Información a cambio de cookies
El uso masivo de cookies se ha convertido en una realidad asumida por todos los que utilizamos Internet. No existe un portal web que, antes de acceder a su contenido, no pida autorización para recoger información de los usuarios para fines técnicos —y, lo que es más importante, para fines comerciales—.
La legislación española establece que "los prestadores de servicios podrán utilizar dispositivos de almacenamiento y recuperación de datos en equipos terminales de los destinatarios, a condición de que los mismos hayan dado su consentimiento después de que se les haya facilitado información clara y completa sobre su utilización, en particular, sobre los fines del tratamiento de los datos".
Esta descripción, en principio general, establece la posibilidad de que cualquier sitio web pueda recoger tantos datos como el usuario autorice como contraprestación inicial por acceder a la información que publican. Se trata de una "transacción económica" que habitualmente es percibida por el usuario como un canje equitativo y prácticamente gratuito.
Y decimos "transacción económica" porque los proveedores de información requieren un mínimo conjunto de datos para proporcionar esos servicios; de lo contrario, rechazarán el acceso a la información.
Paywalls de Cookies
En una modificación reciente, la normativa española adaptó su legislación para obligar a estos sitios web a ofrecer mecanismos alternativos de acceso a la información para aquellos usuarios que decidieran bloquear las cookies impuestas por el proveedor.
¿Y cuál fue la solución adoptada por los proveedores? Implementar un sistema de «Paywalls de Cookies» o sistema de «pagar o aceptar». Es decir, definir un modelo en el que ofrecen alternativas de pago a cambio de renunciar al uso de cookies: una evidente transacción económica entendible ya sin tapujos por cualquier persona.
Ante esta tesitura, la inmensa mayoría de los usuarios está decidiendo seguir la primera de las opciones — esto es, aceptar las cookies propuestas por el proveedor— asumiendo que, con ello, el "coste será menor; incluso despreciable. Al fin y al cabo, todo se reducirá a recibir más o menos publicidad…".
Las cookies de los teléfonos móviles
Ahora pensemos en la problemática asociada a los dispositivos móviles que empleamos los usuarios para acceder a cualquier información en la Web.
Este tipo de dispositivos tiene una característica que los hace realmente diferenciales: la geolocalización.
No son pocas las aplicaciones de Internet o incluso los portales web que piden permisos para geolocalizar el dispositivo como condición indispensable para el funcionamiento o el acceso a su información. Se trata de un dato que va un poco más lejos en la identificación y que en manos adecuadas puede revelar información confidencial de su propietario.
Por ejemplo, planteemos la siguiente situación en la que una compañía es capaz de agregar la información de diferentes aplicaciones e identificar a los usuarios en función de la información recogida por cada una de ellas. Pensemos, en la posibilidad de que, en el mundo del uso masivo de datos —fuente indispensable en el desarrollo de la Inteligencia Artificial— alguien fuera capaz de establecer correlaciones entre los datos de diferentes aplicaciones y dispositivos —cada una con su propia información de geolocalización— y localizar el terminal a todas las horas del día.
Esta es la situación que recientemente ha descrito un respetado profesional de la comunicación en ciberseguridad, Brian Krebs, mostrando cómo la disponibilidad de datos de publicidad móvil ha creado un mercado en el que existen compañías que actúan como agregadores de datos para construir sofisticados modelos que permiten rastrear los movimientos diarios de cientos de millones de personas en todo el mundo.
El MAID, elemento clave
Volvamos al punto de partida. ¿Qué es el MAID? Las siglas MAID responden a "Mobile Advertising ID". Hablamos de un identificador de dispositivo que se crea en todos los teléfonos móviles que disponen de Android (AAID) o iOS (IDFA) y que son utilizados por las aplicaciones instaladas en los terminales para gestionar la publicidad que reciben los propietarios.
Los MAID pueden ser enviados por las aplicaciones a repositorios centrales de datos de forma que con ellos se pueda construir un perfil basado en los intereses o gustos del usuario final.
Pese a que los terminales pueden cambiar su MAID tantas veces como quieran, no es habitual que los propietarios lo lleven a cabo. Por tanto, y de forma práctica, el MAID se convierte en identificador unívoco de un terminal (alternativamente al IMEI).
Según declara la AEPD, la realidad es que la posibilidad de cambiar el MAID es desconocida para la gran mayoría de usuarios, incluso su propia existencia y utilidad.
Así pues, el problema surge cuando la información transmitida junto al MAID incluye, por ejemplo, el geoposicionamiento. Un MAID geoposicionado puede proporcionar información de los movimientos del propietario del terminal o incluso su lugar de residencia.
No son pocas las aplicaciones que ilegalmente pueden llegar a compartir esta información, transmitiéndola de forma inmediata —sin consentimiento del usuario e incluso con datos detallados— a agregadores de trazabilidad que después se encargan de comercializar la información a terceros.
Los ejemplos, sobre todo en el mercado norteamericano, son numerosos, aunque no escasean los casos que afectan a países europeos donde la normativa GDPR deja algunos resquicios legales a aquellos que no procesan la información y que simplemente actúan de brokers.
Recomendaciones y conclusiones
El desarrollo de este tema daría para una extensa discusión sobre los limites de la privacidad y la explotación de los datos generados por los usuarios. Sin embargo, si alguien se ha sentido inquieto ante el planteamiento y se ha preguntado qué puede hacer para combatir esta situación, aquí van algunas recomendaciones básicas:
- Deshabilite la personalización de anuncios en su dispositivo. Tanto Android como iOS tienen mecanismos para hacerlo. Búsquelos y aplíquelos.
- Reinicie el MAID (sea en Android, AAID, o en iOS, IDFA) tan frecuentemente como pueda. El cambio de MAID reducirá la trazabilidad del dispositivo entre diferentes aplicaciones, al menos, en series históricas de datos.
- Seleccione productos de desarrolladores que cumplan con sus obligaciones como responsables de tratamiento de datos personales. Sea consciente de que las legislaciones europeas y las del resto del mundo no son iguales y que el RGPD debería ser de aplicación común.
- Mantenga en su dispositivo únicamente aquellas aplicaciones que realmente sean útiles y proporcionen un nivel de confianza adecuado. Aplicaciones de uso esporádico no implica que recopilen datos de forma esporádica.
En definitiva, actúe con precaución y piense que también las aplicaciones móviles utilizan sus propias "cookies", aunque, a menudo, no las veamos.