La mayoría de las aplicaciones para menores no cuida la privacidad de sus usuarios

Cada movimiento que se hace en la web deja un rastro digital que las empresas pueden emplear para generar anuncios dirigidos, una gran fuente de financiamiento para las plataformas online.

En Estados Unidos existe una norma federal que busca cuidar la privacidad de los menores. Se trata de la Ley de Protección de Privacidad Online de menores (COPPA, por sus siglas en inglés) que restringe la forma en que se recopilan y utilizan datos de identificación personal (PII), como geolocalización o datos de contacto, de niños menores de 13 años.

La Universidad de Berkeley analizó 5.855 aplicaciones de Android dirigidas a niños y llegó a la conclusión de que cerca del 57% podrían estar infringiendo la ley COPPA de alguna u otra manera.

El 40% comparte información personal sin tener en cuenta medidas de seguridad razonables, el 39% ignora o incumple las obligaciones contractuales que apuntan a proteger la privacidad de los menores, el 18,8% comparte identificadores de usuarios con terceros y el 4,8% envía información de contacto o ubicación sin consentimiento expreso de los padres de los menores, tal como lo requiere la ley.

Información personal

El 4,4% (256) de las 5.855 aplicaciones compila datos de geolocalización o información suficiente para inferir la ubicación; 107 comparten el correo del dispositivo y 10, el número de teléfono.

"Los datos de geolocalización no solo indican dónde vive un usuario, sino que podrían habilitar inferencias sobre las clases socioeconómicas, hábitos diarios y las condiciones de salud, entre otros datos", se remarca en el informe. De las 82 aplicaciones testeadas, se observó que 81 comparten las coordenadas del GPS del móvil con anunciantes.

Aquí, las aplicaciones mencionadas en el informe, que pertenecen a Tiny Lab Games:

Fun Kid Racing

Fun Kid Racing–Motocross

Motocross Kids–Winter Sports

La localización de un equipo también se puede inferir a través de la dirección MAC del router wifi. La dirección MAC es un identificador único que tienen todos los dispositivos conectados.

A su vez, se puede saber la ubicación por medio del SSID, un identificador de la red inalámbrica.

Aquí, las aplicaciones mencionadas en el informe que infieren la ubicación y la comparten con terceros:

Guitar Tuner Free— GuitarTuna (Yousician)

Pop Girls–High School Band (TabTale)

Where's My Water? Free (Disney)

Motocross Kids–Winter Sports (Tiny Lab)

Se llegó a la conclusión de que 107 aplicaciones estudiadas transmitían la dirección de correo del usuario del dispositivo a servidores remotos como: appspot.com (79 apps), tinylabproductions.com (19 apps), google.com (10 apps), skydeo.com (5 apps) y drgames.fr (3 apps).

A su vez, 10 de las apps analizadas enviaban los números de teléfono a los siguientes destinos: drgames.fr (3 apps), cafe24.com (2 apps), oneaudience.com (2 apps), gameloft.com (1 apps), y mamabearapp.com (1 app).

Identificadores personales

La ley COPPA requiere que las aplicaciones de menores "deben establecer y mantener procedimientos razonables para proteger la confidencialidad, seguridad e integración de la información personal que se reúne de los menores".

En este sentido, se evalúo qué servicios utilizan TLS; un protocolo que busca garantizar la privacidad e integridad de los datos entre aplicaciones cliente/servidor que se comunican a través de la web. Así se llegó a la conclusión de que el 40% de las aplicaciones no utilizan TLS en la transmisión de identificadores y otros datos sensibles. Aquí, los ejemplos mencionados en el informe:

Duolingo

Minion Rush (Gameloft)

Where's My Water (Disney)

"Si bien no podemos saber de manera definitiva si las compañías con las que se comparte esta información utilizan esos datos para realizar prácticas prohibidas según COPPA, como la anuncios dirigidos, los términos y servicios de sus políticas sugieren que es posible que se esté infringiendo la norma", se remarca en el informe.

En el estudio se explica que si bien algunas compañías y entidades tomaron precauciones para que se cuide la privacidad de los menores, los desarrolladores de aplicaciones no siempre implementan estas estrategias.

En ese sentido se menciona que Google cuenta con el programa Diseñado para Familias que ofrece a los programadores información sobre COPPA y requiere que certifiquen que cumplen con la norma.  Por otra parte, a veces hay plataformas que si bien específicamente no apuntan a menores de manera general, tienen segmentos orientados de manera directa o indirecta a los más pequeños.

Semanas atrás 23 agrupaciones abocadas a defender la privacidad de menores presentaron un documento ante la Comisión Federal de Comercio (FTC) de Estados Unidos alegando violaciones de la privacidad de los menores.

Qué sucede en la Argentina

En Argentina no hay una legislación específica para cuidar la privacidad de los menores del mismo modo que lo hace COPPA. De todos modos, esta normativa se considera un estándar global porque fuerza a compañías establecidas en Estados Unidos a cumplir con estas prácticas en todo el mundo.

La nueva ley de protección de datos personales (GDPR) que comenzará a regir en Europa a partir del 25 de mayo contempla las mismas reglas que COPPA en lo que se refiere a menores, con la diferencia de que COPPA está hecha para menores de 13 años y en Europa cada país determina qué debe entenderse por minoría de edad, que en algunas regiones pueden ser 13, 16 o 18 años.

MÁS SOBRE ESTE TEMA:

¿Quién cuida la seguridad de los menores en la web?

Riesgos en la web: 8 herramientas de control parental

Cómo es la app que alerta a los padres cuando sus hijos comparten imágenes de desnudos