Runkeeper multiplica los rastreadores y filtra tu email en la URL de una herramienta de terceros
Después de detallar cómo Runstatic filtra tus datos personales sin una base legal válida, decido ver si su competidor Runkeeper lo hace mejor. Al igual que Runstatic comprada por Adidas en 2015, Runkeeper despertó apetitos y fue adquirida por Asics en 2016. El fabricante líder de material deportivo Nike no se queda fuera, también ofrece su app, Nike Training Club.
Tus actividades físicas y, en general, tus datos de salud son efectivamente estratégicos. Si los fabricantes de material deportivo reaccionaron rápidamente, ahora les acompañan los gigantes digitales:
- Google lleva varios años ofreciendo su app Google Fit. También compró Fitbit el año pasado.
- Apple propone el Apple Watch, el reloj inteligente más vendido del mundo y la app Salud de Apple. Ten en cuenta que Apple es más respetuosa con tus datos personales porque su objetivo es diferente (vender dispositivos de alta gama y no capturar tus datos personales), por lo que los datos de la app Salud son cifrados de extremo a extremo, lo que significa que Apple no puede leerlos.
Runkeeper ha tenido problemas anteriormente con el mal manejo de los datos personales de sus usuarios. En 2016, la app fue acusada por el organismo público noruego responsable de la protección de los consumidores de transmitir datos personales (incluida la geolocalización) a un tercero (Kiip.me), incluso cuando la app esté inactiva. ¿Han cambiado sus prácticas? Para investigar posibles filtraciones de datos personales de Runkeeper a empresas de terceros, seguí el siguiente procedimiento en mi iPhone:
- Cierre de las distintas apps en segundo plano.
- Lanzamiento de la app Charles Proxy y activación del seguimiento.
- Lanzamiento de la app Runkeeper, luego navegación por la app, incluido el inicio de una actividad.
- Exportación de los logs de mi sesión de Charles Proxy a mi ordenador.
Runkeeper es muy hablador, aquí están las empresas que te siguen:
- Google : el gigante de Mountain View está en todas partes. Runkeeper utiliza Firebase, la caja de herramientas de Google para apps, para medir fallos mediante Crashlytics así como para personalizar su app y realizar pruebas A/B a través de Remote Config. Runkeeper también utiliza Google Ad Manager (el servidor de anuncios del editor) para difundir publicidad.
- Facebook : el gigante de Palo Alto también está por todas partes. Runkeeper utiliza la caja de herramientas de Facebook para apps. A veces es difícil saber por qué una app utiliza Facebook porque su caja de herramientas incluye muchas funciones como Analytics o retargeting publicitario.
- Iterable : empresa de marketing móvil que permite a Runkeeper segmentarte para después dirigirse a ti mejor mediante notificaciones, mensajes en la app, SMS o emails personalizados. Mala sorpresa: Runkeeper filtra tu dirección de email en texto plano a Iterable en la URL. Aquí está la URL ofensiva: https://api.iterable.com/api/inApp/getMessages?count=100&email=XXX&SDKVersion=6.2.2&packageName=RunKeeperPro&platform=iOS.
- Appsflyer : empresa de marketing móvil que ofrece en particular un producto de atribución que permite a Runkeeper saber qué campañas publicitarias provocaron la instalación de la app.
- Amplitude : herramienta de analytics, permite a Runkeeper analizar en detalle tu comportamiento en su app. También aquí se realiza un rastreo de todo: cada pantalla vista, el modelo de tu smartphone, tu operador móvil, el identificador de tu smartphone, pero también el tipo de actividad realizada, tu marca de zapatos, el número de pasos, la distancia recorrida, la duración de la actividad o tu número de amigos en la app.
Si analizamos en detalle la información transmitida a Google Ad Manager, la herramienta de Google que permite a Runkeeper difundir publicidad, podemos ver que Runkeeper filtra mucha información a través del campo '_custparams' de la consulta https://pubads.g.doubleclick.net/gampad/ads (ya habíamos visto esta filtración de datos en Spotify). Google recopila (lista no exhaustiva):
- Tu género.
- Tu grupo de edad.
- Información sobre tu carrera más larga (rango de kilómetros y duración).
- Información sobre la media de tus carreras (un rango de kilómetros).
- Información sobre el número de tus carreras (un rango también).
- Si alguna vez has andado en bicicleta o no.
- Tanto si has escalado antes como si no.
- Si alguna vez has caminado o no.
Runkeeper envía deliberadamente esta información a Google Ad Manager para dirigirte mejor: Runkeeper puede así mostrar un anuncio de material de alpinismo a los usuarios que ya han escalado.
¡Runkeeper no tiene una política de privacidad específica!
¿Cómo comunica Runkeeper su uso de tus datos personales? ¡Sorpresa, Asics no se molesta en ofrecer una política de privacidad dedicada a la app Runkeeper! Así serás redirigido a la política de privacidad de Asics, cuyas marcas incluyen en particular Asics y Runkeeper, pero también Onitsuka Tiger y Haglöfs.
En estas condiciones, resulta difícil analizar esta política de privacidad. Como ya constaté con Runstatic, los datos personales recopilados por Asics son masivos, pero mezclan las 4 marcas de Asics. Sin embargo, si miramos la sección "¿Cómo compartimos tus datos?", Asics indica:
Socios. A veces, ASICS te ofrece un servicio o una app en colaboración con sus socios. También podemos divulgar tus datos personales a estos socios, pero solo cuando hayas dado tu consentimiento o nos hayas pedido que lo hagamos.
Esto es mentira porque Runkeeper no ofrece nada para obtener el consentimiento del usuario. Esto va aún más allá porque, como vimos anteriormente, Runkeeper transmite tus datos personales a Google, Facebook, Iterable (incluido tu email), Appsflyer y Amplitude. No se te informa de esta filtración de datos personales, no tienes control y Runkeeper no ofrece nada para desactivar este rastreo.
¿Qué puedes hacer para evitar filtraciones hacia herramientas de terceros? Al igual que con Runstatic y muchas apps, mientras esperas una posible sanción por parte de una autoridad reguladora competente, puedes utilizar apps como DNSCloak, Adguard o NextDNS en iOS.