Es difícil esconderse en la era del móvil. Nuestros smartphones nos delatan, y entre los muchos datos que "chivan" a todo tipo de empresas está el de nuestra ubicación, una información que es especialmente jugosa para un segmento: el de la publicidad geolocalizada o basada en la esa ubicación.
Esta práctica lleva años llenando las arcas de empresas que recolectan datos sin piedad y que luego las comparten con terceras partes. Anonimizados o no, agregados o no, esa publicidad geolocalizada vuelve a poner el punto de mira en una batalla casi perdida por la privacidad. La nueva legislación GDPR, eso sí, nos devuelve algo de control a los ciudadanos europeos.
Un ejemplo cercano
Morrisons está entre las cinco cadenas comerciales más importantes del Reino Unido. En 2012 llegaron a un acuerdo con Telefónica para utilizar la plataforma Smart Steps de Telefónica Dynamic Insights, y el objetivo era claro: aprovechar la "magia" del Big Data para incrementar sus ingresos.
¿Cómo lo hacían? Pues a través del análisis de esos datos. En colaboración con la firma Gesellschaft für Konsumforschung (GfK) lograron contar con un sistema que mostraba patrones con visitas geográficas a ciertas localizaciones diseccionadas por género y edad. Los datos provenían de los recolectados (y anonimizados) por la operadora O2.
El resultado fue notable. Morrisons comenzó a enviar cupones a clientes de forma personalizada basándose en esos datos y sobre todo en uno específico: la localización. Este tipo de solución fue analizado por un equipo de investigadores de la University of East London en septiembre de 2014 (PDF), y lo equiparaban a otra experiencia similar con otra de las grandes cadenas del Reino Unido, Tesco.
En el estudio se centraban en la importancia de las soluciones Big Data ofrecidas por empresas como Telefónica, pero para muchos casos concretos como el de Morrisons una de las claves estaba en la localización.
¡Shhh, no hables mucho de ello!
Es precisamente lo que destacaba un reportaje de AdAge en octubre de 2015: las grandes operadoras llevan tiempo trabajando con firmas como SAP, HP o AirSage "para gestionar, empaquetar y vender varios niveles de datos a comercios y otros clientes".
Ponían como ejemplo a la plataforma Consumer Insight 365 de SAP, que recolecta 300 eventos de dispositivos móviles de hasta 25 millones de usuarios de smartphones gracias a diversos acuerdos con operadoras. ¿Qué les revelan esos datos? Pues como explicaba Lori Mitchell-Keller, directiva en SAP, les dice "de dónde provienen tus consumidores, porque obviamente el operador móvil conoce dónde está su hogar".
En SAP, eso sí, prefieren comercializar su plataforma en Norteamérica y la región Asia-Pacífico ya que las leyes de privacidad y protección de datos son más fuertes en Europa, sobre todo ahora que ha entrado en vigor la GDPR.
De hecho bajo esta legislación los datos de ubicación son considerados datos de identificación personal, lo que los convierte en sensibles y protegidos por dichas medidas. Eso complica las cosas para quienes quieren aprovechar esos datos, ya que deben explicar claramente para qué se usan esos datos y con quién se comparten, además de tener que pedir el consentimiento expreso del usuario para poder usarlos.
Esa regulación se une a las potenciales quejas de los usuarios, y de hecho esa es una de las razones por las que según AdAge las operadoras apenas hablan de este tipo de plataformas. Peter Eckersley, Chief Computer Scientist en la Electronic Frontier Foundation, explicaba que "las prácticas en las que se han involucrado, el gran volumen de datos y la promiscuidad con la que revelan los datos de los clientes crean enormes riesgos para sus negocios".
Este organismo que lleva años tratando de proteger la privacidad de los usuarios sabe bien de lo que habla. De hecho avisan: las técnicas de anonimización ue se usan no son infalibles porque incluso aquella asociada con identificaciones cifradas o con hashes puede ser asociada a una dirección física y potencialmente reidentificada por hackers.
Estos sistemas de localización silenciosos —a diferencia de aquellos beacons que no acabaron de cuajar— son un jugoso negocio para las operadoras, que no revelan qué ingresos obtienen por servicios relacionados con este ámbito. En SAP reconocían por ejemplo en 2013 al hablar de Consumer Insight 365 que "comparten de manera efectiva los ingresos con el operador, de modo que puedan ganar dinero a partir de datos que básicamente no están utilizando o infrautilizando en la actualidad".
El funcionamiento de estas plataformas es opaco para los usuarios, y las operadoras prefieren no hablar demasiado de ello. Como explicaba Rohit Tripathi, directivo en SAP, por mucho que destaquen que los datos se anonimizan y se agregan "temen que la gente se entere y convierta esto en algo que no es" protestando por ello y poniendo a esas operadoras y a las empresas que trabajan con ellas en una situación muy incómoda.
Un negocio muy lucrativo
La constante recolección de datos de localización tiene una motivación evidente: el dinero. El negocio de la publicidad geolocalizada movió en 2017 un total de 16.000 millones de dólares solo en Estados Unidos, lo que supone un 40% de todo el gasto publicitario en móviles.
Los datos proceden de la consultora BIA/Kelsey, cuyos analistas explicaban además que ese negocio llegará a mover 32.400 millones de dólares en 2021 (en Estados Unidos, insistimos).
Para Mike Boland, uno de los responsables de ese estudio, la propia naturaleza del móvil hace que este tipo de publicidad tenga un futuro notable. Muchos anunciantes, indicaba, "siguen operando con la mentalidad del escritorio. Se quedarán atrás en la próxima era móvil definida por lo nativo y social, las interfaces de voz y multimedia, no banners y búsquedas tradicionales".
Un mercado fragmentado que será mejor que se quede así
El escándalo surgido con Cambridge Analytica nos permitió comprobar la enorme cantidad de datos que Facebook tiene sobre nosotros, pero es que la amenaza es aún mayor si uno habla de los datos que Google ha recolectado con nuestra actividad en sus servicios y aplicaciones.
Esa amenaza es constante y no solo proviene de esas grandes empresas, sino de otra multitud de empresas de menor entidad que también tratan de recolectar todo lo que pueden de nuestro uso de sus propias aplicaciones y servicios.
La mala noticia es que muchas lo hacen. La buena —o menos mala, mejor dicho— es que toda esa información está fragmentada y cada empresa "va a lo suyo". Afortunadamente no hay un repositorio central que aglutine toda esa información y la asocie para cada usuario en particular (esté anonimizado o no, que de todo hay), algo que plantearía una amenaza aún mayor para nuestra privacidad.
De existir dicho repositorio los riesgos serían enormes: los robos de datos que ahora están dirigidos a ciertas empresas y servicios con vulnerabilidades de todo tipo podrían de repente afectar a toda nuestra información combinada en ese repositorio central. Imaginad un caos como el de Equifax, pero incluyendo no solo la información crediticia de los afectados sino TODA (con mayúsculas) la información recolectada por todos los servicios y aplicaciones del mundo. Miedito.
¿Qué hago para evitarlo?
Lo cierto es que evitar el problema es difícil. Desactivar la función GPS desde el móvil mitiga esa recolección de datos, pero no la anula: las operadoras de telefonía móvil logran localizarnos triangulando nuestra posición dependiendo de con qué antena de telefonía estemos trabajando.
También sucede algo parecido con la conectividad WiFi, que si tenemos constantemente habilitada hará que la dirección MAC de nuestro móvil sea recolectada por los puntos de acceso que detecten esa presencia.
A eso se le unen, por supuesto, todas las aplicaciones que tratan de recolectar esos datos de ubicación de forma más o menos transparente. La típica aplicación que nos informa del tiempo suele pedirnos permiso para darnos esos datos en base a dónde nos encontremos, y seguirá haciéndolo mientras la usamos.
Aplicaciones como WeatherBug proporciona actualizaciones meteorológicas de forma constante. El servicio es interesante, pero lo es más el hecho de que como señalaban en The Wall Street Journal este servicio está desarrollado por GroundTruth, que no es más que una empresa publicitaria.
Los datos sobre nuestra ubicación se venden a otras empresas según la investigación realizada en el WSJ. Teniendo en cuenta que según ese estudio GroundTruth monitoriza la localización de 70 millones de personas en Estados Unidos —incluyendo cuándo se van al trabajo, vuelven a casa o asisten a actos públicos—, la recolección es una vez más preocupante. Y solo es un ejemplo.
Entre las sugerencias para minimizar esa recolección de datos está la desactivación tanto del GPS como de la conectividad WiFi en nuestro móvil cuando no vayamos a usarlas expresamente.
Otra de las opciones es por ejemplo la de evitar el uso de aplicaciones y servicios de Google. Hay ROMs como Lineage OS que lo permiten, y siempre tendremos acceso a aplicaciones y herramientas Open Source alternativas a través de la tienda FDroid.
Evidentemente eso no nos exime de vigilar qué permisos piden esas y el resto de aplicaciones que usemos: conceder permisos para conocer nuestra ubicación puede no ser buena idea si queremos evitar este tipo de recolecciones de datos de ubicación de los que estamos hablando.
Apple vuelve a sacar pecho en el ámbito de la privacidad, y con razón
El uso de móviles Android no ayuda demasiado a mitigar el problema, y si estamos preocupados por este tipo de escenarios quizás deberíamos plantearnos la compra de un iPhone.
La razón es simple: Apple no basa su negocio en la publicidad, así que la empresa no tiene esa obsesión por recolectar datos que sí es protagonista en Google, Microsoft, Facebook u otras tantas empresas.
Eso hace que en iOS existan más barreras para compartir esos datos, y Apple de hecho ha reforzado sus políticas al respecto. En los últimos meses la empresa ha comenzado a eliminar aplicaciones de su App Store que compartían datos de localización con terceras partes.
Los desarrolladores de estas aplicaciones no solo deben pedir permiso para utilizar esa recolección de datos de ubicación: deben explicar cómo se usan esos datos y cómo se comparten, si es que lo hacen.
Las medidas van dirigidas una vez más a proteger la privacidad de los usuarios, un esfuerzo que desde luego pone a Apple como referente en un ámbito en el que muchos usuarios deberían tener a esta empresa como alternativa clara.
En Xataka | GDPR/RGPD: qué es y cómo va a cambiar internet la nueva ley de protección de datos
Ver 9 comentarios