En la actualidad, los dos principales sistemas operativos utilizados por los teléfonos móviles son Android e iOS. Ambos cuentan con multitud de aplicaciones en sus “stores”, algunas de las cuáles se ha demostrado que vulneran la protección de datos personales de los usuarios y pueden conllevarles problemas de privacidad. En este post de Conversia te contamos una medida que ha tomado la AEPD para combatir esta situación.

17.000 apps de Android han registrado datos sin permiso

Según una investigación realizada por el International Computer Science Institute, 17.000 aplicaciones de Android podrían estar infringiendo la política de privacidad de Google por registrar permanentemente la actividad de sus usuarios y mandar esta información a empresas de publicidad sin su consentimiento. La investigación, publicada en el portal tecnológico CNET, explica que estas aplicaciones combinan el ID de publicidad (un marcador de Google que puede ser reseteado) con marcadores específicos del hardware de los dispositivos, los cuáles no pueden configurarse para que eliminen sus registros.

La política de Google prohíbe realizar esta combinación sin el consentimiento expreso del usuario cuando se trata de fines publicitarios. De hecho, para evitar problemas, la compañía recomienda a los desarrolladores que utilicen solo su ID de Publicidad, cosa que solo hace un tercio de las aplicaciones, según el estudio. Además, en la política del programa para desarrolladores de Google Play, Google establece que, para cualquier fin publicitario “debe usarse el ID de publicidad (si está disponible en el dispositivo y no otros identificadores de dispositivo”.

Según apunta el investigador Serge Egelman, el problema de combinar los identificadores es que la “privacidad desaparece” porque las aplicaciones envían datos de estos identificadores a las empresas publicitarias. A pesar de que el ID de publicidad sí puede ser reseteado, el resto de identificadores, como dirección Mac, IMEI o Android ID, no pueden ser reconfigurados y, al ser específicos de cada dispositivo, las empresas publicitarias siguen teniendo tus datos, aunque decidas resetear el ID de publicidad.

¿Qué apps se ven afectadas por estos problemas?

Entre las aplicaciones que el informe realizado por el International Computer Science Institute ha identificado que están recolectando datos de esta forma se encuentran Clean Master (1.000 millones de descargas), Flipboard (500 millones) o Audible (100 millones), así como algunas destinadas al público infantil como My Talking Tom (100 millones de descargas), Angry Birds  Classic (100 millones) o Temple Run 2 (100 millones).

Al ser informada sobre esta investigación, Google tomó medidas contra algunas de las aplicaciones, sin especificar cuáles. Asimismo, la compañía recordó en una declaración que no puede controlar los datos que se envían a servicios de publicidad externos y que la empresa se toma muy en serio las vulneraciones de privacidad, por lo que en 2018 incrementó en un 55% el número de aplicaciones bloqueadas de su Play Store.

La AEPD publica un estudio para analizar los flujos de información en apps realizadas para dispositivos Android

Ante la frecuencia de este tipo de problemas, la Agencia Española de Protección de Datos ha publicado el estudio técnico Análisis de los flujos de información en Android. Herramientas para el cumplimiento de la responsabilidad proactiva, realizado en colaboración con la Universidad Politécnica de Madrid. Se trata de un documento dirigido básicamente a desarrolladores de apps y responsables de tratamiento de datos personales en el que se pone de relieve el riesgo elevado de fugas de información personal que se presenta en el entorno de las aplicaciones móviles.

La finalidad de dicho estudio es que los responsables del tratamiento de datos dispongan de las herramientas y utilicen las metodologías adecuadas para determinar que la política de privacidad ofrecida al usuario cumpla con garantías exigidas por el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales (LOPDGDD). Asimismo, el informe ofrece una guía para que las compañías puedan auditar sus apps, analizando los flujos de información personal en dispositivos Android.