Salir a correr con Runstatic de Adidas bajo vigilancia publicitaria

Runtastic multiplica los rastreadores y filtra tu nombre

Como practicaba jogging con regularidad, quería saber más sobre las apps de "fitness", empezando por Runtastic. Esta app ha sido comprado en 2015 por Adidas y desde entonces pasó a llamarse "adidas Running by Runtastic". Si bien las apps de fitness son excelentes para motivarte y medir tu progreso, recopilan datos personales bastante sensibles como:

• Tu actividad física : estos datos pueden interesar, por ejemplo, a las compañías de seguros porque si estás en mejor forma, serás más rentable (en Estados Unidos, una aseguradora ya ofrece bajar sus precios si llevas una pulsera de salud conectada).
• Tus viajes deportivos : en particular desde tu casa o tu trabajo, pero no solo, estos datos son de particular interés para los anunciantes.

Google no se equivocó y decidió comprar Fitbit el año pasado, completando aún más la masa y diversidad de datos personales que ejerce sobre una gran parte de la población mundial.

Para ver las herramientas de rastreo instaladas por Runtastic, seguí el siguiente procedimiento en mi iPhone:

• Cierre de las distintas apps en segundo plano.
• Lanzamiento de la app Charles Proxy y activación del seguimiento.
• Lanzamiento de la app Runtastic, luego navegación por la app, incluido el inicio de una actividad.
• Exportación de los logs de mi sesión de Charles Proxy a mi ordenador.

Como puedes ver, Runtastic llama a muchos terceros, veamos los que te rastrean:

• Google : imprescindible, Runtastic utiliza Firebase, la caja de herramientas de Google para apps.
• Facebook : también imprescindible, Runtastic utiliza la caja de herramientas de Facebook para apps y, en particular, el bloque de análisis.
• Pushwoosh : caja de herramientas para apps, en particular proporciona servicios de notificación, emails y mensajes personalizados dentro de la app. Mala sorpresa: además de enviar un seudónimo y tus diversas acciones, Runtastic filtra tu nombre, apellido, sexo y rango de edad.
• New Relic : herramienta para medir el rendimiento de la app Runtastic, especialmente útil para desarrolladores.
• Adjust : empresa de marketing móvil especializada en la atribución de campañas publicitarias (saber qué anuncio provocó la instalación de Runtastic). Adjust recopila tus acciones en la app Runtastic.
• Emarsys : empresa de marketing de datos que permite a Runtastic crear un perfil detallado de ti para después volver a dirigirse a ti mejor. Emarsys recupera así los detalles de tus actividades: la distancia recorrida, la duración del ejercicio, el número de calorías quemadas, tus impresiones al final del ejercicio, el tiempo, el tipo de actividad, la temperatura exterior, etc.

Recopilación masiva de datos personales y filtración a terceros sin base jurídica válida

Cuando lancé Runtastic por primera vez, lamentablemente no tuve otra opción: me vi obligado a aceptar las condiciones de uso para utilizar la app.

Luego pude negarme a recibir anuncios personalizados de Runtastic en plataformas de terceros como Google y Facebook (pero sin poder prohibir a estos terceros que recopilen mis datos personales):

Observe el botón "Aceptar", claramente resaltado en comparación con "Rechazo", un ejemplo adicional de Patrón oscuro.

Allá política de privacidad de Runtastic enumera detalladamente los distintos datos personales recogidos. Puedes leer la sección 3."Datos que recopilamos y procesamos" para comprender mejor la variedad y el alcance de los datos personales recopilados (y así comprender mejor por qué Google compró Fitbit). Aquí están las diferentes categorías de datos personales:

• Información de identidad.
• Datos de contacto.
• Información de ubicación.
• Información sobre tallas de ropa y de calzado.
• Información de compra.
• Información de perfil y comportamiento.
• Información de la comunidad.
• Información de redes sociales.
• Información del dispositivo.
• Información de la actividad.
• Información de preferencia.
• Información del Creators Club.
• Registro a través de Google o Facebook.
• Lista de amigos de Facebook.
• Información sobre actividades de entrenamiento importadas desde cuentas conectadas.

Para cada categoría de destinatarios, Runtastic informa de las categorías de datos personales transferidos aquí.

Runtastic luego explica en detalle su uso de Firebase, Google Analytics, Adjust y Facebook Analytics. Más abajo en la política de privacidad, Runtastic da una breve información sobre los diferentes proveedores que hemos visto anteriormente:

Utilizamos subcontratistas como Adjust, Google, Facebook, Amazon Web Services, Inc., Emarsys eMarketing Systems AG, Pushwoosh, Inc., NewRelic, Inc., Apptimize, Inc. o Zendesk, Inc.

Si estas explicaciones son loables, Runtastic indica que se basan en un interés legítimo (léase Documentación CNIL sobre esta base legal) para filtrar sus datos personales a estos terceros: "La base para el procesamiento de Datos son nuestros intereses legítimos.". Sin embargo, esta interpretación del RGPD no es válida. Para las herramientas de análisis, podemos referirnos particularmente a esta página de la CNIL :

Si el sistema implementado por el responsable del tratamiento no se ajusta estrictamente a los criterios de los dos casos anteriores, solo consentimiento de personas puede utilizarse como base jurídica para el tratamiento (artículo 7 de la Ley de Protección de Datos, artículo 6 del RGPD). Este consentimiento puede obtenerse por cualquier medio (por ejemplo, conexión a una red wifi específica, descarga de una app específica, registro a través de un sitio web específico, “identificación” del terminal con un terminal NFC). Este consentimiento debe ser informado (las personas deben ser informadas de acuerdo con el punto siguiente antes de dar su consentimiento), gratis (las personas deben poder elegir libremente si dan su consentimiento o no, y no deben sufrir consecuencias negativas si no dan su consentimiento) y específico (El consentimiento sólo debe referirse al procesamiento posterior y no puede incluirse, por ejemplo, en la aceptación de la CGU).

Por lo tanto, Runtastic no puede basarse en un interés legítimo y debe obtener mi consentimiento para filtrar mis datos personales a terceros como Google, Facebook o Adjust. En particular, el hecho de haber aceptado los TyC no significa que haya dado mi consentimiento a este rastreo.

Sin embargo, Runtastic persiste en basarse en la base jurídica del interés legítimo, como también se evidencia en la sección 8.1 de su política de privacidad, "Fundamentos legales" :

La licitud del procesamiento de Datos se basa en: [...] los intereses legítimos de Runtastic o de un tercero, por ejemplo, nuestro uso de cookies, complementos o publicidad dirigida.

Claramente, el uso de cookies, complementos o publicidad dirigida no puede basarse en un interés legítimo.

Sorprende ver cómo una famosa multinacional alemana (Adidas) recopila datos personales de millones de usuarios de forma tan masiva, sin fundamento legal válido. También sorprende comprobar que Adidas no se limita al uso de herramientas de marketing que filtran tus datos personales, siempre sin una base jurídica válida. ¿Qué puede hacer para evitar filtraciones a herramientas de terceros? Mientras espera una posible sanción por parte de una autoridad reguladora competente, puede utilizar apps como DNSCloak, Adguard o NextDNS en iOS.