Una investigación realizada por Doug Leith, profesor y presidente de sistemas informáticos en el Trinity College de Dublín, ha revelado que los dispositivos Android están siendo rastreados por cookies publicitarias y otros mecanismos antes de que los usuarios abran cualquier aplicación. Según el estudio, Google implementa varias técnicas para recopilar datos sobre los usuarios, lo que plantea graves preocupaciones sobre la privacidad y el consentimiento.
Leith afirma que no se solicita ningún consentimiento para los diversos identificadores que se instalan, y no hay opción para optar por no participar en su uso. Durante su investigación, descubrió que aplicaciones preinstaladas como Google Play Services y la tienda Google Play están enviando datos a Google, incluso antes de que un usuario interactúe con alguna de sus aplicaciones.
Una de las cookies identificadas en el estudio es la «DSID», que Google utiliza para identificar a un usuario que ha iniciado sesión en sitios web no pertenecientes a Google y personalizar la publicidad en base a sus preferencias. Esta cookie tiene una duración de dos semanas y se genera poco después de que el usuario inicia sesión en su cuenta de Google.
Leith señala que la documentación de Google sobre la cookie «DSID» es «bastante vaga y no tan útil como podría ser», y el problema principal radica en que no se busca consentimiento previo para su utilización ni existe una opción para desactivarla. La investigación detalla que la cookie se almacena en la carpeta de datos de la aplicación Google Play Services durante el proceso de inicio del dispositivo.
Otro identificador encontrado en los dispositivos Android es el Google Android ID, un identificador del dispositivo que se vincula a la cuenta de Google del usuario y se crea en la primera conexión realizada con Google Play Services. Esta identificación continúa enviando información del dispositivo a Google incluso después de que el usuario cierra sesión en su cuenta, y solo puede eliminarse realizando un restablecimiento de fábrica del dispositivo.
En su trabajo, Leith indica que no pudo determinar con precisión la finalidad del identificador, aunque se menciona en un comentario de código de un desarrollador de Google que se considera información personalmente identificable (PII). Esto podría implicar que está sujeto a la normativa europea sobre protección de datos, especialmente el RGPD.
El estudio también describe otros rastreadores y identificadores que Google implementa en dispositivos Android, todos sin el consentimiento del usuario. Leith considera que muchos de estos métodos podrían violar las leyes de protección de datos. Antes de publicar sus hallazgos, contactó a Google para solicitar sus comentarios, pero la respuesta fue breve y no abordó las cuestiones legales planteadas.
Un portavoz de Google aseguró que la investigación identifica tecnologías y herramientas de Google que sirven para ofrecer productos y servicios útiles a los usuarios, afirmando que la privacidad del usuario es una prioridad para Android y que están comprometidos a cumplir con todas las leyes y regulaciones de privacidad aplicables.
Estos hallazgos surgen en medio de crecientes preocupaciones sobre otro proceso llamado Android System SafetyCore, que se lanzó recientemente para dispositivos con Android 9 y versiones posteriores. Este sistema escanea imágenes enviadas y recibidas por los usuarios en busca de contenido explícito, aunque Google asegura que la clasificación se realiza exclusivamente en el dispositivo y no se comparte información con la compañía. Usuarios han expresado su descontento por su instalación sin consentimiento, evidenciando una cultura de opciones limitadas respecto a la privacidad dentro del ecosistema Android.
