
    • noyb y otros grupos de privacidad ya han presentado impugnaciones legales

Riesgos de los datos biométricos y excepciones de conservación

  • Persona indica que elimina los datos de geometría facial después de completar la verificación o dentro de 6 meses
    • Sin embargo, establece una excepción de conservación por requerimiento legal, lo que implica la posibilidad de almacenamiento indefinido por orden de un tribunal estadounidense
    • Los datos biométricos son identificadores únicos que no pueden modificarse, por lo que una filtración sería irreversible

Responsabilidad legal y derechos del usuario

  • El límite de indemnización de Persona está restringido a 50 dólares
    • Las disputas solo pueden resolverse mediante arbitraje individual obligatorio a través de la American Arbitration Association (AAA)
    • Para los usuarios de la UE se indica la aplicación del derecho irlandés, pero la CLOUD Act prevalece, por lo que la protección real es débil

Medidas sugeridas a los usuarios

  • Los usuarios que ya completaron la verificación pueden hacer lo siguiente
    • Solicitar acceso a sus datos: idv-privacy@withpersona.com
    • Solicitar eliminación: pedir la eliminación de datos innecesarios una vez finalizada la verificación
    • Contactar al DPO: en dpo@withpersona.com para oponerse al uso en entrenamiento de IA
    • Reconsiderar la verificación: conviene valorar la importancia de proteger los datos biométricos por encima de una simple insignia

Conclusión

  • La verificación de identidad de LinkedIn termina en solo 3 minutos, pero para entender el flujo real de los datos habría que leer 34 páginas de documentos legales
  • El usuario entrega a una empresa estadounidense su pasaporte, rostro, datos biométricos e historial crediticio, y queda expuesto a la posibilidad de entrenamiento de IA, acceso gubernamental y conservación por excepciones legales
  • En la práctica, los datos de los usuarios europeos quedan bajo el sistema legal estadounidense
  • Se trata de una estructura en la que se entrega toda la identidad personal a cambio de una simple insignia azul

Lecturas relacionadas

2 comentarios

 
cherrycoder 2026-02-22

Parece que también se usa sorprendentemente mucho en actividades de contrainteligencia dentro de Estados Unidos.
 
GN⁺ 2026-02-22
Comentarios en Hacker News

  • El CEO de Persona respondió directamente en LinkedIn
    Dice que los datos personales no se usan para entrenar IA, que la biometría se elimina de inmediato después de verificar la identidad, y que el resto de los datos se borra automáticamente en un plazo de 30 días
    En la práctica, cuando interviene el equipo legal, los documentos muchas veces terminan redactados de forma excesivamente amplia. Pueden verse mucho más oscuros que la realidad, así que este tipo de aclaraciones sí tiene valor para mejorar la transparencia

    • Pienso que esto no significa nada si esa explicación no queda reflejada en los documentos legales. No basta con creerle al CEO; tiene que estar confirmado por escrito
    • La política dice que “puede cambiar en cualquier momento”, así que queda la duda de para qué sirve lo que diga el CEO. En la práctica podrían hacer solo un soft delete y conservar los datos
    • Creo que sería más correcto decir “claiming that” que “pointing out”. Pensando en la relación con empresas que recopilaron datos ilegalmente y los usaron para entrenar modelos, cuesta confiar
    • Que el equipo legal use textos tan amplios también puede significar que internamente no tienen algo claro o que quieren dejar abierta la posibilidad de usar los datos. Si de verdad quisieran proteger la privacidad del usuario, deberían ponerlo en los documentos legales
    • Es raro que la información biométrica se envíe al servidor. Me pregunto por qué no hacen procesamiento en el dispositivo (on-device processing). ¿No sería más seguro un diseño en el que solo se envíe algo como hash+salt, parecido a una contraseña?

  • Hace tiempo me registré usando una dirección de correo exclusiva para LinkedIn, y apenas eliminé la cuenta empezaron a llegar correos spam a esa dirección
    Me gustaría hacer una prueba, pero ya perdí la confianza. Creo que LinkedIn vendió mis datos

    • Me parece irónico que Mozilla contrate a un CEO cuya única presencia online sea LinkedIn. Cuesta entender por qué una organización que habla en contra de la vigilancia haría eso
    • LinkedIn tiene demasiados antecedentes de hackeos. Da la impresión de que quieren exprimir hasta el final los datos de quienes ya se dieron de baja
    • Creo que LinkedIn es, en esencia, una plataforma de recolección de información. La compra por parte de Microsoft, igual que con Skype, parece ir en esa misma línea
    • El LinkedIn de antes tenía un historial problemático, como escaneo de correos y creación de cuentas falsas
    • LinkedIn es básicamente una plataforma de perfiles públicos. Si hay información que quieres mantener privada, no deberías subirla. El spam es inevitable y filtrar el correo es la alternativa más realista

  • Al crear una cuenta nueva me obligaron a verificar mi identidad. Tuve que hacerlo con pasaporte y después revisé los datos personales, pero casi no me mostraron nada
    La configuración de anuncios venía activada por defecto y todo el proceso fue muy incómodo.
    Era una cuenta para el trabajo, así que no tuve opción, pero me dejó claro lo urgente que es contar con alternativas descentralizadas

    • También exigen verificación para acceder a cuentas existentes. Para borrar la cuenta o rechazar el uso del contenido para IA, terminas teniendo que entregar aún más información: una estructura contradictoria
    • Entiendo que, por el problema de los bots de IA, se necesite verificación de identidad, pero hace falta una forma de generar confianza sin sacrificar la privacidad. También vale la pena leer la respuesta del CEO de Persona en LinkedIn
    • La razón por la que estos servicios pueden hacer lo que quieran es el efecto de red. Los usuarios están atados y les cuesta irse, y eso se convierte en poder
    • También preocupa que Persona esté vinculada con Peter Thiel. Existe el riesgo de que eso termine combinado con vigilancia gubernamental

  • Creo que verificar la identidad mediante Persona termina contribuyendo al enriquecimiento de datos gubernamentales (enrichment)
    Servicios grandes como Coursera, Wealthsimple y Lime ya dependen de esto, así que es difícil evitarlo, pero hacen falta garantías legales sobre el uso de los datos
    Regiones como Canadá o Europa, donde se discute la soberanía digital, deberían impulsar alternativas locales

    • En la práctica también es difícil evitarlo en trámites cotidianos como empleo, renta, visas o firmas electrónicas
    • Alguien lo expresó con cinismo diciendo que el lugar de las plataformas KYC es “el infierno”

  • Persona no parece tener una capacidad confiable para manejar datos personales a gran escala
    Publicación relacionada: https://vmfunc.re/blog/persona

    • También vale la pena ver la conversación en X (Twitter) entre el CEO y el bloguero. Según eso, no fue un hackeo, sino una filtración de source maps del frontend que dejó expuestos nombres de variables internas
    • También hubo quien dijo que era un gran texto, con una vibra muy buena del internet de antes
    • Aunque también señalaron técnicamente que el sitio provoca una fuga de memoria en Firefox
    • Y alguien advirtió que, al presionar el botón “Continue”, de repente empieza a sonar música

  • La estructura central de plataformas como LinkedIn, Google y Facebook es vender al usuario como producto
    Si alguien paga dinero para apuntarte como objetivo, al final ese dinero sale de ti
    Creo que esta estructura ha profundizado a largo plazo la desigualdad económica

    • Este texto me impactó tanto que quisiera citarlo cuando explique la importancia de la privacidad. Yo también uso servicios de Google, pero siempre teniendo presente su modelo de negocio
    • LinkedIn también vende productos de pago. El problema es que eso no les basta y aun así buscan explotar más los datos
    • Todos los usan porque “son geniales y gratis”, pero casi nadie asume responsabilidad real por las consecuencias
    • También hay casos en que la gente se registra en LinkedIn porque quiere convertirse en objetivo. La estructura en la que las empresas encuentran candidatos puede ser mutuamente beneficiosa. Aun así, culpar a las redes sociales de problemas macroeconómicos como la inflación ya parece excesivo
    • Al final no hay que olvidar que tú eres el producto

  • LinkedIn se convirtió en una red social de pose, estilo TikTok. Es una forma de justificar perder el tiempo con la excusa de “adquirir conocimiento de la industria”
    Está lleno de gente que no vive de ser experta de verdad, sino de vender su marca personal

    • La mayoría de los usuarios casi no mira el feed. Lo usan solo para gestionar contactos o mandar mensajes. El feed es puro ruido, así que lo mejor es ignorarlo
    • Yo uso LinkedIn como un canal unidireccional (write-only) y, en la práctica, me ha servido para conocer mucha gente valiosa fuera de línea
    • Si mantienes una política estricta de conectar solo con personas que has conocido en la vida real, el feed se vuelve mucho más limpio

  • Me llamó la atención la parte del artículo que dice “escaneé un pasaporte europeo y todos los datos terminaron en empresas de Norteamérica”
    No creo que tenga sentido ver a LinkedIn como una red basada en Europa

    • Parece que el autor se refería a “su propia red dentro de Europa”
    • Si estás en Europa, en teoría deberías usar Xing, pero ahí uno se sentiría demasiado solo
    • Expresiones como “Let that sink in” me suenan a texto generado por GPT, así que me cuesta confiar
    • Los europeos usan LinkedIn por el efecto de red. La concentración tecnológica centrada en EE. UU. fue un gran error, y habría que impulsar alternativas nacionales, como hizo China

  • Hace falta este tipo de activismo por la privacidad. Yo también verifiqué mi cuenta en LinkedIn, pero me impresionó la lista de medidas concretas que propuso el autor

  • Últimamente me sigue apareciendo un mensaje de error diciendo que “no se están recibiendo correos”, pero en realidad sí llegan
    Cuando presiono el botón solo aparece “ocurrió un problema” y ni siendo usuario de pago lo resuelven
    El equipo de soporte incluso dijo que me iba a escribir a esa misma dirección, lo cual fue absurdo. Este tipo de situaciones vuelve a hacerme pensar en la necesidad de la descentralización

    • Da la impresión de que los sistemas de call center están diseñados para ser deliberadamente complejos. El personal de menor nivel no tiene autoridad y solo se la pasa escalando tickets o transfiriendo entre departamentos.
      Incluso los sistemas telefónicos con reconocimiento de voz por IA resultan todavía más incómodos. Parece una complejidad estructural monstruosa acumulada durante décadas
    • También sugirieron revisar si tienes bloqueada la carga remota de imágenes. Muchas veces usan píxeles de seguimiento para medir si un correo fue recibido