El desastre de los datos de geolocalización

IMAGE: Mohamed Mahmoud Hassan - Public Domain Pictures (CC0)Un muy recomendable artículo de investigación del New York Times, «Your apps know where you were last night, and they’re not keeping it secret« pone de manifiesto el desastre de privacidad que supone ya no el hecho de autorizar a algunas apps a acceder a nuestros datos de localización, que puede tener su sentido según el tipo de app y los servicios que obtenemos de ella, sino el tratamiento posterior de esa información por parte de muchas de esas apps, que utilizan alguna cláusula oculta en esos términos de uso que nadie puede razonablemente leerse para vender esos datos al mejor postor.

La reacción inmediata tras leer el artículo es salir corriendo a las opciones de tu teléfono para revisar qué aplicaciones tienen acceso a tus datos de localización y empezar a revocar permisos como si no hubiera un mañana. Sin embargo, el resultado de esa reacción resulta bastante decepcionante: la impresión tras una primera revisión es bastante menos directa que lo inicialmente anticipado. En la mayor parte de los casos, no solo eres consciente de que esa app tenía acceso a tus datos de localización, sino que incluso recuerdas cuando se lo otorgaste y por qué razón. Posiblemente te sorprenda, si eres un usuario razonablemente intenso de tu smartphone, el gran número de apps a las que permitiste acceder a un dato que se supone bastante privado y potencialmente muy intrusivo, pero deteniéndote en cada caso, es posible que te cueste revocar esos permisos: en la mayor parte de los casos, la razón por la que los concediste sigue ahí.

Y es que la geolocalización, en realidad, sirve para muchas cosas. Intuitivamente y en un primer examen, permitir acceso a los datos de geolocalización a la app que gestiona las bombillas de tu casa puede parecer un exceso… hasta que lo haces, y eso te permite, definiendo las reglas adecuadas, que tu casa reaccione a tu llegada encendiendo las luces que necesitas para entrar cómodamente en ella, o que cuando no estás encienda con períodos razonablemente aleatorios algunas luces para simular que hay actividad y disuadir a posibles ladrones. Lo mismo ocurre con muchas otras aplicaciones de todo tipo: desde una de cambio de moneda en la que aspiras a que deduzca la moneda cuyo cambio quieres calcular en función del país en el que te encuentras, la de pagar el aparcamiento para que sepa en qué barrio te encuentras, o la de tomar notas para que las etiquete en función del sitio en la que la utilizaste. Pequeños detalles aparentemente poco críticos, a veces de simple comodidad, posiblemente prescindibles, pero que pueden contribuir a que la propuesta de valor de muchas apps sea completa y satisfactoria: pequeños detalles, pero que seguramente no quieres perder.

¿Dónde está el problema? No en la funcionalidad de las apps en sí, que seguramente está bien diseñada y permite que el acceso a tus datos de geolocalización tenga sentido – si no fuese así, seguramente, no se lo habrías dado, aunque también hay, y no pocos, que simplemente aceptan todos los cuadros de diálogo durante el proceso de instalación sin siquiera leerlos – sino en la segunda derivada: que se considere razonable que una app pueda esconder en sus términos de servicio una cláusula que le permita comercializar sin restricciones unos datos tan sensibles como la geolocalización de sus usuarios. Se trata de una cuestión tan obvia, tan clara y notoriamente abusiva y tan injustificable, que debería provocar que toda aquella app que haya recurrido a esas técnicas fuese inmediatamente multada. A nadie se le ocurre pensar que un usuario va alegremente a aceptar que algo tan potencialmente indiscreto como los datos de geolocalización sea comercializado sin limitaciones a cualquier compañía, y por tanto, es completa y absolutamente evidente que si un usuario lo aceptó, fue sencillamente porque esa cláusula que lo decía estaba enterrada en unos términos de servicio diseñados para no ser leídos.

Una y otra vez volvemos a lo mismo: la casilla en la que afirmamos que «he leído y acepto los términos de servicio» es la mayor mentira de internet. No porque como usuarios seamos irresponsables, sino porque esos términos de servicio son imposibles de leer y entender salvo por abogados especializados en el tema. Suelen extenderse por páginas y páginas, ser especialmente densos en su terminología y, básicamente, no estar escritos ni en inglés ni en español, sino en «legalés». El uso de esa terminología, por otro lado, no es una cuestión arbitraria ni caprichosamente escogida: es necesaria para asegurar la concreción de lo redactado. Si una compañía optase por escribir sus términos de servicio en el lenguaje de las personas de la calle, probablemente acabaría enterrada en demandas de todo tipo por parte de abogados capaces de retorcer el lenguaje común hasta el infinito. Y de esa situación sin aparente solución, surgen abusos de todo tipo.

El problema, por tanto, no está ni en que una app pueda utilizar nuestra geolocalización como parte de su propuesta de valor, ni – necesariamente – en que seamos unos alocados a la hora de conceder esos permisos. Está en que existen sinvergüenzas que, amparándose en unos términos de servicio que saben que nadie mira, esconden en ellos cláusulas que les permiten hacer cualquier cosa, cláusulas que tendrían que poder ser interpretadas como nulas por cualquier juez, y que sencillamente tendrían que ser declaradas ilegales de manera absoluta por la legislación de privacidad: que bajo ningún concepto se puedan comercializar datos de geolocalización sin una autorización expresa, inequívoca y clara de los titulares de los datos, firmada caso a caso como consentimiento completamente informado. Mientras no se legisle algo así, seguiremos siendo pasto de comportamientos poco éticos y encontrándonos ya no con que una app sabe donde estamos, sino con que, además, se lo cuenta a cambio de dinero a todo aquel que encuentre un beneficio potencial en saberlo. Una comercialización a todas luces impúdica que debería ser calificada como completamente ilegal, hayas aceptado el acuerdo de términos de servicio que hayas aceptado. Una patente de Facebook pretende utilizar los datos de localización de sus usuarios ya no para venderlos como tales, sino para vender la probabilidad de que en el futuro estés en un sitio determinado, y por supuesto ni se plantea si el usuario puede estar o no de acuerdo con algo así: como sus términos de servicio lo permiten, la compañía va y lo vende, sin más.

No todo lo que pone en un contrato es o debe ser legal, aunque el usuario lo firme. Y en el contexto online, por todas las razones citadas anteriormente, esto es todavía más cierto, y debe controlarse más aún.

 

 

 

This article was also published in English on Forbes, “They wouldn’t sell your geolocation data without your permission…» 

 

11 comentarios

  • #001
    Marcelo - 11 diciembre 2018 - 16:24

    Tan fácil como desactivar la ubicación del teléfono y tenerlo así por defecto. La pregunta es si los operadores hacen lo mismo mediante su ingente infrastructura de antenas y los millones de teléfonos que están permanentemente conectados a ella, no puedes escapar de ellos ni apagando el cacharro… si alguna vez tenéis previsto delinquir, lo primero es dejar el telefono en casa u os cazarán como conejos triangulando.

    • Gorki - 11 diciembre 2018 - 16:44

      Dejar el teléfono en casa o apagarlo es muchas veces es sospechoso, Lo mejor es darlo a alguien para que lo pasee por la ciudad como siempre.

    • Ponyer - 11 diciembre 2018 - 16:54

      Estás totalmente errado. Aunque no lo sepa la gente, una de las cláusulas que aceptas en las condiciones se servicio al configurar el movil (si no lo aceptas no puedes usarlo) es que les das el consentimiento (sin que salga el icono de uso de gps) a cada 20 minutos trackear tu ubicación para ofrecerte servicios de trafico entre otros. Así que no digais cosas que no son. Si usas android por ejemplo o ios, ambos hacen lo mismo. Leed las condiciones del servicio que nos obligan a aceptar.

  • #004
    Gorki - 11 diciembre 2018 - 16:40

    El otro día indicaba que llevamos permanentemente encima y conectado, un aparato que puede oír ver, geolocalizar, averiguar nuestros contactos, nuestras llamadas y mensajes, saber nuestra agenda, nuestras alarmas, nuestros pagos,… y sin embargo no sabemos que es exáctamente a lo que hemos dado permiso para registra y «subir a la nube» para su posterior comercialización y/o control estatal, y además existe la posibilidad que se haga sin tu consentimiento, (según el sistema político del país).

    Francamente es preocupante, pues en otros sistemas de control es relativamente fácil engañar a la interfaz , (utilizar seudónimos, o datos falsos, cambiar de terminal, de usuario,…),… pero en este no lo es tanto, pues se conecta tu vida real, (pagos por banco, contrato legal con el proveedor,… ) con el dispositivo en cuestión.

    Sólo se me ocurre utilizar los datos a través de un servicio que los anonimice, algo del tipo TOR pero pensado para móviles, (que no se si existe)

    • Isangi - 11 diciembre 2018 - 18:02

      Y curiosamente esos datos pueden ser usados en tu contra, pero dificilmente como eximiente en un juicio…

  • #006
    Gorki - 11 diciembre 2018 - 16:53

    Otros que comercian con los datos geolocalizados son las empresas de sharing, quien eres, donde y a que hora alquilas el vehículo, donde lo dejas. Sé que lo ofrecen a los ayuntamientos para previsiones de tráfico, de lineas de autobuses, etc, pero supongo que tendrán ademas otro tipo de clientes, anunciantes de Vallas, valoración de locales comerciales etc., pues hasta ahora tenían sólo los aforos de paso, pero no idea del el nivel adquisitivo de los transeuntes,

  • #007
    Miguel Durán - 11 diciembre 2018 - 19:27

    Como decía Stallman en una conferencia ya hasta los juguetes sexuales les están chivando datos a los fabricantes, que y no es coña. El problema ya no está en tu móvil, sino que también en el complemento de muñeca, en la consola de mano que se conecta a la Red o la cámara de video vigilancia doméstica (si, ya también la del bebé) y Por no hablar de lo que hace tu pc con un sistema propietario en cuanto pilla Red. Solo si sabes lo que pones (en realidad, delega en un tercero la responsabilidad de hacerlo, pero lo eliges tu, si no eres un hacker ) puedes tener la seguridad de lo que haces no acabe en manos de buitres.
    A mi me da la risa floja cuando veo los anuncios del Yahoo mail cambiar si salgo por el nodo corporativo de Holanda, Francia o USA.
    Eso silos de Aliexpress saben que ayer compre guirnaldas de luces y la semana pasada paraguas, y aunque lo hiciera desde un sobremesa en mi casa.
    Solo si esos datos se igualan en nivel con tus convicciones podríamos tener un rayo de esperanza.
    Y si te crees invulnerable tras X, no te lee lo descubierto por Karpensky y como han disfrazado de pendrive un equivalente ala Raspberry para hacker bancos desde dentro

  • #008
    German - 12 diciembre 2018 - 05:40

    Yo intento en lo posible, no utilizar el icono de localización. Sólo cuando quiero poner la localización en una foto de Instagram o que me precise el tiempo que hace en una determinada población. Por lo demás, no lo utilizo. Aunque eso ofrece pocas garantías porque Google en todo momento sabe tu ubicación. Gracias por dejar mi opiníón.

  • #009
    Enric Pérez - 12 diciembre 2018 - 08:11

    Cuando he leído en el artículo lo de las bombillas o el cambio de moneda, he pensado que nos estamos convirtiendo en minusválidos mentales ¿De verdad necesitamos aplicaciones de este u otro tipo para poder ir por la vida «sin pensar»? ¿Sin hacer el más mínimo esfuerzo? Cada cual puede hacer lo que quiera, desde luego, pero más cómodo o más fácil no quiere decir mejor, ni mucho menos.

  • #010
    Julio Tamariz - 12 diciembre 2018 - 09:25

    El problema no es ya que los desarrolladores de aplicaciones que te piden permiso para tener tu localización la conozcan, y puedan usarla..
    Forma parte de lo que les estás autorizando a hacer.
    Y forma parte de un concepto que nos empieza a resultar ya casi «Natural» con el GDPR de que te pidan que «aceptes las cookies, y que hagan con tu información lo que quieran, o dejes inmediatamente de utilizar el servicio».
    El problema, más grave es que la API de programación de algunos Sistemas Operativos, como Android, envía esa información de geolocalización, no ya al desarrollador de la aplicación, sino también al desarrollador del propio Sistema Operativo.
    En Android, por ejemplo, no se puede activar la geolocalización sin haber autorizado antes el acceso a INTERNET. ¿Por qué? Cuando GPS es un Sistema pasivo, que no requiere de conexión a INTERNET.
    Aducen mejoras, porque con una conexión a INTERNET te pueden proporcionar una posición más precisa, gracias al concepto de GPS diferencial.
    YO NO QUIERO ESA PRECISIÓN.
    NO al coste de divulgar mi posición.
    La culpa no es del desarrollador de las aplicaciones. Está embebida en el Sistema Operativo, que no permite utilizar la posición GPS sin divulgarla.
    Y nuestras «autoridades» no entienden ni el enunciado del problema.

  • #011
    Jaír Amores - 13 diciembre 2018 - 18:47

    Buenas! Aquí Jaír, de EfectiVida.
    Muy interesante el artículo. Lo cierto es que la geolocalización tiene muchas ventajas. Hoy en día, rechazarlas sería complicado dependiendo en qué sectores te muevas. Por otro lado, es increíble que se permita el espionaje masivo a nuestros datos. Sí, es cierto que los aceptamos al instalar o dar permisos a las apps. Pero es que nadie lee esas parrafadas. En un artículo que publiqué (Cómo defenderse del espionaje ) cito un experimento que se hizo sobre el tema.

    Unos investigadores crearon un punto de acceso falso de Wi-Fi en Londres. Uno de los términos para permitir el acceso era que se renunciase al hijo primogénito. Los investigadores cuentan que en 30 minutos, vieron que seis personas aceptaron los términos y condiciones. Es decir, renunciaron a su hijo primogénito para utilizar internet gratis.

    Esperemos que se den más garantías, porque si no…
    Un saludo desde Canarias!

Dejar un Comentario

Los comentarios están cerrados