Cómo las aplicaciones móviles comparten ilegalmente tus datos personales

noyb ha presen­tado tres denun­cias en Fran­cia contra Fnac (la mayor tienda de elec­tró­nica de Fran­cia), la apli­ca­ción inmo­bi­li­a­ria SeLo­ger y la apli­ca­ción de fitness MyFit­ness­Pal. Las apli­ca­ci­o­nes de estas empre­sas acce­den ilegal­mente a los datos perso­na­les de los usua­rios y los compar­ten con terce­ros para reali­zar sofis­ti­ca­dos análi­sis en cuanto se abren las apli­ca­ci­o­nes. Los usua­rios ni siqui­era tienen la opción de consen­tir o impe­dir que se compar­tan sus datos. Este enfo­que es ilegal.

• Ejem­plo de recla­ma­ción contra Fnac (FR)
• Traduc­ción automá­tica al inglés del ejem­plo de recla­ma­ción
• Meto­do­lo­gía y espe­ci­fi­ca­ci­o­nes técni­cas para la capta­ción y análi­sis del tráfico de red

Trans­mi­sión por defecto. El denun­ci­ante instaló las popu­la­res apli­ca­ci­o­nes MyFit­ness­Pal, Fnac y SeLo­ger en su smartp­hone Android. Una vez abier­tas, las apli­ca­ci­o­nes comen­za­ron inme­di­a­ta­mente a reco­pi­lar y compar­tir con terce­ros datos perso­na­les, inclui­dos el iden­ti­fi­ca­dor único de publi­ci­dad de Google (AdID), el modelo y la marca de su dispo­si­tivo y la direc­ción IP local. Esta amplia reco­pi­la­ción de datos permite elabo­rar perfi­les de los usua­rios con el fin de mostrar­les anun­cios perso­na­li­za­dos y campañas de marke­ting para aumen­tar los ingre­sos de las empre­sas menci­o­na­das.

Sin consen­ti­mi­ento. Según la Direc­tiva sobre priva­ci­dad y comu­ni­ca­ci­o­nes elec­tró­ni­cas, el mero acceso o alma­ce­na­mi­ento de datos en el dispo­si­tivo termi­nal del usua­rio sólo está permi­tido si los usua­rios dan su consen­ti­mi­ento libre, infor­mado, espe­cí­fico e inequí­voco. Dos de las tres apli­ca­ci­o­nes móvi­les no mostra­ban un banner de consen­ti­mi­ento al iniciar la apli­ca­ción. La tercera apli­ca­ción presen­taba un banner que teóri­ca­mente daba al denun­ci­ante la opción de dar o negar su consen­ti­mi­ento. En reali­dad, la trans­mi­sión de sus datos perso­na­les comenzó sin ninguna inter­ac­ción por su parte, y antes de que tuvi­e­ran siqui­era la opor­tu­ni­dad de pensar en el consen­ti­mi­ento.

Ala Krinickytė, abogado espe­ci­a­li­zado en protec­ción de datos de noyb: «Todas las apli­ca­ci­o­nes nece­si­tan consen­ti­mi­ento para rastre­arte. En su lugar, utili­zan la »reco­pi­la­ción de datos y el rastreo por defecto". A dife­ren­cia del rastreo en sitios web, en las apli­ca­ci­o­nes móvi­les casi no se ha apli­cado hasta ahora"

Segui­mi­ento deta­llado. Infor­ma­ción como el AdID es única y está vincu­lada al dispo­si­tivo de una persona concreta. Esto permite a los anun­ci­an­tes y otros terce­ros iden­ti­fi­car a los usua­rios y diri­girse a ellos en el futuro. Algu­nos prove­e­do­res de apli­ca­ci­o­nes incluso rastrean el compor­ta­mi­ento del usua­rio fuera de sus apli­ca­ci­o­nes. Esto les permite enri­que­cer los datos reco­gi­dos con aún más infor­ma­ción sobre la vida del usua­rio.

Primer resul­tado de una inves­ti­ga­ción más amplia. La forma en que estas apli­ca­ci­o­nes mane­jan los datos de sus usua­rios es sintomá­tica de un problema más amplio en el entorno de las apli­ca­ci­o­nes móvi­les. Aunque estas apli­ca­ci­o­nes suelen tener millo­nes de usua­rios, no se moles­tan en cumplir las leyes de priva­ci­dad de la UE, sino que compar­ten datos priva­dos con terce­ros (inclui­dos los inter­me­di­a­rios publi­ci­ta­rios) para mone­ti­zar los datos de sus usua­rios. Según un estu­dio de Konrad Koll­nig y otros, sólo el 3,5% de todas las apli­ca­ci­o­nes ofre­cen a los usua­rios la posi­bi­li­dad real de negar su consen­ti­mi­ento.

Ala Krinickytė, abogado espe­ci­a­li­zado en protec­ción de datos de noyb: «La reco­pi­la­ción y el inter­cam­bio ilega­les de datos perso­na­les de los usua­rios es un problema gene­ra­li­zado en el entorno de las apli­ca­ci­o­nes móvi­les. Es clave que las auto­ri­da­des de control tomen ahora las medi­das adecu­a­das para poner fin a esta prác­tica.»

Análi­sis de las viola­ci­o­nes de la priva­ci­dad de las apps móvi­les. Para obte­ner prue­bas de las infrac­ci­o­nes menci­o­na­das, fue nece­sa­rio reali­zar un análi­sis técnico del tráfico de red de las apli­ca­ci­o­nes para telé­fo­nos inte­li­gen­tes. La captura y el análi­sis del tráfico de red se lleva­ron a cabo utili­zando la PiRo­gue Tool Suite desar­ro­llada por Defen­sive Lab Agency. Puede encon­trar la meto­do­lo­gía deta­llada aquí.

Supre­sión de datos y posi­ble multa. noyb soli­cita a la CNIL que ordene a MyFit­ness­Pal, Fnac y SeLo­ger que supri­man todos los datos que hayan sido trata­dos ilegal­mente. Además, todos los desti­na­ta­rios de los datos del denun­ci­ante deben ser infor­ma­dos de que el denun­ci­ante ha soli­ci­tado la supre­sión de cual­quier enlace, copia o réplica de sus datos perso­na­les. Dada la grave­dad de las alega­ci­o­nes y el número poten­ci­al­mente elevado de perso­nas afec­ta­das, noyb también sugi­ere que la auto­ri­dad compe­tente imponga una multa. Estas denun­cias son sólo el prin­ci­pio: noyb tiene previsto presen­tar más denun­cias contra empre­sas de apli­ca­ci­o­nes móvi­les en el futuro para poner fin al inter­cam­bio ilegal de datos de los usua­rios.

Agra­de­ci­mi­en­tos

• La captura y el análi­sis del tráfico de red se lleva­ron a cabo utili­zando la suite de herra­mi­en­tas PiRo­gue desar­ro­llada por la agen­cia Defen­sive Lab
• El Dr. Konrad Koll­nig aportó sus amplios cono­ci­mi­en­tos y expe­ri­en­cia en el tema del rastreo en apli­ca­ci­o­nes móvi­les
• Trac­king Weasel aportó vali­o­sos cono­ci­mi­en­tos sobre el tema de las bibli­o­te­cas de rastre­a­do­res y el rastreo en apli­ca­ci­o­nes móvi­les.