Aplicaciones infantiles envían datos a terceros

Miles de aplicaciones infantiles pueden estar violando la privacidad de menores, según un estudio liderado por investigadores del International Computer Science Institute (ICSI) de la Universidad de Berkeley. Tras analizar 5.855 aplicaciones Android dirigidas a niños, los investigadores encontraron que el 57% vulnera claramente su privacidad, al menos según la ley federal que protege a los menores en Estados Unidos, la Children’s Online Privacy Protection Act (COPPA).

Esto sucede en el contexto de varias denuncias a empresas como YouTube o Disney, que se enfrentan a demandas colectivas por vulnerar la privacidad de menores.

YouTube ha dicho que su servicio no está dirigido a niños y que para ellos tienen otra aplicación específica, YT Kids, con filtros. Responsabilidad de los padres o no, lo cierto es que además de recoger y enviar datos, YouTube mostraba anuncios dirigidos a los niños. Mientras tanto, la app de YT Kids recibía una ola de quejas de padres preocupados por vídeos extraños creados por algoritmos.

Algunos productores habían encontrado una forma de explotar el uso del clickbait infantil, y vídeos con personajes infantiles en situaciones inapropiadas recibían millones de visitas por parte de menores sin supervisión. YouTube borró millones de vídeos y ha anunciado que implementará moderación totalmente humana para YT Kids.

La demanda a Disney señala a 42 aplicaciones para niños que recogían datos de menores también con el objetivo de crear perfiles para anuncios dirigidos. El tipo de datos que le acusan de recoger puede ser usado para detectar la actividad de un niño a través de diferentes apps, plataformas y dispositivos, produciendo una cronología completa, lo que según la demandante, Amanda Rushing, es vendido a terceros que comercializan anuncios. La demanda incluye a compañías tecnológicas como Upsight, Unity y Kochava.

La situación española

En España, actualmente los niños se encuentran amparados por la Ley Orgánica de Protección de Datos, y a partir del 25 de mayo lo estarán por el nuevo Reglamento General de Protección de Datos (RGPD). En el caso de apps recogiendo información de menores y enviándolas a terceros, Paloma Llaneza, abogada, dice que hay que estudiar si se ha solicitado el permiso expreso de los padres, pero que no cree "que se haya explicado en esos términos y condiciones exactamente qué se hará con esos datos, a qué terceras partes se venden y cómo serán usados”.

Narseo Vallina, investigador del IMDEA Networks de Madrid y uno de los autores del estudio, explica que las aplicaciones no pueden legalmente crear perfiles de menores sin consentimiento parental, pero aún así envían datos sensibles a terceras compañías, en ocasiones muy opacas. Ahí reside el problema, ya que el usuario no puede saber para qué fines se usan esos datos.

Y, además, "la mayoría de las aplicaciones utiliza servicios de terceros para publicidad porque es más barato integrar servicios ya desarrollados por otras compañías que implementar unos propios, pero en ese caso el desarrollador es responsable de verificar el uso de los datos personales por esos terceros y de informar al usuario”, explica Vallina. No todas estas infracciones son intencionales, advierte. “Lo más probable es que estén causadas por descuidos al incluir software de terceros [SDKs] en las aplicaciones”.

Google creó el programa Designed for Families con el objetivo de ayudar a desarrolladores a hacer aplicaciones seguras para niños. Estos esfuerzos no parecen haber sido suficientes, ya que todas las apps del estudio citado estaban dentro de este programa. “Google puede incentivar buenas prácticas, pero no puede forzar un cumplimiento”, explica Vallina. Consultado por EL PAÍS, Google afirma que sus reglas para protección de menores son iguales en todo el mundo, y que no hay diferencias con España.

Esas oscuras terceras partes

Los servicios de terceros son parte integral del ecosistema móvil actual. Son empresas que desarrollan servicios para aplicaciones y que pueden ofrecerlos a un coste inferior. Hablamos de servicios como analítica, integración con redes sociales, monetización a través de anuncios y una gran variedad más. El problema para la privacidad es que estas empresas suelen ser invisibles para los usuarios, como advierte otro estudio de varias universidades estadounidenses en el que también colabora el instituto IMDEA Networks.

Estas terceras partes reciben un flujo constante de datos tanto a través del navegador como de las apps y tienen la capacidad de hacer un seguimiento de los usuarios sin su conocimiento, incluso a través de múltiples dispositivos. “Con todo eso, tienen la capacidad de cruzar información y obtener un identificador único, un perfil digital que nos describe”, explica Vallina.

Las nuevas generaciones ya nacen con una huella digital provocada por los datos que se van recolectando y por los datos que de ellos suben padres y familiares, muchas veces en el desconocimiento o en la negligencia. Esas generaciones no tienen una adolescencia libre de registros, y nadie está pensando en ellos

A esto se le llama huella digital, al rastro que se deja en internet, y actualmente es prácticamente imposible controlarlo, con tantas aplicaciones que usamos a diario y la falta de transparencia en la gestión de permisos. Esto ya es directamente imposible para un menor.

Llaneza se manifiesta preocupada por este hecho: “Las nuevas generaciones ya nacen con una huella digital provocada por los datos que se van recolectando por el uso que ellos hacen de las aplicaciones y por los datos que de ellos suben padres y familiares, muchas veces en el desconocimiento o en la negligencia. Esas generaciones no tienen una adolescencia libre de registros, en ese momento en el que uno comete errores y tiene derecho a equivocarse, y nadie está pensando en ellos”.

¿Para qué puede interesar construir una huella digital, un perfil del comportamiento de un niño? “Es que es perverso”, contesta Vallina, “generalmente es para mostrarle anuncios al menor, pero puede haber otros usos más oscuros de esos datos que desconocemos”.

El clic de los niños

Álvaro Varona, experto en aplicaciones infantiles, hace un año destapó que hay aplicaciones dirigidas a menores para simular o “jugar” con operaciones de cirugía plástica como liposucciones, tabiques nasales o implantes. “Detrás de eso hay empresas deshonestas intentando recopilar comportamiento de los niños”, dice. Conoce a muchos productores buenos que cuidan estos aspectos.

“Lo que está pasando es que hay muchísima gente que proviene de otros entornos que no tienen que ver con la infancia haciendo productos para niños. Ahí están los problemas”, agrega.

Norman Suárez es CEO de Cuicui Studios, una empresa española pequeña que tiene tres apps infantiles. Piden datos como género, fecha de nacimiento y nacionalidad a los niños para darles información estadística de sus avances en el juego, y según Suárez, todos los datos son anonimizados.

Una de sus apps, Cuibrain, envía datos a dos terceros, Firebase y Unity, una empresa que proporciona interfaces para videojuegos, y además tienen un servicio de analítica. Unity “ha dado pasos positivos para cumplir con la ley COPPA”, según Vallina. “Si sabe que tu aplicación es de menores, automáticamente cambia los settings y deja de coger información sensible”.

Cuando se le prgunta a Suárez si tienen manera de verificar qué se está haciendo con los datos que envían a terceros, responde que no. Esto da una idea de opacidad de estos servicios externos. Algunas apps de Cuicui Studios tienen publicidad y compras in-app pero están en proceso de quitar ese modelo y basarse en una tarifa plana, por motivos de rentabilidad y también por “lo que se viene” en materia de privacidad con la RGPD. “Creemos que se va a empezar a meter mucha tijera”, dice Suárez.

Las apps más populares entre los niños son las de vídeo, entre ellas, la de Clan RTVE y YT Kids, según Varona, especialista en apps infantiles. Clan RTVE es una app veterana creada por RTVE, tiene 600.000 visitantes únicos al mes sin publicidad. Yago Fandiño, director de contenidos infantiles de TVE, dice que la privacidad es uno de sus retos: “Probablemente la debilidad que tenga la aplicación es la participación por parte de los niños, que otras aplicaciones facilitan más. Nosotros lo hemos frenado para garantizar al máximo la seguridad de los niños y que no se registren datos personales”.

Y así es, porque la app no pide registro para utilizarla. Pero envía datos a dos terceros, Pushwoosh, un servicio para enviar alertas -que ya no utilizan, según Fandiño-; y Crashlytics, un servicio de Google para control de errores. La aplicación no informa de esto. Probablemente mucho cambie cuando llegue la RGPD en unas semanas, para la que Fandiño dice que se están preparando.

Según Vallina, será muy interesante ver qué pasa con el nuevo reglamento europeo en relación con los trackers de datos. “El problema de raíz es que se ha portado un modelo de negocio diseñado para adultos a las aplicaciones de menores. Quizás deberían buscar otro modelo más respetuoso con los niños”.