MENÚ
Como con cualquier otro servicio digital, no tenemos más remedio que aceptar algunas condiciones que vienen impuestas en las políticas de privacidad y las condiciones de uso si queremos utilizarlos. En el caso de las aplicaciones de control de gastos, se abre un nuevo escenario en el que no sólo las aprovechamos para administrar nuestro dinero, sino que nos abrimos ante ellas y les revelamos nuestros hábitos, antojos, placeres culpables y nuestros hobbies como si fueran una red social. Al final, nos acostumbramos a compartir abiertamente con estos servicios detalles tan íntimos como el dinero que nos gastamos en alcohol o drogas o si tomamos anticonceptivos, como ya hemos contado en Maldita.es.
Estos gastos individuales, que hablan de cómo somos, se comparten luego con plataformas y empresas de terceros, a menudo gigantes tecnológicos como Facebook, Google y Amazon, pero también, con muchos rastreadores que básicamente se dedican a digerir datos, crear perfiles de usuario y luego colocarnos publicidad personalizada en base a nuestros intereses. Sí, eso significa que nuestra madre no sabe cuánto dinero nos gastamos en fiestas, pero un anunciante aleatorio de un país diferente o una plataforma de redes sociales sí, y puede usar esa información para crear nuestro perfil preciso. La cadena continúa cuando ese perfil o los datos que lo forman se comparten con otras empresas que los usan con sus propios fines y acorde a sus propias necesidades.
Todas las aplicaciones que analizamos en una investigación conjunta de Maldita.es, Tactical Tech y SocialTIC utilizan rastreadores y servicios de terceros que les permiten obtener cierta información sobre sus usuarios, más allá de los datos declarativos que entregamos a las empresas al empezar a usar sus aplicaciones (nombre, correo electrónico, número de teléfono, cuenta bancaria, etc.). Veamos esto con algunos ejemplos extraídos de las aplicaciones analizadas: Fintonic, YNAB, Splitwise, Tricount y Revolut.
Sé anónimo... para que podamos desanonimizarte en un segundo
Estas aplicaciones saben cuánto gastas en luz, gas o en el agua de tu casa. También cuánto pagas de impuestos cada mes. Si tienes hijos o no. Y, si no conocen tu nombre o tu identidad, pueden averiguarlo. ¿Cómo? Algunas contratan servicios dedicados específicamente a vincular cierta información con datos personales que nos identifican. Estos servicios son los rastreadores.
Las aplicaciones usan rastreadores para diferentes propósitos. Algunos se aseguran de que todo funcione correctamente. Ejemplos son Google Crashlytics, que registra lo que estaba haciendo el usuario cuando una aplicación falla, o Google Analytics para Firebase, que recoge diferentes bits de datos sobre cómo usamos la aplicación. Piensa en ello como un diario en el que estos servicios anotan automáticamente cada botón que pulsamos o cada vez que abrimos la aplicación. Toda esa información se vincula luego a una especie de “tarjeta de identificación” virtual (nuestra ID de usuario), que permite a los diferentes servicios abrir el diario y ver cómo nos estamos comportando como usuarios.
Puede suceder que las empresas detrás de estos servicios de seguimiento recopilen una gran cantidad de datos sobre nosotros o que sus prácticas de privacidad en realidad no sean tan “privadas”. Este es uno de esos casos.
A través de un análisis técnico de las apps realizado por nuestros socios de investigación de SocialTIC, descubrimos que YNAB utiliza rastreadores de terceros como mParticle, Braze o Bugsnag. Algunos de ellos tienen un enfoque bastante agresivo a la hora de acceder y recopilar los datos de los usuarios. Esto significa que aunque la aplicación de control de gastos que usemos aplique ciertas salvaguardias para cuidar de los datos, después estas otras compañías pueden aplicar sus propias normas. Y estas normas puede que sean mucho menos garantistas.
Por ejemplo, mParticle es justo el tipo de empresa que está detrás de esas notificaciones, correos electrónicos o anuncios que nos encontramos en Internet sobre un producto específico que estamos usando o que alguna vez hemos usado. Su objetivo es hacer que interactuemos con la aplicación en todo momento, especialmente cuando detectan que nos hemos dado una pausa y llevamos varios días sin entrar en ella.
Uno de los servicios que ofrece a las apps es IDSyinc. Permite a los desarrolladores asignar a los usuarios un código de identificación (ID) que se puede rastrear incluso cuando no conocen su nombre y sólo se han descargado la aplicación, pero no han llegado a iniciar sesión. mParticle dice que pueden vincular esos datos anónimos o agregados extraídos de un usuario que no tiene una cuenta al momento en el que decide crear una. ¿Y cómo se las arreglan para hacer coincidir los perfiles si, en teoría, no saben que esos datos son nuestros? A través de datos agregados. Básicamente, desanonimizan a un usuario a partir de datos que en principio no tienen por qué identificarle.
De esta forma asocian usuarios aleatorios que una empresa no reconoce a posibles futuros clientes que acaban creando una cuenta, pero lo hacen a expensas de información que un principio no tiene por qué ponernos cara y nombre, como datos de dispositivos, direcciones IP (que no nos identifican directamente) o nuestra actividad en una aplicación en particular. Este proceso se conoce como reversión de datos anónimos o seudonimizados y es contrario a un enfoque de preservación de la privacidad de los datos.
La empresa reconoce que existen "argumentos comerciales y legales convincentes" en contra de esta práctica, pero le restan importancia señalando la "oportunidad" que dan a sus clientes de conservar “un historial completo de la experiencia de un usuario con su aplicación".
También permiten a los clientes buscar información específica en el perfil de un usuario: “La búsqueda de IDSync permite a los especialistas en marketing consultar los perfiles de usuario por cualquier identificador conocido, como un correo electrónico, teléfono móvil o identidad del dispositivo, y devolver todos los valores de identidad de usuario coincidentes, incluida la ID de mParticle”, explica la compañía en las guías que ponen a disposición de los desarrolladores. De esta manera, incluso si decidiésemos crear una nueva dirección de correo electrónico que no hemos dado a un servicio, mParticle asociará el correo electrónico que ya tiene con nuestra nueva dirección, por lo que seguirá rastreándonos.
Además, es posible que las aplicaciones no compartan datos directamente con Facebook, pero si usan mParticle, podría haber una transferencia de información de todos modos, dado que hay opciones para integrar datos de Facebook y tiene funciones especiales para llegar a audiencias en plataformas.
Tu “contrato” no es con una sola aplicación... Mira de nuevo tus condiciones
YNAB, por ejemplo, alerta a los usuarios de que si deciden vincular una cuenta financiera a la aplicación, están aceptando además "los términos de las respectivas políticas de privacidad de esos socios" que permiten esta conexión. Además, los usuarios "otorgarán expresamente a los socios de agregación el derecho, el poder y la autoridad para acceder y transmitir información según sea razonablemente necesario" para proporcionar los servicios. ¿Y quiénes son estos agregadores financieros?
Plaid, MX y TruePlayer. Estas son las empresas encargadas de transferir los historiales de transacciones bancarias a la aplicación. Actúan como un intermediario entre la aplicación en sí y el banco y es a ellos a quienes les damos nuestras credenciales bancarias. “Bajo la dirección del usuario, YNAB recibe acceso a los datos de la transacción (como la fecha, el beneficiario, la cantidad, etc.), así como a los detalles de la cuenta (como el nombre de la cuenta, el saldo, la tasa de interés, etc.)”, explica la empresa.
Plaid, por ejemplo, actúa como conector entre nuestras cuentas financieras y un servicio fintech como YNAB. También Splitwise utiliza este agregador financiero, que accede a una gran variedad de datos: nuestro nombre, dirección de correo electrónico, número de teléfono, fecha de nacimiento, dirección, número de cuenta bancaria, a veces información sobre nuestro empleador, sobre préstamos, (incluida la fecha de vencimiento, las tasas de interés y el plan de pago), el saldo de la cuenta y la lista de transacciones.
En su Política de Privacidad dicen que pueden usar la información recopilada "para hacer inferencias'': "Por ejemplo, podemos inferir tu ubicación o tus ingresos anuales en función de la información que hemos recopilado de ti o de otras fuentes.” Esto significa que, a partir de los datos que recopilan, crean un perfil financiero en torno a nosotros que luego puede ser utilizado por servicios como Splitwise para ofrecernos un determinado tipo de servicio. Esta aplicación también utiliza Plaid para algunos de sus servicios con el fin de "recopilar datos de usuarios finales de instituciones financieras". Los usuarios otorgan exactamente el mismo "derecho, poder y autoridad" a Plaid para que "actúe en tu nombre y acceder y transmitir su información personal y financiera". Estas son las empresas externas que le dicen a una aplicación como YNAB o Splitwise ‘quiénes somos’.
Los servicios de terceros colaboran a su vez con otras empresas. También cuenta Plaid en sus documentos de privacidad que pueden compartir identificadores, información financiera y comercial, información profesional y datos de ubicación de los usuarios con “instituciones financieras”, “asesores profesionales” y “proveedores de servicios de análisis”, para cumplir con sus clientes, como YNAB. Al igual que YNAB y Splitwise, operan en EE.UU., por lo que los datos se procesan en ese país.
Otro de estos agregadores financieros, MX, funciona de manera similar: “También procesamos los datos personales de los usuarios de forma agregada para ayudar a nuestros clientes, ofrecer promociones significativas como préstamos personales, tarjetas de crédito e hipotecas”. La información derivada de los hábitos de consumo de los usuarios combinada con otros datos personales y preferencias alimentan los perfiles personales, que luego utilizan los anunciantes para colocar publicidad dirigida que nos incite a gastar más dinero.
Junto con Google, Facebook y Amazon, Tricount también trabaja con el rastreador Branch, cuya función principal es vincular datos entre diferentes plataformas y dispositivos (una técnica llamada deep linking). Branch tiene como objetivo ayudar a los servicios a maximizar la participación y el rendimiento de los usuarios. Según la documentación pública para desarrolladores, podemos inferir que rastrea a un usuario estableciendo un código ID que luego vincula a ciertos eventos/acciones. Los más relevantes en nuestro caso serían cuando un usuario compra algo; cuando interactúa con cualquier característica de la aplicación; cuando progresa en el uso de la aplicación (crea un perfil, vincula un correo electrónico, etc.); y otros eventos y acciones personalizados definidos por el desarrollador de la aplicación.
Branch puede acceder a eventos registrados por Google Tag Manager y Google Firebase, servicios que también utiliza Tricount. Tiene acceso a la mayoría de la información que los rastreadores de Google recopilan de un usuario. Esto significa más precisión en la creación de perfiles de usuarios y más información sobre sus preferencias específicas, necesidades y, en última instancia, más gastos.
¿Recuerdas lo que dijimos antes sobre cómo apuntábamos nuestros gastos en las aplicaciones? Imagínate que apuntaras en una hoja todo el alcohol que has comprado en la última semana, y la anterior, y la anterior. Si alguien lo viera, ¿consideraría que bebes demasiado? Hay servicios cuyo principal objetivo es inferir eso a partir de la información que tienen sobre ti.
Las políticas de privacidad: un imprescindible de la que rehúyen los usuarios
La falta de transparencia es otro de los grandes problemas que nos encontramos con estas aplicaciones, sobre todo teniendo en cuenta que los usuarios no suelen tener claro cómo se manejan sus datos personales. A veces, aunque un usuario haga el esfuerzo de leer una política de privacidad, la información no se expone con claridad. Fintonic, por ejemplo, afirma en su Política de Datos principal que “no se ceden datos personales a terceros”. Sin embargo, nuestro análisis técnico muestra que hay información del usuario que se comparte, como mínimo, con rastreadores que siguen fines de marketing, como las herramientas de Google, Appsflyer o Leanplum.
El abogado de protección de datos Rahul Uttamchandani detecta al menos dos infracciones del RGPD: "No proporcionar la información necesaria (obligación de transparencia) y no cumplir con los principios de procesamiento (tratamiento de datos sin base legal)".
Por ejemplo, al registrarse con una cuenta en Splitwise, la aplicación recopila una variedad de datos personales, incluidos el nombre, la dirección de correo electrónico, el número de teléfono, el tipo de dispositivo, la dirección IP y la opción de que los usuarios se registren con las credenciales de su cuenta de Google, conectando así su perfil de la cuenta de Google (y contactos, con el consentimiento del usuario) con la aplicación y viceversa. De acuerdo con su Política de Privacidad, Splitwise utiliza dichos datos para dar su servicio a los usuarios, así como para realizar actividades como analizar el comportamiento del usuario, tareas de marketing y promociones o para "rellenar campos de formulario o almacenar preferencias para su comodidad", entre otros.
Agentes externos, proveedores de servicios, filiales y empresas subsidiarias de la compañía propietaria de la aplicación que realizan diferentes funciones también tienen acceso a la información personal de usuarios específicos y están "obligados por contrato a cumplir" con las prácticas de privacidad de la aplicación. Entre ellos, citan "servicios de mantenimiento, administración de bases de datos, alojamiento en la nube, análisis web y móvil, servicios de escaneo de recibos y OCR (reconocimiento óptico de caracteres)".
En algunos casos, cuando lo permite la ley, Splitwise permite que terceros usen los datos para mejorar sus propios servicios, como realizar el reconocimiento óptico de caracteres (OCR) en los recibos de los usuarios para entrenar algoritmos... "Por ejemplo, un tercero que haga el servicio de escaneo de recibos puede mejorar la calidad de su servicio de OCR al entrenar un algoritmo en los recibos que proporciona a Splitwise”.
Además de los datos personales recopilados en la aplicación, Splitwise trata de completar los perfiles de sus usuarios adquiriendo más datos de servicios de terceros o escaneando la web (una técnica también conocida como web scraping), en busca de más información pública que puedan servir para engordar su propio grupo de datos. Por ejemplo, de acuerdo con su política de privacidad, si un usuario tiene un avatar público almacenado en un servicio como Gravatar asociado con su correo electrónico, la aplicación "puede completar automáticamente su avatar de usuario en Splitwise”.
Tampoco sigue las recomendaciones de respetar las peticiones de los usuarios sobre el rastreo de sus datos. "Track (DNT)” es una configuración del navegador que solicita a una aplicación web/sitio web que deshabilite el seguimiento de un usuario individual. Splitwise dice que ignorará dichas solicitudes de forma predeterminada: “Las prácticas de divulgación y recopilación de información de Splitwise y las opciones que brindamos operan como se describe en esta Política de privacidad, aunque se reciba o no la petición de de ‘no rastrear’”. Esto no lo hace sólo Splitwise, sino que es más bien parte de una falta general de consenso y aplicación de la solicitud DNT en muchos servicios en línea y sitios web, como se refleja en este artículo: "RIP 'Do Not Track,' El Estándar de privacidad que todos ignoraron”.
No es tan fácil para una empresa procesar y transferir nuestros datos sin nuestro consentimiento, pero las compañías se suelen escudar en que damos nuestro permiso cuando aceptamos una Política de Privacidad. “Las políticas y/o los términos en los que el usuario expresa su aceptación haciendo clic en una casilla de verificación se denominan acuerdos 'clickwrap'. Poder leer los términos y hacer clic en la casilla de verificación es válido y exigible en la mayoría de las jurisdicciones como consentimiento contractual”, aclara Rahul Uttamchandani. Este es el caso que nos encontramos con YNAB y el hecho de que toda su infraestructura está en EE.UU.
Jelena Adamović, abogada de privacidad de datos e investigadora de la Fundación SHARE, también enfatiza los problemas relacionados con el consentimiento: “Esta práctica en la que la lectura de las políticas de privacidad significa que ha dado su consentimiento a cualquier cosa es directamente contraria a la lógica y disposiciones del RGPD.” (...) “Es más... Si desea utilizar el consentimiento como base legal para el procesamiento de datos, entonces existen estándares muy altos para el consentimiento, lo que significa que debe otorgarse libremente, sin ambigüedades".
Ambos especialistas consideran que las empresas se están aprovechando demasiado de la base legal que garantiza ese consentimiento: “El consentimiento es una base legal adecuada si se ofrece a las personas una opción real y un control sobre cómo se utilizan los datos. Si el consentimiento es una condición previa para usar un servicio, lo más probable es que no sea la base legal adecuada para procesar datos”, agrega Uttamchandani. En la mayoría de los casos, los usuarios no tenemos la posibilidad de aceptar sólo algunas de las condiciones, sino que tenemos que aceptarlas todas al mismo tiempo. Por lo tanto, el consentimiento deja de ser “expreso” y, en ocasiones, válido.
Esta es la segunda parte de una serie de tres artículos sobre la investigación llevada a cabo por Maldita Tecnología (Maldita.es), Tactical Tech y SocialTIC. La producción de esta investigación fue apoyada por una subvención del Investigative Journalism for Europe (IJ4EU). Puedes leer la investigación completa y su metodología aquí.
