La Agencia Española de Protección de Datos (AEPD), ha publicado dos estudios técnicos centrados en el sistema operativo Android: Control del usuario en la personalización de anuncios y Acceso de las aplicaciones a la pantalla. Los análisis, dirigidos a usuarios y desarrolladores de apps, ofrecen consejos para evitar algunas de las prácticas detalladas en los documentos a la vez que detallan los mecanismos que deben implementar los desarrolladores para cumplir con la normativa de protección de datos.
La nota técnica Control del usuario en la personalización de anuncios analiza qué son los identificadores de publicidad presentes en los dispositivos Android, para qué se utilizan y qué opciones tiene el usuario para controlarlos. Cada terminal cuenta con un AAID, un identificador único para el envío de anuncios personalizados que puede ser cambiado o inhabilitado. Si el usuario lo inhabilita, esta configuración se transmitirá a las entidades que generan la publicidad, pero depende de estas respetar o no esta preferencia. Además, deshabilitarlo no impide que el AAID sea enviado por algunas aplicaciones y, por tanto, no evita que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario para, por ejemplo, utilizarlo en un futuro cuando la personalización de anuncios vuelva a estar activa. El informe destaca que, por ejemplo, tras reiniciar un dispositivo a los valores de fábrica, la personalización de anuncios vuelve a estar habilitada por defecto y que el usuario tiene que deshabilitarla de nuevo y no al revés, como debería suceder de acuerdo al principio de privacidad por defecto establecido en el Reglamento General de Protección de Datos (RGPD).
La nota ejemplifica estos hechos con Facebook, concluyendo que cuando un usuario deshabilita la publicidad basada en sus gustos e intereses sólo está indicando que la red social no devuelva un anuncio personalizado, pero sin poder evitar que ésta siga recopilando datos del usuario, asociándolos a un identificador de publicidad y elaborando un perfil basado en las aplicaciones que se ejecutan. Esta recopilación de datos se produce independientemente de que el usuario del dispositivo esté registrado en Facebook. De hecho, el análisis muestra cómo se envía el AAID durante la ejecución de una aplicación de temática sexual. El simple hecho de abrir esta aplicación produce la comunicación del AAID a Facebook, indicando no solo el nombre de la aplicación sino otra información como la localización del dispositivo, el modelo del terminal y el idioma. Este envío se produce aunque el usuario tenga deshabilitada la personalización de anuncios.
Aquellos usuarios que deseen evitar el perfilado tienen que deshabilitar la personalización de anuncios (Ajustes/Google/Anuncios), siendo consciente de la limitación de su eficacia, así como reiniciar el AAID frecuentemente y mantener instaladas en el dispositivo únicamente las apps que proporcionen un nivel de confianza adecuado. En cuanto a los consejos para desarrolladores, deben tener en cuenta que el envío de datos personales a terceros se considera un tratamiento para el que es necesaria una base legal, y que deben cumplir con todos los principios del RGPD, como el de minimización de datos, además de la privacidad por defecto y desde el diseño. En definitiva, se trata de proporcionar al usuario una configuración por defecto que proteja su privacidad y opciones reales que le permitan no ser objeto de seguimiento.
El segundo de los estudios publicados por la AEPD, Acceso de las aplicaciones a la pantalla en dispositivos Android, muestra con ejemplos cómo algunas apps solicitan permiso al usuario cuando se produce el acceso a su pantalla sin informarle correctamente, y que éste no puede comprobar si éste está activado ni puede revocar el permiso. De este modo, cualquier aplicación en la que el usuario acepte su cuadro de diálogo podrá grabar aquello que se muestre en la pantalla del dispositivo.
La aceptación por el usuario de la grabación de la pantalla no cumple con las condiciones del consentimiento si previamente no se le ha informado claramente de los propósitos de dicho tratamiento de acuerdo con el artículo 13 del RGPD. De igual forma, no cumplirá con los principios de trasparencia que la grabación de la pantalla se produzca sin que el usuario sea consciente de en qué momentos se está ejecutando la misma, independientemente de que se haya concedido el permiso en un momento dado. La Agencia recomienda no permitir el acceso al contenido de su pantalla si no se le ha ofrecido información suficiente y no activar nunca la opción “No volver a mostrar” cuando se muestra el aviso.
Por su parte, los desarrolladores de aplicaciones que utilizan la grabación de la pantalla, han de asegurarse de que se recoge de forma apropiada el consentimiento de los usuarios con posterioridad a cumplir los requisitos de información que señala la normativa y que se ofrece una forma fácil de retirar dicho consentimiento. Además, han de proporcionar mecanismos para que el usuario sea plenamente consciente de cuándo se están realizando dichas grabaciones.
Actuaciones de la AEPD
La AEPD va a presentar estas notas y sus conclusiones en los subgrupos de trabajo del Comité Europeo de Protección de Datos (CEPD), organismo de la Unión Europea del que forma parte la Agencia junto a otras autoridades europeas de protección de datos y el Supervisor Europeo. El CEPD tiene entre sus funciones promover la cooperación entre las autoridades de protección de datos.