2022-07-15
Por: Diego Morabito
A finales de abril de 2022 Google implementó un nuevo modelo de información sobre el tratamiento de datos en su Play Store. Antes, la información disponible sobre el manejo de datos de las personas usuarias era básicamente: la política de privacidad y el despliegue de los permisos de acceso: fotos, video, internet, contacto. etc.
Sabemos que muchas de estas políticas de privacidad son largas, complejas y ambiguas respecto a cómo recopilan y manejan los datos de millones de usuarios.
Ahora, con esta nueva implementación, Google apunta a brindar más información pidiendo a quienes desarrollan las aplicaciones compartir qué datos recolectan y por qué, así las personas usuarias pueden descargar la app con conocimiento de esta información.
Imagen obtenida del comunicado.
1. Desarrolladores declaran información a la PlayStore.
Las y los desarrolladores que tengan una aplicación publicada en la PlayStore tienen hasta julio de 2022 para rellenar un formulario con información sobre el uso y recolección que le dan a los datos de las personas usuarias. Aquí puedes leer el comunicado de Google.
Hay que tener en cuenta que quienes desarrollan son responsables de revelar el tratamiento de los datos. Y que a partir del 20 de julio, ningún desarrollador puede publicar nuevas aplicaciones o actualizarlas si no ha llenado el formulario. Google señala que si identifica discrepancias entre lo que afirma quien desarrolla y el comportamiento real de la aplicación, se reserva el derecho a tomar las medidas apropiadas (no especifica estas medidas).
El comunicado tampoco especifica el proceso de revisión, si es un proceso de revisión automatizado, con un equipo humano o mixto.
2. Nueva información desplegada en la PlayStore:
Aquí detallamos la información que deben publicar quienes desarrollan aplicaciones y la información que no es obligatoria:
2.1 Recolección de datos. Se refiere a todos aquellos datos que son recopilados y enviados a servidores externos. Estos datos incluyen:
Sobre la recolección de datos, este otro tipo de información no es obligatoria, por lo que no aparecerá en la Play Store:
Cuando se compartan los datos con personas morales o físicas, quienes desarrollan deben reportar:
2.2 Datos compartidos con terceros.
Sobre los datos compartidos con terceros, esta información no se considera obligatoria:
2.3 Aspectos de recolección y tipos de datos. Quienes desarrollan deben especificar los siguientes puntos:
2.4 Prácticas de seguridad. Agregar la siguiente información es opcional.
Aquí pueden consultar las políticas de privacidad que deben seguir las y los desarrolladores de aplicaciones: Link 1, 2. Además el link a la explicación de cómo se recopilan ciertos datos y la definición de cierto tipo de datos.
1. ¿Los datos anónimos se mantienen anónimos?
Es importante entender las distinciones que hace Google sobre los datos. Afirma que se debe reportar como recolección de datos todo aquello que se adquiere por medio de sdk’s y librerías de código. También se reporta como datos compartidos con terceros todos aquellos datos que no son anónimos, pero en caso de que sí lo sean, entonces no es necesario reportarlo. Es decir, como desarrollador/a debo informar como recolección de datos los metadatos extraídos por trackers (que son un buen ejemplo de un sdk), pero como éstos son anónimos (o fueron anonimizados), no es necesario divulgar si estos son datos que se comparten con terceros.
El problema de lo anterior radica en que gran parte del ecosistema de extractivismo de datos sobrevive con este tipo de datos anónimos, y justo porque son anónimos, la discusión sobre la privacidad de las personas usuarias toma una forma velada.
Si los datos que Google, Facebook, Microsoft, y los grandes data brokers como Verisk, Acxiom y Oracle obtienen de una persona son anónimos o fueron anonimizados, entonces ¿su privacidad nunca fue violada?
La manera en la que Google reconoce los datos es sintomática del uso que le dan y el negocio que hacen con ellos. Además, si se tiene información adicional sobre una persona usuaria (cada dato distinto de un usuario se llama data point) es posible de-anonimizar la información que, nos dice Google, es anónima. Aquí el link a una historia publicada por Ars Technica.
2. ¿Quiénes son los terceros?
Por otro lado, es importante señalar que no se especifica quiénes son esos terceros con los que se comparten los datos, ni hay claridad sobre porqué se comparten datos con ellos ni en qué términos. Las categorías: de Análisis o Marketing, son ambiguas. ¿Qué están analizando? ¿Para qué? ¿Cómo? y por el lado de marketing, ¿cómo usan esos datos? Las personas usuarias tenemos derecho a saber si estos datos son, por ejemplo, una forma, por parte de los desarrolladores para monetizar la aplicación y qué hacen esos terceros anónimos con esos datos.
3. ¿Y los datos compartidos con gobiernos?
Asimismo, es preocupante que no sea obligatorio explicar si se comparten datos con el gobierno (y cuál gobierno). Siendo éste el organismo que legalmente puede ejercer la fuerza, muchos datos de las personas usuarias pueden ser utilizados de forma abusiva, ya sea en regímenes democráticos o totalitarios.
Si bien es cierto que explicitar, como ahora lo hace Google, toda esta información sobre el uso de y tratamiento de datos en las aplicaciones es un buen paso hacia el camino correcto de la privacidad y la elección informada de las personas usuarias, hace falta detalle y contexto de cierta información.
4. ¿Y la lista de permisos que piden las aplicaciones?
Nos gustaría agregar que no está claro por qué dejó Google de listar los permisos que requiere una aplicación. Esa información es relevante para la privacidad y seguridad.
Comentarios