C¨®mo Facebook esp¨ªa tus datos a trav¨¦s de anuncios en apps sin tener una cuenta Facebook

No es no. Pero en la vida digital, parece que ese ¡®no¡¯ nuestro es un no de pacotilla que no se va a tener en cuenta. Los datos personales se han convertido en la mayor fuente econ¨®mica para negociar en la Red, y aunque existen elementos para mantener una privacidad, lo cierto es que estamos bastante vendidos, como se?ala la AEPD, la Agencia Espa?ola de Protecci¨®n de Datos, en su ¨²ltimo informe sobre el control del usuario en la personalizaci¨®n de anuncios en Android.

El AAID, Android Advertising ID

En 2014, con el lanzamiento de KitKat, Android introdujo un identificador de publicidad conocido como AAID, en l¨ªnea con el Identifier for Advertisers (IDFA) que Apple ven¨ªa utilizando tiempo atr¨¢s. Este identificador tambi¨¦n se conoce como Google Advertising ID (GAID). IDFA y AAID son identificadores ¨²nicos para publicidad, que en el caso de Android es proporcionado por los servicios de Google Play, y que el usuario puede cambiar en cualquier momento desde su dispositivo m¨®vil.

El uso de otros identificadores ¨²nicos del dispositivo como el IMEI, la direcci¨®n MAC o el n¨²mero de serie del dispositivo deb¨ªa ser plenamente sustituido por el uso de identificadores como el AAID e IDFA. La pol¨ªtica del programa para desarrolladores de Google Play establece que, ¡°para cualquier fin publicitario, debe usarse el ID de publicidad en todas las actualizaciones y aplicaciones nuevas subidas a Google Play, y no otros identificadores de dispositivo, cualesquiera que sean¡±.

Ampliar

El objetivo alegado por Google para la introducci¨®n de AAID es ¡°proporcionar al usuario mejores controles sobre su privacidad, a la vez que dota a los desarrolladores de un sistema que les permite seguir obteniendo ingresos con sus aplicaciones¡±. La mejora para los usuarios consiste b¨¢sicamente en que pueden cambiar (restablecer seg¨²n Google) el identificador, lo que permitir¨ªa desvincular el dispositivo de los datos recopilados anteriormente, y tambi¨¦n pueden inhabilitar los anuncios personalizados en las aplicaciones de Google Play. Para ello:

Algunos estudios han puesto de manifiesto c¨®mo Facebook puede realizar seguimiento de los usuarios en Android, incluso a usuarios que no tengan cuenta en Facebook. Por ejemplo, el estudio publicado a finales de 2018 ¡®How Apps on Android Share Data with Facebook¡¯, de Privacy International, analiza m¨¢s de 30 aplicaciones, concluyendo que m¨¢s del 61% de esas aplicaciones env¨ªan datos a Facebook en el momento en el que el usuario abre la aplicaci¨®n. En otros estudios del mismo a?o se indica que hasta un 42% de aplicaciones gratuitas del Google Play Store podr¨ªan estar compartiendo datos con Facebook.

?C¨®mo funciona esta t¨¦cnica? El informe de la AEPD coge como ejemplo a la app AZ Screen Recorder, y nos cuenta que la aplicaci¨®n ¡°utiliza los servicios de publicidad de Facebook, instalada en un dispositivo Android con la personalizaci¨®n de anuncios habilitada. Durante los momentos en los que la aplicaci¨®n est¨¢ en ejecuci¨®n se producen comunicaciones con servidores de Facebook en los que se env¨ªa el AAID junto con otra informaci¨®n entre la que destaca el nombre de la aplicaci¨®n. El AAID se env¨ªa mediante una petici¨®n POST a graph.facebook.com dentro del par¨¢metro IDFA6, y el nombre de la aplicaci¨®n en el campo BUNDLE¡±.

Lo curioso es que si se ejecuta la misma aplicaci¨®n, en el mismo dispositivo, pero esta vez con la personalizaci¨®n de anuncios deshabilitada, se produce una petici¨®n POST muy similar: ¡°A pesar de la nueva configuraci¨®n, se sigue enviando a graph.facebook.com el AAIDy el nombre de la aplicaci¨®n que se est¨¢ ejecutando, la ¨²nica diferenciase encuentra en el par¨¢metro IDFA_FLAG, cuyo valor en este caso es 0, y sirve para indicar a la API de Facebook que el usuario no desea que el anuncio a mostrar en la aplicaci¨®n est¨¦ basado en sus gustos o intereses¡±.

Ampliar

El despersonalizar los ads que vamos a ver sirve ¨²nicamente para indicar a Facebook que no devuelva un anuncio personalizado, pero "no evita que ¨¦ste pueda seguir recopilando datos del usuario y asoci¨¢ndolos a un identificador de publicidad", como el nombre de la aplicaci¨®n que ha generado la petici¨®n, por lo que puede continuar elaborando un perfil basado en las aplicaciones que se ejecutan. Como se ha indicado anteriormente, esta recopilaci¨®n de datos se produce independientemente de que el usuario del dispositivo est¨¦ registrado en Facebook

Una funci¨®n que no sirve de mucho

Seg¨²n la AEPD, en cuanto a los efectos de inhabilitar los anuncios personalizados, la AAID es una configuraci¨®n que se transmite a las entidades que generan la publicidad, y depende de estas entidades respetar o no esta preferencia del usuario. Sin embargo, esto no evita que el AAID sea enviado por algunas aplicaciones y por tanto no impide que se pueda seguir construyendo un perfil basado en los intereses o gustos del usuario para, por ejemplo, utilizarlo en un futuro cuando la personalizaci¨®n de anuncios pueda volver a estar activa.

Al inhabilitar la personalizaci¨®n de anuncios, el propio Google advierte de que si el usuario borra la cach¨¦,¡¯ la personalizaci¨®n de la publicidad volver¨ªa a estar activa¡¯, y adem¨¢s advierte de la ineficacia de la medida al indicar tambi¨¦n que es posible que los anuncios no est¨¦n basados en los intereses del usuario, no asegurando este extremo en ning¨²n caso.

Por ejemplo, tras reiniciar un dispositivo a valores de f¨¢brica la personalizaci¨®n de anuncios vuelve a estar habilitada por defecto. El usuario tiene que realizar una acci¨®n para deshabilitarla a trav¨¦s del men¨² anteriormente expuesto, y no al rev¨¦s, que es como deber¨ªa suceder de acuerdo al principio de privacidad por defecto del RGPD