Un estudiopublicadoel pasado sábado por la organización Privacy International afirma que las versiones para Android de populares aplicaciones como Skyscanner, TripAdvisor o MyFitnessPal, entre otras, transmiten datos a Facebook sin el consentimiento de los usuarios.
La organización estudió 34 aplicaciones con una base de instalación de 10 a 500 millones y descubrió que al menos 20 de ellas envían ciertos datos a Facebook, incluido el nombre de la aplicación, la identificación única del usuario con Google y el número de veces que la aplicación se abrió y cerró desde que fue descargada.
Además, algunas aplicaciones, como el sitio de viajes Kayak, también enviaron a Facebook información detallada sobre las búsquedas de vuelos, incluidas las fechas de viaje, si el usuario tenía o no hijos y qué vuelos y destinos había buscado.
El GDPR
En mayo pasado la ley europea sobre el intercambio de datos cambió con la introducción del Reglamento general de protección de datos (GDPR, por sus siglas en inglés) y ahora es necesario que las aplicaciones móviles cuenten con el consentimiento explícito de los usuarios antes de recopilar su información personal.
Sin embargo, Frederike Kaltheuner, quien llevó a cabo la investigación, señaló que si bien la responsabilidad de cumplir con las regulaciones es del desarrollador de la aplicación, el kit para desarrolladores de la compañía Facebook no daba la opción de esperar el permiso del usuario antes de transmitir ciertos tipos de datos.
«Al menos cuatro semanas después del GDPR, ni siquiera fue posible pedir consentimiento, debido a la configuración predeterminada del SDK [kit de desarrollo de software] de Facebook. Esto significa que los datos se comparten automáticamente en el momento en que se abre la aplicación», explicó Kaltheuner,citadapor Financial Times.
Varios desarrolladores de aplicaciones se quejaron del problema a la compañía estadounidense en mayo, y presentaron informes de errores en la plataforma de desarrolladores de la empresa, señalando que Facebook impide el cumplimiento de la ley.
Facebook a su vez respondió que había creado una solución, pero que los desarrolladores necesitarían descargar la actualización para usarla. Sin embargo, los desarrolladores han continuado presentando informes de errores.
‘Desanonimización’
Otra preocupación que plantean los investigadores es la «desanonimización» de los datos, la práctica de vincular los datos personales con un usuario, prohibida por el GDPR. Facebook puede vincular una identificación de Android con el perfil de la red social de un usuario, identificándolo instantáneamente y agregando cualquier información adicional a su perfil personal.
Por ejemplo, una persona que ha instalado Qibla Connect (una aplicación de oración musulmana), Period Tracker Clue (un rastreador de período femenino), Indeed (una aplicación de búsqueda de empleo), My Talking Tom (una aplicación para niños), podría ser perfilado como «probable mujer, probable musulmana, probable solicitante de empleo, probable madre», según el informe.
Facebook también puede usar los datos para dirigirse a múltiples personas, por ejemplo, si una pareja casada usa aplicaciones en el mismo wifi, o en la misma ubicación, sus ‘ID de Android’ se pueden vincular entre sí para orientar anuncios similares para ambos.
Los resultados
Como resultado, según el informe de Privacy International, el 61% de aplicaciones revisadas transmite automáticamente datos a Facebook en el momento en que se abre la aplicación. Esto sucede independiente de si las personas tienen una cuenta de Facebook o no, o si han iniciado sesión en Facebook o no.
Por su parte, la empresa estadounidense respondió al estudio de Privacy International, subrayando que Facebook está trabajando «en una serie de cambios, incluido el desarrollo de una nueva herramienta llamada ‘Clear History'».
«Es importante que las personas tengan acceso cuando recibimos información sobre ellos cuando no están usando nuestros servicios y que tengan control sobre si asociamos esta información con ellos», declaró un portavoz de la compañía.