Hoy día todos estamos un poco paranoicos con el tema de la seguridad en Internet, y puede que en gran medida sólo sea paranoia, pero como vimos en el caso de Google Fotos, la cuestión es un pelín más complicada de lo que aparenta a simple vista. Las condiciones de uso y las licencias pueden ser un arma de doble filo que, como no nos leemos, no entendemos bien el alcance que pueden tener en nuestras vidas.
Muchas apps y sistemas recaban datos de los usuarios, generalmente de forma anónima, para mejorar el servicio o recopilar información de errores, que permiten mejorar el software y los sistemas en general. La mayor parte de las veces, el usuario puede regular este uso y suele ser anónimo, es decir, no se envía una localización específica del aparato que lo identifica inequívocamente respecto de cualquier otro usuario. Apple, como Microsoft o Google, así como miles de otras empresas, realizan esta práctica habitualmente. Ahora salta a la palestra un caso parecido en cuanto a lo extraño de las condiciones con Spotify. En su última actualización de licencia, como denota Forbes en un artículo del jueves pasado, se han añadido aspectos nada corrientes para una app de música como acceder a los contactos, el carrete de fotos o la posición GPS del aparato, información que uno no espera que sea solicitada por una app de streaming de música.
En el caso del bluetooth, indican que recaban información de la posición de otros aparatos cercanos, así como la recolección de sensores como por ejemplo saber si andamos, corremos, circulamos en vehículos, etc… El acceso a los contactos y las fotos, cuanto menos, es la parte más reseñable de estos cambios de licencia, y no se entiende bien para qué es necesario que una app como esta acceda a esa información, ya que, al menos aparentemente, no es una información necesaria para servir música por Internet. Por supuesto, sobre todo en el caso de iOS (Android no permite granular los permisos a los datos del usuario, con lo que desde el momento en que te descargas la app, esa app ya tiene acceso directo a todo lo que desee), tienes que dar permiso para acceder a esa información, pero la licencia les permite usar esta información después como ellos consideren conveniente, y ese es el punto fundamental de la noticia. Lo más curioso es que incluso te indican que es posible que tengas que pedir permiso a tus contactos para poder compartir su información con Spotify. Cuanto menos, es extraño que quieran conocer la información de tus contactos. Ya está mal que muchas apps te pidan lo mismo (antes era práctica común, ahora cada vez menos) para hacer marketing de la app, pero en el caso de Spotify parece totalmente innecesario. Mención aparte merecen las cláusulas de publicidad y marketing, en las que se indica claramente que pueden compartir o recibir esta información con sus partners y proveedores, cruzándola entre si, obteniendo una inteligencia de información mucho más rica que por separado.
Yo particularmente no soy defensor del anonimato en Internet, pero creo que los datos personales e íntimos de un usuario deben quedar en la esfera de lo privado, y además, el anonimato debe ser algo elegido por el usuario, no impuesto. Muchas apps y sistemas piden esta información para múltiples motivos y causas, pero las razones para pedirla pueden tener más o menos sentido según el caso. En el caso de una app de música por Internet, las informaciones indicadas como requeridas son cuanto menos sospechosas. Algunas prácticas, como cruzar información (para lo que se requiere un token o testigo que identifique exclusivamente el aparato) están prohibidas o cuanto menos son alegales en la UE (véase el famoso caso de las cookies). Spotify se ha defendido alegando que la información se almacena de forma “anónima” y que como mucho se guarda un token indicando de forma imprecisa el dispositivo. A ver, para decir esto no digas nada, que quedas mejor. Ese token es precisamente lo que identifica “inequívocamente” al aparato en cuestión, ya que aunque sólo tiene vigencia mientras la app está en funcionamiento en el dispositivo, mientras tiene vigencia permite identificar al usuario sin duda alguna. Así que no, no es anónimo.
Todo esto trae a la palestra las más que dudosas prácticas de las empresas de Internet con nuestros datos. iOS, en ese sentido, es bastante seguro, ya que las apps no pueden acceder a nada a lo que tú no le des permiso, pero en Android, el acceso es directo desde el mismo momento en que te descargas la app, ya que aceptas todas las condiciones sin granulidad (un gran fallo del sistema que siguen sin solucionar… Sí, personalmente, como técnico y como usuario, lo considero un fallo, no un feature). Pero independientemente de esto, si das acceso a estos datos, la app puede gestionarlos como quiera, sin restricciones, y como pasaba con Google Fotos, donde se podían usar las imágenes sin restricción en cualquier ámbito o medio, estos datos pueden terminar en cualquier sitio o uso, pudiendo poner en peligro también la privacidad de los contactos de los que se ha recabado dicha información (y su uso sin su consentimiento, claro… Será bastante difícil que te pongas a pedir permiso a cada usuario de tu lista de contactos y que todos estén de acuerdo, ya que luego toda la lista va a ser usada, no parcialmente, con lo que a efectos prácticos, la cláusula que indicaba antes no tiene mucho sentido). Estas cosas son interesantes de ser tenidas en cuenta a la hora de usar estas apps que nos prometen horas de entretenimiento (en muchos casos, de pago) para luego usar nuestra información como ellos quieran, pidiendo sólo un permiso genérico que luego no se puede revocar.