Suscrito a Spotify Premium, pero aún rastreado

Pagar no impide que Spotify filtre tus datos personales a Google y al who's who del marketing de vigilancia

Publicado por Pixel de Tracking el 25 de abril de 2020

La publicidad, una parte marginal de los ingresos de Spotify

Spotify funciona según un modelo "freemium": puedes escuchar el servicio de música en streaming de forma gratuita ("Spotify Free") pero tendrás limitaciones y publicidad. La versión gratuita es un gancho para la versión de pago.

Si nos fijamos en los resultados financieros del último trimestre de 2019, los usuarios de "Spotify Free" representan el 56 % de todos los usuarios, pero solo el 11 % de los ingresos de Spotify.

Spotify cuarto trimestre de 2019

Sin embargo, Spotify vende agresivamente a sus usuarios "Free"

Aunque la publicidad representa una parte marginal de los ingresos de Spotify, eso no le impide recurrir a la programática, el método de venta de inventario publicitario menos respetuoso con la privacidad (puedes leer al respecto la página explicativa de Brave). Spotify incluso está acelerando su desarrollo publicitario, según indica Julie Clark, responsable de publicidad programática de Spotify:

[...] Dicho esto, seguimos observando tasas de crecimiento de dos dígitos en cada uno de nuestros canales Direct, Programmatic y Ad Studio. Durante el cuarto trimestre introdujimos Dynamic Ad Breaks («DAB») en Estados Unidos y el Reino Unido, lo que añadió un inventario vendible significativo. Tenemos previsto ampliar esta capacidad a 10 mercados más en el primer trimestre y seguiremos escalando estas capacidades a medida que el contenido esté cada vez más disponible en toda nuestra presencia geográfica.

Además, como señala Pat Walshe en este excelente hilo de Twitter, Spotify presume en su sitio para anunciantes de conocer muy bien tus gustos, tus estados de ánimo y tu comportamiento online, e incluso de revelar tu comportamiento offline:

Spotify: cuanto más transmiten

¿Cuáles son esos hábitos musicales "clave" que permiten perfilarte mejor y, por tanto, venderte mejor a las marcas?

Hábitos de Spotify

Para perfilarte, Spotify también utiliza datos de terceros:

Investigación de audiencia de Spotify

Como Spotify ya es particularmente bueno analizando tu comportamiento y ofreciendo recomendaciones (como demuestra tu lista de reproducción Discover Weekly), podemos confiar en que aplicará esa misma ciencia a la publicidad conductual, filtrando de paso los datos personales de sus usuarios "Free" a terceros publicitarios.

Pero, al ser suscriptor de Spotify Premium y, por tanto, no tener publicidad, no esperaba que me rastrearan terceros.

Spotify para iOS filtra mis datos personales

Estos son los pasos que seguí para comprobar si la aplicación de Spotify para iOS filtra mis datos personales:

  • Cerrar las distintas aplicaciones en segundo plano.
  • Abrir la aplicación Charles Proxy y activar el seguimiento.
  • Abrir la aplicación de Spotify (con la sesión iniciada, suscripción Premium) y escuchar algo de música.
  • Exportar los registros de mi sesión de Charles Proxy a mi ordenador.

Spotify iOS

Sorpresa: Spotify Premium sí que llama a terceros:

  • Google: omnipresente. Aquí Spotify llama a Crashlytics (informes de fallos), una herramienta comprada a Twitter en 2017 e integrada en su caja de herramientas para desarrolladores, Firebase. Aunque llamar a un servicio de Google es discutible, una herramienta de informes de fallos tiene sentido, incluso para una aplicación de pago.
  • Facebook: omnipresente. Facebook también proporciona su caja de herramientas para desarrolladores. Esta integración no parece filtrar ninguna información personal concreta (veo pasar una simple llamada a Facebook, sin ningún identificador adicional). Aun así, ¿qué sentido tiene? Inicio sesión en Spotify con mi dirección de correo electrónico y no a través de Facebook, así que Spotify no debería tener motivos para llamar a Facebook.
  • Adjust: empresa de marketing móvil que ofrece varios servicios, entre ellos analítica, atribución (qué campaña publicitaria llevó a la instalación de Spotify) y retargeting publicitario. Está claro que no pago a Spotify para que este tipo de empresas me rastreen.
  • Comscore: a través de scorecardresearch.com, una empresa especializada en estudios de mercado. También aquí me perfilan sin haber dado mi consentimiento.

En cuanto a Facebook, no tengo cuenta y ya había desactivado los "Datos de Facebook" en la configuración de privacidad de Spotify:

SpotifyFacebook

Y, sin embargo, Spotify sigue llamando a Facebook.

¿Cómo evitar este seguimiento? Como Spotify no ofrece ningún opt-out en su aplicación para iOS (más detalles más adelante en el artículo), tendrás que recurrir a soluciones más elaboradas, como las aplicaciones DNSCloak, AdGuard o NextDNS.

Spotify para Mac, adicto a las soluciones publicitarias de Google

Veamos ahora si el cliente de Spotify para Mac también filtra datos personales a empresas de publicidad. Para ello seguí los mismos pasos, pero con la aplicación Charles Proxy para Mac:

SpotifyMac

Así pues, en la aplicación para Mac Spotify también envía tus datos personales a estos terceros:

  • Google: a través de múltiples dominios, Spotify usa Google Ad Manager para monetizar su inventario publicitario. El problema: uso la versión Premium de Spotify, no recibo publicidad. ¿Por qué filtra Spotify mis datos personales a la solución publicitaria de Google?
  • Comscore: a través de scorecardresearch.com, este rastreador ya estaba presente en la aplicación de iOS y reaparece en la de Mac.
  • Qualaroo: herramienta de recogida de opiniones de los usuarios, que permite a Spotify segmentarlos para enviar encuestas solo a algunos de ellos. Esta empresa recopila, por tanto, tu perfil y tu uso de Spotify. Cabe señalar que es la responsable de la llamada a Amazon (aloja su biblioteca JavaScript en AWS, a través del dominio s3.amazonaws.com).

Si nos fijamos en detalle en la información enviada a Google Ad Manager durante la llamada publicitaria (la solicitud https://securepubads.g.doubleclick.net/gampad/ads?), vemos que Spotify filtra bastante información a Google, entre ella:

  • Tu identificador publicitario de Doubleclick, a través de la cookie "IDE". Te sigue a todas partes por internet y, gracias a Spotify, también en las aplicaciones de escritorio.
  • Tu edad.
  • Tu sexo.
  • El identificador publicitario de Spotify: aduserid.
  • Tu lista de reproducción en curso: Discover Weekly, etc.
  • El artista escuchado (codificado): artist.
  • Tu plan de Spotify: aquí, Spotify Premium.

¿Cómo evitar este seguimiento? Como Spotify no ofrece un opt-out de verdad en su aplicación para Mac (más detalles más adelante en el artículo), tendrás que recurrir a soluciones más elaboradas, como un Pi-hole o AdGuard.

En el reproductor web, el Far West

Aunque a diario no uso el reproductor web, ya que prefiero la aplicación para Mac, quise comprobar el seguimiento en la web. Antes incluso de iniciar sesión, el uso de rastreadores por parte de Spotify ya era masivo:

Reproductor web Spotify 1Reproductor web Spotify 2

Las empresas que recopilan tus datos personales gracias a Spotify son numerosas, es un auténtico who's who del marketing de vigilancia:

  • Google: Spotify está enganchado a las soluciones de Google y aquí usa Google Tag Manager, Google Analytics y Google reCAPTCHA.
  • TowerData: a través de rlcdn.com, alias Rapleaf, una empresa que se hizo conocida en 2010 por recopilar sin ningún reparo la información de los usuarios de Facebook y revender las identidades enriquecidas (mucho antes del escándalo de Cambridge Analytica). Rapleaf fue adquirida en 2013 por TowerData, un enorme proveedor de datos que probablemente te conozca muy bien.
  • Nielsen: a través de myvisualiq.net, alias VisualIQ, un servicio de atribución (que permite a Spotify determinar qué campañas publicitarias son más eficaces) adquirido por el gigante de los estudios de mercado Nielsen en 2017. Nielsen también te rastrea a través de exelator.com, alias eXelate, un proveedor de datos adquirido en 2015.
  • Adobe: a través de demdex.net, alias Demdex, la Data Management Platform adquirida por Adobe en 2011. A través de sucesivas adquisiciones, Adobe no solo es un gigante de las herramientas creativas (Photoshop, InDesign, Lightroom...), sino también del marketing.
  • Comscore: a través de scorecardresearch.com, este rastreador está en todas partes; tras las aplicaciones de iOS y Mac, lo volvemos a encontrar en el reproductor web.
  • Tapad: este proveedor de datos también te conoce muy bien; es capaz de vincular los distintos dispositivos que utilizas (móvil, ordenador...).
  • Oracle: a través de bluekai.com, alias BlueKai, una Data Management Platform adquirida por Oracle en 2014. ¿Asociabas Oracle con SQL? Oracle ha cambiado. Al igual que Adobe, Oracle se ha diversificado mediante sucesivas adquisiciones para ofrecer ahora a las empresas una "Marketing Cloud".
  • Facebook: imposible escapar de él. Aquí, Spotify no llama directamente a Facebook, sino que lo hace Visual IQ (alias Nielsen): Facebook y Nielsen tienen un acuerdo para compartir tus datos personales.
  • Qualaroo: la herramienta de recogida de opiniones de los usuarios ya vista en la aplicación para Mac.

Solo que no puedes escuchar música sin haber iniciado sesión. ¿Limitará Spotify los rastreadores al iniciar yo sesión, dada mi suscripción Premium? Veamos los rastreadores que se envían una vez con la sesión iniciada:

El reproductor web Spotify conecta 1Reproductor web Spotify conectar 2

¡Mala suerte: Spotify no limita el seguimiento, aunque seas suscriptor Premium! Y esta vez los identificadores están asociados a tu cuenta de Spotify, por lo que resultan muy valiosos para estas empresas de marketing, que así pueden reconocerte, seguirte en tu ordenador y vincularte con tus otros dispositivos. Y mención especial a Nielsen, que a través de Visual IQ sincroniza tu identificador con otros varios proveedores de datos (recuadrados en rojo): TowerData, Oracle, Adobe, Facebook y Tapad.

¿Cómo evitar este seguimiento? Dado que Spotify no ofrece ningún opt-out para la web (más detalles más adelante en el artículo), una solución razonable es utilizar un bloqueador de anuncios como uBlock Origin (extensión para Firefox o Chrome).

Una política de privacidad locuaz pero demasiado vaga

Si leemos ahora la política de privacidad de Spotify, en el apartado 6 Spotify indica el motivo por el que trata tus datos personales:

Fundamento jurídico de la publicidad personalizada de Spotify.

Por lo tanto, Spotify se basa en el interés legítimo para ofrecerte publicidad personalizada, en contradicción con el RGPD. Si nos fijamos ahora en el apartado 7 para descubrir con qué empresas comparte Spotify tus datos personales:

destinatarios de datos personales

La información, enterrada en una larga política de privacidad, es increíblemente vaga: ¿quiénes son esos destinatarios? ¿Qué hacen exactamente con tus datos personales? Por ejemplo, habría hecho falta detallar por qué Spotify llama a Facebook y filtra tus datos personales a Google.

Spotify también tiene un bonito "Centro de privacidad", pero esta página tampoco nos aclara nada más sobre la publicidad; la única indicación es:

Recopilamos y utilizamos tus datos personales por los siguientes motivos: [...] Para proporcionarle funciones, información, publicidad u otro contenido basado en su ubicación específica.

Una mascarada de control sobre los datos personales

Para saber si es posible desactivar el seguimiento, primero consulté el "Centro de privacidad", que simplemente me redirigió a la página "Configuración de privacidad" de mi cuenta.

Salvo que esta página solo me permite rechazar el tratamiento de mis datos de Facebook (la opción está activada por defecto; ¿hablabas de consentimiento?) y rechazar la publicidad personalizada (opción también activada por defecto, pero que no me sirve de nada porque no tengo publicidad en la versión Premium):

Publicidad personalizada en Spotify.

Spotify también tiene una página sobre la "política de cookies". En el móvil, Spotify menciona la posibilidad de limitar el seguimiento publicitario a través de iOS:

Por ejemplo, puede utilizar la configuración "Limitar seguimiento de anuncios" (en dispositivos iOS)

Mala suerte: ya había activado esta opción (que, por tanto, no surte el efecto anunciado):

Limitar el seguimiento de publicidad

Spotify también informa de la posibilidad de bloquear las cookies en la aplicación de escritorio (por tanto, la aplicación de Mac):

Puede retirar su consentimiento para el uso de cookies en la aplicación de escritorio de Spotify en cualquier momento. Si ya no desea recibir cookies, vaya a la página Configuración de la cuenta y habilite la función de exclusión voluntaria de las cookies de escritorio. Cuando está habilitado, impide que las cookies instalen la aplicación de escritorio Spotify en este ordenador. [...] Elegir bloquear las cookies en la aplicación de escritorio de Spotify puede dañar su experiencia con Spotify.

Este consentimiento que nunca di, podría entonces retirarlo (aunque podría perjudicar mi experiencia con Spotify, sin que yo sepa por qué). Tras buscar un buen rato más, resulta que no hay que ir a la página "Configuración de la cuenta", sino a "Preferencias":

Preferencias de Spotify para Mac

Y allí tienes que desplazarte y luego localizar "Mostrar configuración avanzada":

Desplácese por las preferencias de Spotify Mac

Luego desplázate de nuevo hasta el final para descubrir, bien escondido, "Privacidad" y este "dark pattern" de auténtica belleza:

Privacidad de Spotify Mac

La opción está desmarcada, por lo que uno podría creer que el seguimiento está desactivado (como lo está para Facebook y para los anuncios personalizados). ¡Error! Hay que marcar la opción para bloquear las cookies. Y ahí está Spotify para meterte miedo, indicándote que activar la opción puede tener un impacto negativo en la experiencia de Spotify... ¿Qué "impacto negativo"? Ni un detalle.

Así que marqué la opción y reinicié Spotify para estudiar el "impacto"; por desgracia, los rastreadores siguen ahí:

Rastreadores de Spotify sin cookies

En particular, aunque ya no deposite la cookie IDE a través de doubleclick.net, Google sigue recibiendo todos tus demás datos personales, incluido el identificador publicitario de Spotify, aduserid, que ha permanecido igual. Spotify se burla de ti al impedir que Google deposite su cookie IDE, pero permitiéndole después identificarte mediante el identificador de Spotify (aún más invasivo, porque ese identificador permite a Google reconocerte sea cual sea tu dispositivo).

Y, sin embargo, el identificador publicitario de Spotify debería bloquearse según la definición de cookies que da Spotify:

cookies de Spotify

Spotify, además, tiene una relación muy especial con Google, y no solo en el ámbito publicitario: Spotify ha decidido migrar su infraestructura a la nube de Google, lo que supone para Google Cloud Platform un buen caso de uso en su lucha contra Amazon AWS y Microsoft Azure.

¿Qué acción contra Spotify?

Ya hay una denuncia en curso ante la CNIL sueca, en relación con el derecho de acceso a los datos personales (artículo 15 del RGPD). Pero aún no se ha tomado ninguna medida respecto a la filtración de datos personales, aunque hay motivos para iniciar una investigación:

  • Spotify filtra tus datos personales a terceros sin obtener antes tu consentimiento.
  • En particular, Spotify filtra tus datos personales a Google y Facebook.
  • El reproductor web de Spotify filtra tus datos personales al who's who del marketing de vigilancia.
  • Spotify no ofrece ningún opt-out en su aplicación para iOS.
  • El opt-out que ofrece Spotify en su aplicación para Mac es claramente un "dark pattern" y no funciona.
  • La política de privacidad se basa en el interés legítimo para la publicidad personalizada y, por tanto, no cumple con el RGPD.
  • La página de información sobre cookies da información falsa, ya que Spotify no ofrece los controles necesarios para rechazar las cookies.

¡Y todo esto incluso si pagas una suscripción a Spotify!