Suscrito a Spotify Premium, pero aún rastreado

Pagar no impide que Spotify filtre tus datos personales a Google y al who's who del marketing de vigilancia

Publicado por Pixel de Tracking el 25 de abril de 2020

La publicidad, una parte marginal de los ingresos de Spotify

Spotify funciona según un modelo "freemium": puedes escuchar el servicio de música en streaming de forma gratuita ("Spotify Free") pero tendrás limitaciones y publicidad. La versión gratuita sirve de producto de llamada para la versión de pago.

si miramos Resultados financieros del último trimestre de 2019., los usuarios de “Spotify Free” representan el 56% de todos los usuarios, pero sólo el 11% de los ingresos de Spotify.

Spotify cuarto trimestre de 2019

Sin embargo, Spotify vende agresivamente a sus usuarios "Free"

Si la publicidad representa una parte marginal de los ingresos de Spotify, esto no le impide utilizar la programática, el método de venta de inventario publicitario menos respetuoso con la privacidad (lea más sobre esto la página explicativa de Brave). Spotify incluso está acelerando su desarrollo publicitario, dice Julie Clark, director de publicidad programática de Spotify:

[...] Dicho esto, todavía vimos tasas de crecimiento de dos dígitos en cada uno de nuestros canales directo, programático y Ad Studio. Durante el cuarto trimestre, introdujimos pausas publicitarias dinámicas ("DAB") en EE. UU. y el Reino Unido, lo que agregó un inventario vendible significativo. Planeamos expandir esta capacidad a 10 mercados más en el primer trimestre y continuaremos escalando estas capacidades a medida que el contenido esté cada vez más disponible en nuestra huella geográfica total.

Además, como se señala Pat Walshe En este excelente hilo de Twitter, Spotify se jacta de su sitio para anunciantes conocer muy bien tus gustos, tus estados de ánimo, tu comportamiento online e incluso revelar tu comportamiento offline:

Spotify: cuanto más transmiten

¿Cuáles son estos hábitos musicales “clave” que te permiten perfilarte mejor y, por tanto, venderte mejor a las marcas?

Hábitos de Spotify

Para perfilarte, Spotify también utiliza datos de terceros:

Investigación de audiencia de Spotify

Spotify ya es particularmente bueno analizando su comportamiento y brindando recomendaciones (como lo demuestra tu lista de reproducción Discover Weekly), se puede confiar en que aplicarán su ciencia a la publicidad conductual y, al mismo tiempo, filtrarán los datos personales de sus usuarios "gratuitos" a anunciantes externos.

Pero al ser suscriptor de Spotify Premium y por tanto no tener publicidad, no esperaba no ser rastreado por terceros.

Spotify para iOS filtra mis datos personales

A continuación se detallan los pasos a seguir para observar si Aplicación Spotify para iOS filtraba mis datos personales:

  • Cerrar las distintas aplicaciones en segundo plano.
  • Lanzamiento de la aplicación Charles Proxy y permitir el seguimiento.
  • Inicie la aplicación Spotify (en modo conectado, suscripción Premium) y luego escuche algo de música.
  • Exportación de registros de mi sesión de Charles Proxy a mi computadora.

Spotify iOS

Sorpresa, Spotify Premium llama a muchos terceros:

  • Google : omnipresente, Spotify llama aquí Crashlytics (informes de fallos), herramienta comprada en Twitter en 2017 e integrado en su caja de herramientas para desarrolladores, Firebase. Si bien llamar a un servicio de Google es discutible, una herramienta de informe de fallas tiene sentido, incluso para una aplicación paga.
  • Facebook : omnipresente, Facebook también proporciona su caja de herramientas para desarrolladores. Esta integración no parece filtrar ninguna información personal específica (puedo ver cómo hacer una simple llamada a Facebook, sin identificadores adicionales). Sin embargo, ¿cuál es el punto? Me conecto a Spotify a través de mi dirección de email y no a través de facebook, por lo que Spotify no debería tener motivos para llamar a Facebook.
  • Adjust : empresa de marketing móvil que ofrece varios servicios que incluyen análisis, atribución (cuya campaña publicitaria permitió la instalación de Spotify) y retargeting publicitario. Claramente, no pago a Spotify para que este tipo de empresas me rastreen.
  • Comscore : a través de scorecardresearch.com, una empresa especializada en investigación de mercado. Aquí también me perfilan sin haber dado mi consentimiento.

Ten en cuenta que para Facebook no tengo una cuenta y ya había desactivado "Datos de Facebook" en el Configuración de privacidad de Spotify :

SpotifyFacebook

Y, sin embargo, Spotify continúa criticando a Facebook.

¿Cómo evitar este seguimiento? Spotify no presenta opción de opt-out para su aplicación para iOS (más detalles más adelante en el artículo), tendrás que recurrir a soluciones sofisticadas como aplicaciones DNSCloak, AdGuard o NextDNS.

Spotify para Mac, adicto a las soluciones publicitarias de Google

Ahora veamos si Cliente Mac de Spotify también filtra datos personales a empresas de publicidad. Para esto seguí los mismos pasos pero con la aplicación Charles Proxy para Mac :

SpotifyMac

Por lo tanto, Spotify también envía tus datos personales en la aplicación para Mac a estos terceros:

  • Google : a través de múltiples dominios, Spotify usa Google Ad Manager para monetizar su inventario publicitario. Problema: uso la versión Premium de Spotify, no recibo publicidad. ¿Por qué Spotify filtra mis datos personales a la solución publicitaria de Google?
  • Comscore : a través de scorecardresearch.com, este rastreador ya está presente en la aplicación de iOS, se puede encontrar en la aplicación de Mac.
  • Qualaroo : herramienta para recopilar comentarios de los usuarios, permite a Spotify segmentar a sus usuarios para enviar encuestas solo a ciertos usuarios. Por lo tanto, esta empresa recopila tu perfil y su uso de Spotify. Ten en cuenta que es responsable de la llamada a Amazon (a través del dominio s3.amazonaws.com, aloja su biblioteca JavaScript en AWS).

Si ampliamos la información enviada a Google Ad Manager durante la llamada del anuncio (la solicitud https://securepubads.g.doubleclick.net/gampad/ads?), nos damos cuenta de que Spotify filtra mucha información a Google, incluyendo:

  • Tu identificador publicitario de Doubleclick, a través de la cookie "IDE"". Te sigue a todas partes en Internet y, por lo tanto, incluso en las aplicaciones de escritorio gracias a Spotify.
  • Su edad.
  • Tu género.
  • El ID de publicidad de Spotify: aduserid.
  • Tu lista de reproducción para escuchar: Discover Weekly, etc.
  • El artista escuchó (codificado): artista.
  • Tu plan Spotify: aquí Spotify Premium.

¿Cómo evitar este seguimiento? Spotify no ofrece una opción de opt-out real en su aplicación para Mac (más detalles más adelante en el artículo), tendrá que recurrir a soluciones sofisticadas como Pi-hole o AdGuard.

En el reproductor web, el Far West

Si no lo uso a diario el reproductor web, prefería usar la aplicación para Mac y quería ver el seguimiento en la web. Antes de iniciar sesión, el uso de rastreadores por parte de Spotify ya era masivo:

Reproductor web Spotify 1Reproductor web Spotify 2

Las empresas que recopilan tus datos personales gracias a Spotify son numerosas, es un auténtico who's who del marketing de vigilancia:

  • Google : Spotify funciona con las soluciones de Google y se utiliza aquí Google Tag Manager, Google Analytics Y Google reCAPTCHA.
  • Torre de datos : vía rlcdn.com también conocido como Rapleaf, una empresa que se hizo conocida en 2010 recopilando salvajemente información de los usuarios de Facebook y revendiendo identidades enriquecidas (mucho antes El escándalo de Cambridge Analytica). Rapleaf ha sido adquirida en 2013 por TowerData, un gran proveedor de datos que probablemente te conozca muy bien.
  • nielsen : a través del alias myvisualiq.net VisualIQ, un servicio de atribución (permite a Spotify determinar qué campañas publicitarias son más efectivas) adquirido por el gigante de investigación de mercado Nielsen en 2017. Nielsen también lo rastrea a través de exelator.com, también conocido como eXelate, un proveedor de datos. adquirido en 2015.
  • Adobe : a través de demdex.net alias Demdex, la plataforma de gestión de datos adquirido por Adobe en 2011. A través de sucesivas adquisiciones, Adobe no sólo es un gigante en herramientas creativas (Photoshop, InDesign, Lightroom, etc.), sino también en marketing.
  • Comscore : a través de scorecardresearch.com, este rastreador está en todas partes; después de las aplicaciones de iOS y Mac, lo encontramos en el reproductor web.
  • Tapad : este proveedor de datos también te conoce muy bien, es capaz de establecer el vínculo entre los diferentes dispositivos que utilizas (teléfono inteligente, computadora, etc.).
  • Oracle : a través de bluekai.com, también conocido como BlueKai, una plataforma de gestión de datos adquirido por Oracle en 2014. ¿Conocías SQL? Oracle ha cambiado. Al igual que Adobe, Oracle se ha diversificado mediante sucesivas adquisiciones para ofrecer ahora a las empresas una “Marketing Cloud”.
  • Facebook : imposible de escapar. Facebook no es llamado aquí directamente por Spotify sino por Visual IQ (también conocido como Nielsen), Facebook y Nielsen tienen una acuerdo para compartir tus datos personales.
  • Qualaroo : herramienta para recopilar comentarios de los usuarios ya vistos en la aplicación Mac.

Sin embargo, no puedes escuchar música sin estar conectado. ¿Spotify limitará los rastreadores cuando inicie sesión con mi suscripción Premium? Veamos los rastreadores enviados una vez conectados:

El reproductor web Spotify conecta 1Reproductor web Spotify conectar 2

¡Mala suerte, Spotify no limita el seguimiento, incluso si eres suscriptor Premium! Y esta vez, los identificadores están asociados a tu cuenta de Spotify, por lo que son muy interesantes para estas empresas de marketing que así podrán reconocerte, seguirte en tu ordenador y establecer el enlace con tus otros dispositivos. Y mención especial a Nielsen que a través de Visual IQ sincroniza su identificador con varios otros proveedores de datos (encuadrados en rojo): TowerData, Oracle, Adobe, Facebook y Tapad.

¿Cómo evitar este seguimiento? Dado que Spotify no ofrece opción de opt-out para la web (más detalles más adelante en el artículo), una solución razonable es utilizar un adblocker como uBlock Origin (Extensión de Firefox O Chrome).

Una política de privacidad locuaz pero demasiado vaga

Si leemos ahora Política de privacidad de Spotify, en el apartado 6, Spotify indica el motivo por el cual Spotify trata tus datos personales:

Fundamento jurídico de la publicidad personalizada de Spotify.

Por lo tanto, Spotify se basa en un interés legítimo para ofrecerle publicidad personalizada, en contradicción con el RGPD. Si ahora nos fijamos en el apartado 7 para saber con qué empresas Spotify comparte tus datos personales:

destinatarios de datos personales

La información, enterrada en una larga política de confidencialidad, es increíblemente vaga: ¿quiénes son estos destinatarios? ¿Qué hacen exactamente con tus datos personales? Por ejemplo, habría sido necesario detallar por qué Spotify llama a Facebook y filtra tus datos personales a Google.

Spotify también tiene un bonito "Centro de privacidad" pero esta página no nos proporciona más información sobre publicidad, siendo la única indicación:

Recopilamos y utilizamos tus datos personales por los siguientes motivos: [...] Para proporcionarle funciones, información, publicidad u otro contenido basado en su ubicación específica.

Una mascarada de control sobre los datos personales

Para saber si es posible desactivar el seguimiento, primero consulté el "Centro de privacidad", que simplemente me redirigió a la página "Configuración de privacidad" de mi cuenta.

Excepto que esta página sólo me permite rechazar el tratamiento de mis datos de Facebook (por defecto, la opción está activada, ¿dijiste consentimiento?) y rechazar la publicidad personalizada (opción también activada por defecto pero que no me sirve porque no tengo publicidad en la versión Premium):

Publicidad personalizada en Spotify.

Spotify también tiene una página sobre la “política de cookies”. En el móvil, Spotify menciona la posibilidad de limitar el seguimiento de publicidad a través de iOS:

Por ejemplo, puede utilizar la configuración "Limitar seguimiento de anuncios" (en dispositivos iOS)

No hubo suerte, ya activé esta configuración (que por lo tanto no tiene el efecto anunciado):

Limitar el seguimiento de publicidad

Spotify también informa de la posibilidad de bloquear las cookies en la aplicación de escritorio (por tanto, la aplicación de Mac):

Puede retirar su consentimiento para el uso de cookies en la aplicación de escritorio de Spotify en cualquier momento. Si ya no desea recibir cookies, vaya a la página Configuración de la cuenta y habilite la función de exclusión voluntaria de las cookies de escritorio. Cuando está habilitado, impide que las cookies instalen la aplicación de escritorio Spotify en esta computadora. [...] Elegir bloquear las cookies en la aplicación de escritorio de Spotify puede dañar su experiencia con Spotify.

Este consentimiento nunca lo di, así que pude retirarlo (pero podría dañar mi experiencia con Spotify, sin que yo sepa por qué). Después de realizar más búsquedas, no debe ir a la página "Configuración de la cuenta", sino a "Preferencias":

Preferencias de Spotify para Mac

Y allí, debes desplazarte y luego ubicar “Mostrar configuración avanzada”:

Desplácese por las preferencias de Spotify Mac

Luego desplácese nuevamente hasta la base para descubrir, bien escondido, “Confidencialidad” y este “dark pattern"muy hermoso:

Privacidad de Spotify Mac

La configuración no está marcada, por lo que uno podría creer que el seguimiento está deshabilitado (como ocurre con Facebook y con los anuncios personalizados). Error! Debes comprobar la configuración para bloquear las cookies. Y Spotify está aquí para asustarte indicándote que habilitar la configuración puede tener un impacto negativo en la experiencia de Spotify... ¿Qué "impacto negativo"? Sin detalles.

Así que verifiqué la configuración y reinicié Spotify para estudiar el "impacto", desafortunadamente los rastreadores siguen ahí:

Rastreadores de Spotify sin cookies

En particular, si ya no coloca la cookie IDE a través de doubleclick.net, Google continúa recibiendo toda su información personal, incluido el identificador de publicidad aduserid de Spotify, que sigue siendo el mismo. Spotify se burla de usted al impedir que Google coloque su cookie IDE pero permitiéndole identificarlo mediante el identificador de Spotify (aún más invasivo porque este identificador permite a Google reconocerlo sea cual sea tu dispositivo).

Sin embargo, el identificador de publicidad de Spotify debe bloquearse según la definición de Cookies dada por Spotify :

cookies de Spotify

Spotify también tiene una relación muy especial con Google, y no sólo en el ámbito publicitario: Spotify ha decidido migra tu infraestructura a Google Cloud, que constituye para Google Cloud Platform un buen caso de uso en su lucha contra Amazon AWS y Microsoft Azure.

¿Qué acción contra Spotify?

Ya hay una denuncia en curso ante la CNIL sueca, en relación con el derecho de acceso a los datos personales (artículo 15 del RGPD). Pero aún no se ha tomado ninguna medida respecto a la filtración de datos personales, aunque hay motivos para iniciar una investigación:

  • Spotify filtra tus datos personales a terceros sin obtener primero su consentimiento.
  • En particular, Spotify filtra tus datos personales a Google y Facebook.
  • El reproductor web de Spotify filtra tus datos personales al who's who del marketing de vigilancia.
  • Spotify no ofrece opciones de exclusión voluntaria en su aplicación para iOS.
  • La opción de exclusión proporcionada por Spotify en su aplicación para Mac es claramente un "dark pattern" y no funciona.
  • Política de privacidad se basa en un interés legítimo en la publicidad personalizada y, por tanto, no cumple con el RGPD.
  • Allá página de información de cookies proporciona información falsa, ya que Spotify no proporciona los controles necesarios para rechazar las cookies.

¡Y todo esto incluso si pagas una suscripción a Spotify!