Salir a correr con Runtastic de Adidas bajo estrecha vigilancia

Cómo la app de fitness de Adidas malvende tus datos personales, sin una base jurídica válida

Publicado por Pixel de Tracking el 24 de mayo de 2020

Runtastic multiplica los rastreadores y filtra tu nombre

Como salgo a correr con regularidad, quise saber más sobre las apps de "fitness", empezando por Runtastic. Esta app fue comprada en 2015 por Adidas y desde entonces pasó a llamarse "adidas Running by Runtastic". Si bien las apps de fitness son excelentes para motivarte y medir tu progreso, recopilan datos personales bastante sensibles como:

Google no se equivocó y decidió comprar Fitbit el año pasado, ampliando aún más el volumen y la diversidad de los datos personales que posee sobre una gran parte de la población mundial.

Para hacerme una idea de las herramientas de seguimiento instaladas por Runtastic, seguí este procedimiento en mi iPhone:

  • Cierre de las distintas apps en segundo plano.
  • Lanzamiento de la app Charles Proxy y activación del seguimiento.
  • Lanzamiento de la app Runtastic, luego navegación por la app, incluido el inicio de una actividad.
  • Exportación de los logs de mi sesión de Charles Proxy a mi ordenador.

Runtastic iOS

Como puedes ver, Runtastic llama a muchos terceros, veamos los que te rastrean:

  • Google: inevitable, Runtastic utiliza Firebase, la caja de herramientas de Google para apps.
  • Facebook: también inevitable, Runtastic utiliza la caja de herramientas de Facebook para apps y, en particular, su componente de analítica.
  • Pushwoosh: caja de herramientas para apps que proporciona, entre otras cosas, servicios de notificación, correos electrónicos y mensajes personalizados dentro de la app. Mala sorpresa: además de enviar un seudónimo y tus distintas acciones, Runtastic filtra tu nombre, tu apellido, tu sexo y tu franja de edad.
  • New Relic: herramienta para medir el rendimiento de la app Runtastic, útil sobre todo para los desarrolladores.
  • Adjust: empresa de marketing móvil especializada en la atribución de campañas publicitarias (saber con qué anuncio instalaste Runtastic). Adjust recopila tus acciones en la app Runtastic.
  • Emarsys: empresa de marketing de datos que permite a Runtastic perfilarte de forma exhaustiva para después dirigirse a ti con mayor precisión. Así, Emarsys recibe el detalle de tus actividades: la distancia recorrida, la duración del ejercicio, el número de calorías quemadas, tus impresiones al terminar el ejercicio, la meteorología, el tipo de actividad, la temperatura exterior, etc.

Recopilación masiva de datos personales y filtración a terceros sin base jurídica válida

Cuando lancé Runtastic por primera vez, lamentablemente no tuve otra opción: me vi obligado a aceptar las condiciones de uso para utilizar la app.

Conditions utilisation

Luego pude negarme a recibir anuncios personalizados de Runtastic en plataformas de terceros como Google y Facebook (pero sin poder prohibir a estos terceros que recopilen mis datos personales):

Ciblage tiers

Fíjate en el botón "Aceptar", claramente destacado frente a "Rechazo": otro ejemplo de dark pattern.

La política de privacidad de Runtastic enumera en detalle los distintos datos personales recogidos. Puedes leer la sección 3, "Datos que recopilamos y procesamos", para entender mejor la variedad y el alcance de los datos personales recopilados (y así comprender mejor por qué Google compró Fitbit). Estas son las distintas categorías de datos personales:

  • Información de identidad.
  • Datos de contacto.
  • Información de ubicación.
  • Información sobre tallas de ropa y de calzado.
  • Información de compra.
  • Información de perfil y comportamiento.
  • Información de la comunidad.
  • Información de redes sociales.
  • Información del dispositivo.
  • Información de la actividad.
  • Información sobre las preferencias.
  • Información del Creators Club.
  • Registro a través de Google o Facebook.
  • Lista de amigos de Facebook.
  • Información sobre actividades de entrenamiento importadas desde cuentas conectadas.

Para cada categoría de destinatarios, Runtastic informa de las categorías de datos personales transferidos aquí.

A continuación, Runtastic explica en detalle su uso de Firebase, Google Analytics, Adjust y Facebook Analytics. Más abajo, en la política de privacidad, Runtastic ofrece información sucinta sobre los distintos proveedores que hemos visto antes:

Utilizamos subcontratistas como Adjust, Google, Facebook, Amazon Web Services, Inc., Emarsys eMarketing Systems AG, Pushwoosh, Inc., NewRelic, Inc., Apptimize, Inc. o Zendesk, Inc.

Aunque estas explicaciones son loables, Runtastic indica que se basa en el interés legítimo (lee la documentación de la CNIL sobre esta base legal) para filtrar tus datos personales hacia estos terceros: "La base para el tratamiento de los Datos son nuestros intereses legítimos". Sin embargo, esta interpretación del RGPD no es válida. En cuanto a las herramientas de analítica, cabe remitirse en particular a esta página de la CNIL:

Si el dispositivo implementado por el responsable del tratamiento no se ajusta estrictamente a los criterios de los dos casos anteriores, solo el consentimiento de las personas puede admitirse como base jurídica del tratamiento (artículo 7 de la Ley de Protección de Datos, artículo 6 del RGPD). Este consentimiento puede obtenerse por cualquier medio (por ejemplo, conexión a una red wifi específica, descarga de una app específica, registro a través de un sitio web dedicado, o acercando el terminal a un lector NFC). Este consentimiento debe ser informado (las personas deben ser informadas conforme al punto siguiente antes de dar su consentimiento), libre (las personas deben poder elegir libremente si dan su consentimiento o no, y no deben sufrir consecuencias negativas si no lo dan) y específico (el consentimiento solo debe referirse al tratamiento de seguimiento y no puede incluirse, por ejemplo, en la aceptación de las condiciones de uso).

Por lo tanto, Runtastic no puede basarse en el interés legítimo y debe obtener mi consentimiento para filtrar mis datos personales hacia terceros como Google, Facebook o Adjust. En particular, el hecho de haber aceptado las condiciones de uso no significa que haya consentido a este seguimiento.

Sin embargo, Runtastic persiste en basarse en la base jurídica del interés legítimo, como también se evidencia en la sección 8.1 de su política de privacidad, "Fundamentos jurídicos":

La licitud del procesamiento de Datos se basa en: [...] los intereses legítimos de Runtastic o de un tercero, por ejemplo, nuestro uso de cookies, complementos o publicidad dirigida.

Claramente, el uso de cookies, complementos o publicidad dirigida no puede basarse en un interés legítimo.

Sorprende ver cómo una conocida multinacional alemana (Adidas) recopila datos personales de millones de usuarios de forma tan masiva, sin una base jurídica válida. También sorprende comprobar que Adidas no se modera en el uso de herramientas de marketing que filtran tus datos personales, una vez más sin una base jurídica válida. ¿Qué puedes hacer para evitar las filtraciones hacia herramientas de terceros? Mientras esperas una posible sanción de una autoridad de control competente, puedes recurrir a apps como DNSCloak, Adguard o NextDNS en iOS.