Cómo las aplicaciones móviles comparten ilegalmente sus datos personales

This page has been translated automatically. Read the original or leave us a message if something is not right.
Forced Consent & Consent Bypass
 /  Thu, 14/09/2023 - 07:00

Hoy, noyb ha presentado tres denuncias en Francia contra Fnac (la mayor tienda de electrónica del país), la aplicación inmobiliaria SeLoger y la aplicación de fitness MyFitnessPal. Las aplicaciones de estas empresas acceden ilegalmente a los datos personales de los usuarios y los comparten con terceros para sofisticados análisis en cuanto se abren las aplicaciones. Los usuarios ni siquiera tienen la opción de consentir o impedir que se compartan sus datos. Este planteamiento es ilegal.

mobile apps header

Transmisión por defecto. El denunciante instaló las populares aplicaciones MyFitnessPal, Fnac y SeLoger en su smartphone Android. Una vez abiertas, las aplicaciones comenzaron inmediatamente a recopilar y compartir con terceros datos personales, incluidos el identificador único de publicidad de Google (AdID), el modelo y la marca de su dispositivo y la dirección IP local. Esta amplia recopilación de datos permite elaborar perfiles de los usuarios con el fin de mostrarles anuncios personalizados y campañas de marketing para aumentar los ingresos de las empresas mencionadas.

Sin consentimiento. Según la Directiva sobre privacidad y comunicaciones electrónicas, el mero acceso o almacenamiento de datos en el dispositivo terminal del usuario sólo está permitido si los usuarios dan su consentimiento libre, informado, específico e inequívoco. Dos de las tres aplicaciones móviles no mostraban un banner de consentimiento al iniciar la aplicación. La tercera aplicación presentaba un banner que teóricamente daba al denunciante la opción de dar o negar su consentimiento. En realidad, la transmisión de sus datos personales comenzó sin ninguna interacción por su parte, y antes de que tuvieran siquiera la oportunidad de pensar en el consentimiento.

Ala Krinickytė, abogado especializado en protección de datos de noyb: "Todas las aplicaciones necesitan consentimiento para rastrearte. En su lugar, utilizan la "recopilación de datos y el rastreo por defecto". A diferencia del rastreo en sitios web, en las aplicaciones móviles casi no se ha aplicado hasta ahora"

Seguimiento detallado. Información como el AdID es única y está vinculada al dispositivo de una persona concreta. Esto permite a los anunciantes y otros terceros identificar a los usuarios y dirigirse a ellos en el futuro. Algunos proveedores de aplicaciones incluso rastrean el comportamiento del usuario fuera de sus aplicaciones. Esto les permite enriquecer los datos recogidos con aún más información sobre la vida del usuario.

Primer resultado de una investigación más amplia. La forma en que estas aplicaciones manejan los datos de sus usuarios es sintomática de un problema más amplio en el entorno de las aplicaciones móviles. Aunque estas aplicaciones suelen tener millones de usuarios, no se molestan en cumplir las leyes de privacidad de la UE, sino que comparten datos privados con terceros (incluidos los intermediarios publicitarios) para monetizar los datos de sus usuarios. Según un estudio de Konrad Kollnig y otros, sólo el 3,5% de todas las aplicaciones ofrecen a los usuarios la posibilidad real de negar su consentimiento.

Ala Krinickytė, abogado especializado en protección de datos de noyb: "La recopilación y el intercambio ilegales de datos personales de los usuarios es un problema generalizado en el entorno de las aplicaciones móviles. Es clave que las autoridades de control tomen ahora las medidas adecuadas para poner fin a esta práctica."

Análisis de las violaciones de la privacidad de las apps móviles. Para obtener pruebas de las infracciones mencionadas, fue necesario realizar un análisis técnico del tráfico de red de las aplicaciones para teléfonos inteligentes. La captura y el análisis del tráfico de red se llevaron a cabo utilizando la PiRogue Tool Suite desarrollada por Defensive Lab Agency. Puede encontrar la metodología detallada aquí.

Supresión de datos y posible multa. noyb solicita a la CNIL que ordene a MyFitnessPal, Fnac y SeLoger que supriman todos los datos que hayan sido tratados ilegalmente. Además, todos los destinatarios de los datos del denunciante deben ser informados de que el denunciante ha solicitado la supresión de cualquier enlace, copia o réplica de sus datos personales. Dada la gravedad de las alegaciones y el número potencialmente elevado de personas afectadas, noyb también sugiere que la autoridad competente imponga una multa. Estas denuncias son sólo el principio: noyb tiene previsto presentar más denuncias contra empresas de aplicaciones móviles en el futuro para poner fin al intercambio ilegal de datos de los usuarios.

Agradecimientos

  • La captura y el análisis del tráfico de red se llevaron a cabo utilizando la suite de herramientas PiRogue desarrollada por la agencia Defensive Lab
  • El Dr. Konrad Kollnig aportó sus amplios conocimientos y experiencia en el tema del rastreo en aplicaciones móviles
  • Tracking Weasel aportó valiosos conocimientos sobre el tema de las bibliotecas de rastreadores y el rastreo en aplicaciones móviles.