Contradicciones en las políticas de privacidad de las aplicaciones móviles y el riesgo del uso de plantillas

AUTOR: Isabel García García

FECHA: 28.01.2020

Un gran número de aplicaciones móviles (“apps”) de Google Play Store contienen políticas de privacidad que no informan honesta y adecuadamente sobre lo que sucede con los datos personales de los usuarios que recogen. En muchos casos, el uso de políticas estándar o plantillas es la práctica culpable de las contradicciones entre lo que la empresa declara que hace con los datos de los usuarios y lo que realmente ocurre con ellos.

En un estudio académico1 publicado en agosto del año pasado, los investigadores de varias universidades crearon una herramienta llamada “PolicyLint” con el objetivo de analizar el lenguaje utilizado en las políticas de privacidad de 11.430 aplicaciones de Google Play Store. El resultado fue que el 14,2% de las aplicaciones (1.618 apps) disponen de una política de privacidad que contiene contradicciones lógicas en lo que respecta a la recogida de datos personales de los usuarios.

Ejemplos de estas contradicciones incluyen políticas de privacidad que afirman en una sección que no recogen datos personales para seguidamente contradecirse en secciones posteriores donde afirman que recogen la dirección de correo electrónico e incluso el nombre del usuario –siendo éstos claros datos personales.

Otro estudio2, publicado asimismo en 2019, analiza un caso incluso más controvertido: políticas de privacidad de 8.030 aplicaciones móviles expresamente dirigidas a niños y familias –aplicaciones incluidas en la lista de Google Play Store “Designated for Families” –lo que implica que su público objetivo incluye niños menores de 13 años. Sorprendentemente, el 9,1% (728 apps) afirman que no están dirigidas a niños y el 30,6% (2.457 apps) declaran que no tienen conocimiento de la recogida de datos de niños menores de 13 años.

Igualmente en ambos estudios, un gran porcentaje de las políticas de privacidad no hacen ninguna referencia a la existencia de comunicaciones de datos a terceras empresas, cuando en la práctica se pudo comprobar la existencia de éstas. Es más, en el segundo estudio se ha encontrado que 9.424 aplicaciones no utilizan protocolos de encriptación en las comunicaciones de datos, cuando el 28,4% de esas mismas aplicaciones afirman que implementan medidas de seguridad adecuadas en las transferencias de datos.

En muchos casos, las plantillas tienen la culpa.

El equipo de investigación creador de “PolicyLint” encontró 59 aplicaciones que habían hecho uso de servicios de internet para autogenerar la política de privacidad y un examen más profundo de éstas reveló que las afirmaciones contradictorias eran parte de la plantilla en sí misma y no adición del proveedor de la aplicación.

Como ya ha hecho hincapié la Agencia Española de Protección de Datos al respecto de este tipo de servicios de adecuación a la normativa de protección de datos “a coste cero”, “el cumplimiento del RGPD y de la LOPDGDD no consiste en un cumplimiento meramente formal, sino que implica revisar, diseñar y aplicar los principios de protección de datos a las circunstancias específicas de cada empresa”; por lo que la implementación de plantillas, salvo excepcionales coincidencias, no permite cumplir con la normativa.

Referencias:
1 Andow, B., Mahmud S.Y., Wang, W., Whitaker, J., Enck, W., Reaves, B., Singh, K., Xie, T. (2019). PolicyLint: Investigating Internal Privacy Policy Contradictions on Google Play. Proceedings of the 28th USENIX Security Symposium, 585-602. https://www.usenix.org/system/files/sec19-andow.pdf


2 Okoyomon, E., Samarin, N., Wijesekera, P., Bar On, A.E., Vallina-Rodriguez, N., Reyes, I., Feal, A., Egelman, S. (2019). On The Ridiculousness of Notice and Consent: Contradictions in App Privacy Policies. The Workshop on Technology and Consumer Protection (ConPro ’19). https://blues.cs.berkeley.edu/wp-content/uploads/2019/05/conpro19-policies.pdf