El seguimiento de las aplicaciones móviles, en el punto de mira

Image of Carlo Cilento

Publicado el 17 oct 2023 por Carlo Cilento

En septiembre, la ONG holandesa SDBN propuso una demanda colectiva contra XCorp (antes Twitter) por rastrear ilegalmente a sus usuarios y recopilar datos personales con fines publicitarios.

La demanda también afecta a MoPub, una plataforma de publicidad móvil que antes pertenecía a Twitter y que más tarde se vendió a AppLovin. La implicación de MoPub es importante porque sus rastreadores se encuentran en miles de aplicaciones, incluidos servicios tan populares como Shazam y Duolingo.

Al mismo tiempo, la ONG de protección de la intimidad noyb denunció a tres aplicaciones móviles ante la autoridad francesa de protección de la intimidad, alegando que rastrean ilegalmente a los usuarios. Más información sobre las denuncias en el sitio web de la organización.

Por fin los reguladores de la UE están llamados a hacer cumplir la ley contra las aplicaciones móviles. Pero ¿cuál es el problema de los rastreadores y las aplicaciones móviles, y por qué son importantes estos casos?

  1. Un problema olvidado
  2. ¿Cómo funciona el rastreo móvil?
  3. ¿Es preocupante el rastreo móvil?
  4. ¿Qué dice el RGPD sobre el rastreo móvil?
  5. ¿Qué hay que saber sobre los casos?
  6. ¿Por qué son importantes estos casos?
  7. ¿Cambiarán las cosas para mejor?
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Un problema olvidado

El rastreo y la publicidad basada en el comportamiento llevan tiempo siendo un tema candente en la comunidad de la privacidad. No es de extrañar, ya que innumerables empresas confían en herramientas como Meta's Pixels o Google Analytics.

Ha habido muchas noticias sobre el tema, desde la multa de 400 millones de euros a Meta por el seguimiento y la elaboración de perfiles ilegales de usuarios de Facebook e Instagram, hasta el procedimiento en curso de la DPA belga sobre el Marco de Transparencia y Consentimiento de IAB Europe.

Las aplicaciones móviles no reciben el mismo grado de atención que la tecnología de rastreo tradicional basada en cookies. Así que veamos más de cerca cómo rastrean las aplicaciones a sus usuarios y por qué la vigilancia de las aplicaciones es una gran amenaza para la privacidad.

¿Cómo funciona el rastreo móvil?

Probablemente esté familiarizado con el rastreo basado en cookies en Internet. Las empresas quieren identificar a sus visitantes para evaluar el rendimiento de sus sitios web y sus campañas de marketing. En la mayoría de los casos, también quieren rastrear a sus visitantes por la Red para mostrarles publicidad personalizada basada en datos personales como intereses, ubicación, demografía, etcétera.

La mayoría de los sitios web hacen esto colocando cookies en el navegador del usuario, lo que sólo puede hacerse con el consentimiento del usuario según la legislación de la UE (las normas generales son un poco más complicadas, pero así es como funciona la analítica web en pocas palabras).

El seguimiento móvil es diferente: las aplicaciones extraen datos directamente del dispositivo del usuario y los envían a la empresa matriz de los kits de desarrollo de software (SDK) integrados en las aplicaciones.

Los SDK son una especie de "bloques de construcción" que facilitan a los desarrolladores de software la creación de una aplicación. Un SDK es esencialmente un paquete de código preconfeccionado que permite a las aplicaciones realizar tareas como autenticar usuarios, recuperar información de una API, compartir datos, etc. Las empresas pueden ahorrar mucho tiempo de desarrollo incluyendo un SDK en su aplicación en lugar de programar funciones complejas desde cero.

Los SKD son muy útiles para los desarrolladores de software. En el vertiginoso y altamente competitivo mercado de las aplicaciones móviles, las empresas compiten constantemente entre sí para ocupar un nicho antes de que la competencia se les adelante. Para los desarrolladores es esencial sacar el producto rápido, y los SDK son la forma más fácil de hacerlo. El uso de SDK es una práctica bastante habitual en el sector, y todos tenemos varios en nuestros smartphones.

Pero hay un problema. Los SDK suelen ser gratuitos, pero incluyen código que extrae información de los usuarios finales y se la proporciona a la empresa que ha desarrollado el kit. Así, los desarrolladores obtienen los SDK gratis, y usted los paga con sus datos cuando descarga la aplicación.

¿Es preocupante el rastreo móvil?

Si sigues nuestro blog, probablemente sepas que no somos los mayores fans de las cookies. El seguimiento a través de aplicaciones móviles es aún peor, por varias razones.

En primer lugar, las aplicaciones son furtivas. Puedes comprobar tus cookies con unos pocos clics a través de tu navegador, pero se necesita mucho trabajo y conocimientos para averiguar qué datos están recogiendo tus aplicaciones de tu teléfono.

Las quejas de Noyb son un gran ejemplo. El sitio web de la organización explica en detalle cómo noyb descubrió qué datos personales se estaban recopilando y compartiendo. noyb primero rooteó un dispositivo y luego utilizó software de terceros para capturar y descifrar el tráfico saliente. No es muy fácil de usar.

Además, los navegadores permiten a los usuarios controlar las cookies, ya que pueden eliminarse con unos pocos clics. Los usuarios no tienen ese control sobre las aplicaciones móviles.

Los sistemas de autorización de acceso de la mayoría de los sistemas operativos permiten al usuario cierto grado de control sobre la recopilación de datos, por ejemplo, denegando el acceso a los datos de localización o al micrófono del dispositivo. Sin embargo, otros datos personales no se bloquean tras el sistema de autorización. Además, algunas aplicaciones simplemente requieren los datos para funcionar, chantajeando al usuario para que proporcione datos innecesarios.

El rastreoentre dispositivos también es trivial en el caso de las aplicaciones móviles, ya que muchos usuarios instalan las mismas aplicaciones en distintos dispositivos e inician sesión con el mismo perfil.

Por último, muchas aplicaciones utilizan los mismos SDK y suministran datos a las mismas empresas, incluidos sospechosos habituales como Google y Meta. Esta centralización supone un importante riesgo para la privacidad: los datos recopilados por ciertas aplicaciones pueden parecer inocuos, pero pueden ser muy reveladores cuando se combinan con los datos de otras aplicaciones.

Digamos que utilizas una aplicación de salud mental y otra de seguimiento de calorías. A menudo las utilizas juntas porque tiendes a buscar consuelo en la comida cuando te sientes triste o ansioso. Si las aplicaciones funcionan con los mismos SDK, es posible que vea anuncios de comida a domicilio cada vez que visite un sitio web después de utilizar la aplicación de salud mental. Combinar los datos de tus aplicaciones permite al desarrollador del SDK sacar partido de tus comportamientos de búsqueda de consuelo.

Éste es sólo un ejemplo de las estrategias publicitarias poco éticas y depredadoras que posibilita la centralización de los datos personales en el mercado de la publicidad móvil. Imagínese lo que pueden hacer las empresas con unas cuantas aplicaciones más en su teléfono.

¿Qué dice el RGPD sobre el rastreo móvil?

Ya tenemos normas para garantizar que las aplicaciones móviles respeten la privacidad del usuario, pero no las hemos aplicado lo suficiente.

Según la Directiva sobre la privacidad y las comunicaciones electrónicas, es necesario el consentimiento para leer y escribir cualquier dato en el dispositivo del usuario. Esto incluye los identificadores de seguimiento que los SDK suelen escribir en los dispositivos móviles, así como otros datos económicamente valiosos como los de localización. En la práctica, muchas aplicaciones ignoran por completo este requisito o extorsionan el consentimiento negándose a funcionar a menos que el usuario les proporcione los datos que desean (lo que no está permitido por el GDPR).

(Para que quede claro, está bien que las aplicaciones pidan los datos que realmente necesitan. Google Maps necesita tu ubicación, Tinder no).

La transparencia también es bastante problemática para las aplicaciones. Según el GDPR, siempre que alguien recopile tus datos, tiene la obligación de proporcionarte cierta información esencial: qué datos se recopilan, quién los recopila, con qué fin, si se compartirán con terceros, etc. Pero la mayoría de las aplicaciones proporcionan políticas de privacidad incompletas. Pero la mayoría de las aplicaciones ofrecen políticas de privacidad incompletas porque las propias empresas a menudo no tienen ni idea de qué datos recogen sus aplicaciones a través de los SDK.

¿Qué hay que saber sobre los casos?

Las denuncias de Noyb se refieren a tres aplicaciones móviles muy populares en el mercado francés: FNAC, Se Loger y MyFitnessPal (que casualmente utiliza los SDK de MoPub). Como se explica en este ejemplo de denuncia, noyb alega que las aplicaciones procesan ilegalmente datos sin el consentimiento del usuario, lo que va en contra de la Directiva sobre privacidad de la UE y las leyes francesas que la aplican. Noyb también alega que las aplicaciones infringen el principio de protección de datos desde el diseño y por defecto del RGPD al recopilar datos innecesarios.

Cabe señalar que la autoridad francesa de protección de datos (CNIL) ha impuesto recientemente multas importantes por rastreo ilegal(sobre las que ya escribimos). Creemos que noyb tiene argumentos sólidos y que la CNIL se tomará el asunto muy en serio. Por supuesto, sólo el tiempo lo dirá.

En cuanto a la demanda colectiva contra X Corp, el sitio web de la SDBN afirma que miles de aplicaciones recopilaron datos personales sin consentimiento a través de los rastreadores de MoPub. No sabemos mucho más, ya que el comunicado de prensa de la organización sólo describe la demanda a grandes rasgos.

Vale la pena señalar que la organización actúa en nombre de millones de personas, lo que podría dar lugar a que los tribunales neerlandeses concedieran indemnizaciones sustanciales por daños y perjuicios.

¿Por qué son importantes estos casos?

Como ya hemos explicado, los problemas de privacidad que plantean las aplicaciones móviles no reciben la atención que merecen, y hasta ahora ha habido poca aplicación de la ley contra los editores de aplicaciones móviles y los distribuidores de SDK.

Es de esperar que las acciones legales de SDBN y noyb cambien esta situación. Noyb es una organización bien conocida en la comunidad de la privacidad, y la CNIL es una autoridad influyente. Las denuncias de Noyb llamarán seguramente la atención si salen bien para la ONG.

En cuanto a SDBN, su demanda podría costar mucho dinero a X Corp. Pero lo más importante es que implica indirectamente a miles de aplicaciones, incluidos servicios populares como Shazam y MyFitnessPal. Así que esta acción legal podría afectar a los rastreadores que se encuentran en innumerables servicios.

¿Cambiarán las cosas para mejor?

Esperamos que sí, y hay razones para ser optimistas.

La centralización hace que el mercado de la publicidad móvil sea rentable, pero también puede hacer que el modelo de negocio sea vulnerable a los litigios. El éxito de una acción legal contra los propietarios de los omnipresentes SDK puede afectar a miles de aplicaciones y propagarse por todo el mercado, sobre todo si el caso llega al Tribunal de Justicia de la UE o al Consejo Europeo de Protección de Datos.

Además, es probable que las futuras denuncias contra el rastreo móvil entren en el ámbito de aplicación de la Directiva sobre la privacidad y las comunicaciones electrónicas y eludan el sistema notoriamente ineficaz del RGPD para la tramitación de casos transfronterizos. Esto podría agilizar los procedimientos, ya que las denuncias se resolverían en el Estado en el que se presenten, en lugar de ir y venir de un Estado miembro a otro.

Las aplicaciones móviles llevan años acechando en el fondo de nuestros teléfonos, acaparando silenciosamente datos personales a gran escala. Esperemos que estas acciones legales llamen la atención sobre el problema del rastreo móvil y empujen a los reguladores hacia una aplicación más estricta a largo plazo.

Como ya se habrán dado cuenta, no nos gusta el rastreo. Creemos que es irresponsable, peligroso y poco ético. Por eso creamos Simple Analytics, para proporcionar a nuestros clientes toda la información que necesitan, sin recopilar datos personales del usuario final. Si esto le parece bien, ¡pruébenos!

GA4 es complejo. Prueba Simple Analytics

GA4 es como estar en la cabina de un avión sin licencia de piloto

Iniciar prueba de 14 días