Una gran cantidad de contradicciones aparecen en las políticas de privacidad de las apps de Google. Especialmente aquella políticas de privacidad referente a las prácticas de recopilación de datos.
En un estudio académico publicado el año pasado, los investigadores crearon una herramienta llamada PolicyLint. Esta analizaba el lenguaje utilizado en las políticas de privacidad de 11,430 apps de Play Store.
Descubrieron que el 14.2% (1,618 aplicaciones) contenía una política de privacidad con declaraciones lógicas contradictorias sobre la recopilación de datos.
Los ejemplos incluyen políticas de privacidad de las apps que declararon en una sección que no recopilan datos personales, solo para contradecirse en secciones posteriores, donde afirman que recopilan correos electrónicos o nombres de clientes, que son claramente información personalmente identificable.
En algunos casos, las plantillas son para culpar
El equipo de investigación no pudo determinar la intención del fabricante de la aplicación al usar declaraciones contradictorias en su política de privacidad. Sin embargo, los investigadores creen que el propósito principal era engañar a los usuarios si alguna vez se tomaban el tiempo de leer las políticas.
Sin embargo, también descubrieron evidencia de lo contrario. Por ejemplo, el equipo de investigación encontró 59 aplicaciones que usaban servicios en línea para generar automáticamente una política de privacidad. Una mirada más profunda a los servicios en línea reveló que las declaraciones contradictorias eran parte de la plantilla en sí, y no la adición del fabricante de la aplicación.
«Creo que encontramos cuatro o cinco plantillas diferentes», dijo Benjamin Andow, de IBM Research, y uno de los autores del estudio.
Sin embargo, la gran mayoría de otras políticas de privacidad de las apps eran exclusivas de cada aplicación. ¿Y lo peor de todo? No parecían ser el resultado de un accidente. En estos casos, el equipo de investigación dice que estos fabricantes de aplicaciones son susceptibles a multas de los vigilantes de privacidad de la UE y los EE. UU.
«Las autocontradicciones pueden conducir a la identificación de declaraciones engañosas. Estas son exigibles por la FTC y las DPA (autoridades de protección de datos) de la UE», dijo Andow, sugiriendo que su investigación podría usarse para localizar a los abusadores de GDPR.
Notificando a los vendedores.
Además, como parte del proceso de verificación de la precisión de la herramienta PolicyLint, el equipo de investigación también tomó una muestra de 510 políticas de privacidad con declaraciones contradictorias y verificó manualmente su corrección.
El proceso implicó un análisis cuidadoso de toda la política de la aplicación. Así que el equipo de investigación también notificó al fabricante de la aplicación sobre su política de privacidad inexacta.
De las 510 aplicaciones, el equipo de investigación encontró correos electrónicos de contacto para 260 desarrolladores, que notificaron por correo electrónico. Solo 244 recibieron el correo electrónico. ¿Y las otras 16? Terminaron siendo inválidas o inalcanzables.
De los 244 correos electrónicos que envían, los investigadores dijeron que solo recibieron 11 respuestas, después de lo cual, solo tres desarrolladores corrigieron sus políticas.
Hay más detalles disponibles en el documento técnico del equipo, titulado «PolicyLint: Investigando las contradicciones de la política de privacidad interna en Google Play», disponible para descargar en formato PDF desde aquí o aquí.
El equipo incluye investigadores y académicos de la Universidad Estatal de Carolina del Norte, la Universidad de Illinois en Urbana-Champaign e IBM Research.
Hay consistencia en la investigación
Los hallazgos del documento son algo consistentes con otro estudio de 2019 llamado «Sobre la ridiculez de la notificación y el consentimiento: contradicciones en las políticas de privacidad de las apps».
Este estudio separado analizó una muestra más grande de aplicaciones de Play Store. ¿Para qué? Para buscar inconsistencias entre las prácticas de recopilación de datos y lo que se reveló explícitamente en las políticas de privacidad.
El equipo de investigación descubrió que el 10.5% de las 68,051 aplicaciones que analizaron compartían datos personales con servicios de terceros. Sin embargo, no lo declararon en sus políticas de privacidad. Además, solo el 22.2% de las 68,051 aplicaciones nombraron explícitamente socios o afiliados de terceros en sus políticas de privacidad, con la gran mayoría de las aplicaciones ocultas donde los datos recopilados de los usuarios terminan.
:)