La AEPD publica dos estudios que analizan la privacidad en dispositivos Android

pantalla movil para ilustrar post conversiaLa Agencia Española de Protección de Datos (AEPD) ha elaborado dos informes técnicos centrados en el sistema operativo Android. Uno de ellos analiza qué son y para qué se utilizan los identificadores de publicidad y el otro explica cómo acceden algunas aplicaciones a la pantalla de los terminales. En este post de Conversia te detallamos el contenido de ambos estudios.

Privacidad en los anuncios personalizados y en el acceso a la pantalla

La AEPD ha publicado dos estudios técnicos que analizan la privacidad en los dispositivos con sistema operativo Android. Ambos documentos están dirigidos a usuarios y a desarrolladores de aplicaciones y ofrecen consejos y recomendaciones. Asimismo, estos informes y sus conclusiones serán presentados a los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la Agencia, junto a otras autoridades europeas de protección de datos y el Supervisor Europeo.

Control del usuario en la personalización de anuncios

El primero de los informes se denomina Control del usuario en la personalización de anuncios y analiza qué son los identificadores de publicidad presentes en los dispositivos Android, para qué se utilizan y qué opciones tiene el usuario para controlarlos.

El documento pone en contexto que desde 2014, cada dispositivo con sistema Android cuenta con un AAID, es decir, un identificador único que sirve para el envío de anuncios personalizados. Éste puede ser restablecido o inhabilitado. El informe evidencia que la mayoría de los usuarios no conocen la posibilidad de reestablecerlo. Asimismo, en el caso de que el usuario decida inhabilitar los anuncios personalizados, esta configuración se transmite a las entidades que realizan la publicidad, pero ellas deciden si respetan o no esta preferencia. Además, la inhabilitación no impide que el AAID sea igualmente enviado por algunas aplicaciones, por lo que se sigue construyendo un perfil basado en los intereses del usuario que puede ser utilizado posteriormente, si el usuario vuelve a activar la personalización de anuncios.

El informe destaca que, tras reiniciar un dispositivo a los valores de fábrica, la personalización de anuncios se vuelve a habilitar por defecto, de modo que el usuario tiene que deshabilitarla de nuevo y no al revés, como establece el principio de privacidad por defecto establecido en el Reglamento General de Protección de Datos (RGPD).

El documento ejemplifica estos hechos con Facebook: cuando un usuario deshabilita la publicidad basada en sus intereses sólo indica que la red social no muestre un anuncio personalizado, pero no puede evitar que la compañía de Zuckerberg recopile datos del usuario, asociándolos a un identificador de publicidad y elaborando un perfil basado en las aplicaciones que se ejecutan, todo esto independientemente de que el usuario del dispositivo esté, o no, registrado en Facebook. Con una serie de capturas de pantalla, el análisis muestra cómo se envía el AAID durante la ejecución de una aplicación de temática sexual. Con el simple hecho de abrir esta aplicación se produce una comunicación del AAID a Facebook, indicando el nombre de la app y otra información como la localización del dispositivo, el modelo del terminal y el idioma. Todo esto, aunque el usuario tenga deshabilitada la personalización de anuncios.

El estudio concluye con consejos para desarrolladores y para usuarios. Por lo que hace referencia a los primeros, éstos deben tener en cuenta que el envío de datos personales a terceros se considera un tratamiento para el que se necesita una base legal y, por lo tanto, deben cumplir con todos los principios del RGPD: minimización de datos, privacidad por defecto y desde el diseño, etc.  En relación con las recomendaciones para los usuarios, el documento establece que aquellos que deseen evitar el perfilado tienen que deshabilitar la personalización de anuncios, a pesar de que deben ser conscientes de la limitación de su eficacia. Asimismo, aconseja reiniciar el AAID frecuentemente y mantener instaladas en el dispositivo solo aquellas apps que generen confianza.

Acceso de las aplicaciones a la pantalla en dispositivos Android

El segundo documento lleva por título Acceso de las aplicaciones a la pantalla en dispositivos Android y muestra, con ejemplos, cómo algunas aplicaciones solicitan permiso a los usuarios cuando intentan acceder a su pantalla, pero sin informarle correctamente, ya que el usuario no puede comprobar si el permiso está activado ni si lo puede revocar. De esta manera, cualquier aplicación podrá grabar todo lo que se muestre en la pantalla del dispositivo solo con que el usuario haya aceptado el cuadro de diálogo generado por la app.

El estudio establece que la aceptación por el usuario de la grabación de la pantalla no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento, reflejado en el artículo 13 del RGPD. El hecho que el usuario no sea consciente de en qué momentos se está ejecutando la grabación, independientemente de que se haya concedido el permiso en un momento dado, tampoco cumple con los principios de transparencia. La AEPD recomienda a los usuarios no permitir el acceso al contenido de su pantalla si no se le ofrece la suficiente información, así como no activar nunca la opción “No volver a mostrar” cuando se muestra el aviso. Por lo que se refiere a los desarrolladores de aplicaciones, la Agencia aconseja que se aseguren de recoger el consentimiento de los usuarios de forma adecuada para cumplir con los requisitos de información señalados en la normativa, así como ofrecer una forma fácil de retirar este consentimiento. Además, tienen que establecer mecanismos para que el usuario sea consciente de cuándo se están realizando las grabaciones.

 

Descubre más estudios e informes realizados por la AEPD en relación con la privacidad y la protección de datos en este blog de Conversia.