La Fnac liquida tus datos personales

En su sitio web o en su aplicación para iPhone, es imposible evitar la fuga de tus datos personales

Publicado por Pixel de Tracking el 6 de abril de 2020

Desde la propia página de inicio del sitio web, te rastrean

Si, como yo, quieres limitar tu dependencia de los GAFA, puede que ya hayas hecho algún pedido en la Fnac. En efecto, más allá de los problemas de evasión fiscal, abuso de posición dominante o explotación de los empleados, Amazon es también un actor clave del capitalismo de vigilancia, con, entre otros:

Los competidores de Amazon en el sector del comercio electrónico tienen, por tanto, vía libre para ofrecer una experiencia de cliente que respete la privacidad, lo que por desgracia no ocurre con la Fnac, como veremos. Empecemos nuestra investigación con la web de la Fnac:

  • Desactiva tu adblocker.
  • Elimina las cookies en Chrome (Configuración > Configuración avanzada > Borrar datos de navegación); así cierras la sesión de tu cuenta de Google.
  • Abre la consola de Chrome (⌘+Opción+J en Mac, Ctrl, Shift y J en PC), haz clic en la pestaña Aplicación y luego en Cookies, en el panel de la izquierda.
  • Luego ve a fnac.com.
  • No navegues por la Fnac; solo fíjate en las distintas cookies colocadas por terceras empresas (distintas de la Fnac).

cookies

Como puede verse, incluso antes de haber navegado y aceptado el seguimiento, te encuentras rastreado por varias empresas:

  • AppNexus: representada por el dominio adnxs, es una empresa estadounidense, uno de los líderes del sector de la adtech (muy por detrás de Google), que ofrece tanto soluciones de monetización publicitaria para editores como una plataforma de compra de espacios publicitarios para anunciantes. Adquirida por AT&T en 2018, con la mira puesta en el lucrativo mercado de la publicidad en vídeo, pero también en la fusión de los datos personales nominativos en poder del gigante estadounidense de las telecomunicaciones y los datos publicitarios de cientos de millones de internautas.
  • Criteo: el gigante francés de la adtech, líder mundial del retargeting. Si has consultado páginas de productos y luego te han bombardeado con anuncios de esos mismos productos por toda la web, durante varios días o incluso semanas, probablemente fuera Criteo. Esta empresa reveló literalmente al gran público el lado intrusivo de la publicidad personalizada.
  • Google: representado por el dominio doubleclick.net, su solución publicitaria dirigida a editores y anunciantes, dominante en el mercado de la adtech.
  • Eulerian: representado por el dominio ew3.io, solución francesa de atribución (permite a la Fnac entender qué campañas publicitarias generan ventas) y de gestión de datos (permite a la Fnac perfilarte para orientarte mejor).
  • Smart AdServer: otra empresa francesa, permite a la Fnac monetizar su inventario publicitario.
  • iAdvize: empresa francesa que ofrece asistencia conversacional a la compra.

Aquí la Fnac actúa de forma claramente ilegal, como muchos sitios web franceses (sobre este tema, lee: la obtención del consentimiento en internet: una mentira generalizada). Y la Fnac ni siquiera respeta su propio banner informativo, que indica que no coloca cookies de terceros hasta que hayas continuado navegando.

banner de información de seguimiento

Fíjate en el "consentimiento" ficticio que presenta este banner: continuar navegando equivale a aceptar el depósito de cookies, el cruce con tus datos de cliente, la difusión de contenidos y anuncios personalizados, la realización de estudios de marketing y la prevención del fraude. Este tipo de banner, todavía presente en muchos sitios web franceses, procede de una brecha introducida por la CNIL en 2013, que indicaba que "la continuación de la navegación equivale a aceptar el depósito de cookies en el terminal". Esta noción laxa del consentimiento ya no debería ser válida dentro de unos meses, con la llegada de nuevas recomendaciones de la CNIL sobre la obtención del consentimiento.

Sigue navegando y los rastreadores se multiplican

¿Qué ocurre si "sigues navegando"? Basta con desplazarte por la página de inicio de la Fnac y observar las nuevas peticiones enviadas a través de la consola de Chrome o del software Charles Proxy:

seguimiento al continuar la navegación en Fnac

Ahora te rastrean muchas nuevas empresas de marketing; cabe destacar:

  • Mediarithmics: empresa francesa que ofrece una plataforma de compra de espacios publicitarios y una solución de gestión de datos (perfilarte mejor para orientarte mejor).
  • Facebook: al igual que Google, las herramientas de vigilancia de Facebook son omnipresentes en la web y muy utilizadas por los anunciantes.
  • Temelio: representado por el dominio Leadplace, empresa francesa de marketing de datos, ofrece a los anunciantes cruzar tus datos personales online y offline. ¡Así que te rastrean por todas partes!
  • Weborama: otra empresa francesa de marketing de datos (siempre perfilarte mejor para orientarte mejor).
  • MediaMath: representado por el dominio mathtag, empresa estadounidense, una de las principales plataformas de compra de espacios publicitarios del mercado.
  • Bluekai: empresa de marketing de datos, esta vez estadounidense, comprada por el gigante Oracle en 2014. Fue una de las primeras empresas en lanzar al mercado una DMP (Data Management Platform), hace más de 10 años.
  • Bidswitch: empresa rusa que construye plataformas publicitarias programáticas para múltiples clientes y que hace de intermediaria entre las plataformas de compra de espacios publicitarios y las soluciones de monetización publicitaria.
  • Rubicon: plataforma estadounidense de monetización publicitaria.

Cabe señalar que aparecen otras empresas de marketing si sigues navegando por la Fnac. Todas estas empresas te rastrean, pues, en la web, sin tu consentimiento, enriqueciendo tu perfil con cada página vista, con cada producto añadido al carrito, con cada compra. Algunas llegan incluso a cruzar estos datos online con información recopilada sobre tu comportamiento offline, todo ello con el fin de orientarte cada vez mejor con publicidad personalizada.

Rechaza las cookies y seguimos rastreándote igualmente

Nadie hace clic en los banners de información sobre cookies y es que muy a menudo no funcionan. La Fnac no es una excepción; puedes comprobarlo haciendo clic en "Más información y configurar las cookies".

Fíjate en que aquí puedes "Autorizar todo" directamente, pero que el botón "Rechazar todo" no existe: hay que desmarcar los tipos de cookies uno a uno, lo que claramente no respeta el RGPD (debe ser tan fácil rechazar el consentimiento como darlo). Además, es imposible acceder a la lista de empresas que te rastrean (ninguna información sobre Google, Facebook, Criteo, Eulerian ni Weborama).

Ingenuamente, podrías pensar que desactivar las cookies publicitarias debería detener el seguimiento. ¡No del todo! Aunque la lista es más corta que si sigues navegando directamente, varias empresas publicitarias te siguen rastreando.

Así, Criteo, Google (doubleclick), AppNexus (adnxs), Smart AdServer y Eulerian siguen rastreándote... Volvamos entonces a este "Centro de preferencias" y desactivemos las "Cookies analíticas".

Fnac cookies analíticas

Resulta que este ajuste permite dejar de ser rastreado por Google, AppNexus, Smart AdServer y Eulerian (salvo Eulerian, que no son herramientas analíticas sino empresas de la adtech). Criteo aún resiste: si recargamos la página de inicio, vemos reaparecer el rastreador.

Fnac sin cookies analíticas

Un último intento con Criteo: rechacemos entonces todas las cookies, desmarcando las "Cookies funcionales".

Fnac desactiva las cookies funcionales

Mala suerte: Criteo es inmortal, la página de inicio de la Fnac sigue activando el rastreador de Criteo.

Fnac todas las cookies desactivadas

¿La privacidad en la Fnac? ¡Acceso denegado!

Con ganas de saber más sobre esta calamitosa gestión de mis datos personales, decido leer la política de privacidad, siempre desde el "Centro de preferencias".

Tu privacidad - Fnac

Mala suerte: al hacer clic en el enlace "Más información", aterrizo en una página de entorno de pruebas... ¡Acceso denegado!

Privacidad - Fnac - Inaccesible

Por suerte, todavía puedes consultar la "Política de protección de datos personales" de la Fnac, accesible a través del pie de página del sitio web... Aquí puedes hacerte una mejor idea de hasta qué punto la Fnac explota tus datos personales; por ejemplo, la Fnac forma parte de "la alianza Gravity", una gran lonja de intercambio de datos personales formada por 150 sitios y aplicaciones, ¡con 2000 segmentos de segmentación!

Pero también leerás algunas mentiras, como:

Para oponerte a la segmentación publicitaria en beneficio de socios anunciantes, debes rechazar las cookies publicitarias. Para más información y para gestionar tus cookies publicitarias, ve a la página «Cookies» del sitio.

Lo cual es falso en el caso de Criteo, Google, AppNexus, Smart AdServer y Eulerian, que siguen aprovechando tu navegación por la Fnac para orientarte más adelante. Otro pasaje discutible:

La base jurídica para el uso de los datos de navegación con fines de elaboración de perfiles publicitarios es el consentimiento (consentimiento a las cookies).

Yo nunca he consentido este seguimiento; el consentimiento debe ser libre e informado para ser válido según el RGPD.

Conéctate y malvende tus datos personales

Mientras no estés conectado, puedes decidir borrar tus cookies y así empezar de cero con las distintas empresas de la adtech. Al conectarte, corres el riesgo de que la Fnac filtre también datos permanentes. Quise comprobarlo y me conecté a mi cuenta Fnac desde Chrome y, por desgracia, esta intuición resultó ser cierta: nada más iniciar sesión, la Fnac filtra a Mediarithmics un hash de mi dirección de correo electrónico, así como mi número de cuenta Fnac.

hash del correo de Fnac a Mediarithmics

¿Quién es Mediarithmics? Esta empresa francesa de gestión de datos fue elegida por la alianza Gravity, la gran lonja de intercambio de datos personales mencionada en la "Política de protección de datos personales" de la Fnac. Así pues, la Fnac no se limita a filtrar tus datos personales a terceros, sino que lo hace con un identificador permanente vinculado a tu correo electrónico, y comparte esta información con otros 150 sitios, socios de la alianza... ¿Qué dice la Fnac a propósito de Gravity?

Fnac Darty también puede participar en programas de mutualización de datos con fines publicitarios, como la Alliance Gravity Data Media. [...] FNAC DARTY elabora estos segmentos o perfiles a partir de la información en poder de las enseñas del grupo (datos de navegación, datos de compra, datos declarativos) o de información recopilada en el marco de nuestras relaciones con socios (p. ej., miembro de la Alliance Gravity Data Media),..

El seguimiento continúa en la app de la Fnac para iOS

Si pensabas evitar la fuga de tus datos personales utilizando la aplicación de la Fnac, es trabajo en vano. De entrada, ten en cuenta que he limitado el seguimiento publicitario en mi iPhone.

iPhone seguimiento publicitario limitado

Luego, para realizar la prueba, utilicé la aplicación Charles Proxy y seguí estos pasos:

  • Cerrar las aplicaciones en mi iPhone.
  • Abrir Charles Proxy y activar el seguimiento.
  • Iniciar la aplicación de la Fnac.
  • Exportar los registros de Charles Proxy a mi ordenador.

Este es el resultado:

Fnac iPhone

¿A quién envía la Fnac mis datos personales? A las siguientes empresas de marketing de datos:

  • Google: difícil escapar de Google; la Fnac utiliza Crashlytics (herramienta de monitorización de fallos, comprada a Twitter) y Google Analytics, la omnipresente herramienta de analítica.
  • Accengage: herramienta francesa de notificaciones push, comprada en 2018 por la empresa de marketing móvil Airship. Al mirar el detalle de las peticiones a Accengage, me doy cuenta de que la Fnac filtra mi nombre y mi apellido en claro, junto con los datos de mi smartphone, todos los productos de la Fnac consultados y una variable que indica mi consentimiento para ser geolocalizado, "optin_geoloc": "Y" (yo nunca di mi consentimiento).
  • Adobe: conocías Photoshop, pero Adobe también es un gigante del marketing, y la Fnac utiliza su herramienta de analítica.
  • Criteo: me orientan en la web y también en la aplicación de la Fnac. Y Criteo sabe cómo encontrarme: se envía un hash de mi correo electrónico en cada petición.
  • Adjust: una solución de marketing móvil que ofrece prevención del fraude, analítica y atribución, pero también una solución para construir perfiles de usuario.
  • Glaze: una solución francesa para personalizar la experiencia del cliente.

Datos nominativos enviados

La Fnac envía, pues, a Accengage datos nominativos (nombre y apellido). Más allá de que nunca consentí semejante seguimiento y de que la Fnac no avisa de esta fuga de datos personales, ¿qué dice la política de protección de datos personales de Accengage?

finalidad SDK Accengage

No se menciona ningún dato nominativo. La Fnac probablemente decidió por su cuenta enviar a Accengage el nombre de sus clientes, lo que entraría en la casilla de "información pertinente". Además, Accengage afirma respetar las preferencias del usuario indicadas en los ajustes de iOS:

oposición al seguimiento SDK Accengage

Sin embargo, no es así: yo sí marqué la casilla "Seguimiento publicitario limitado" y Accengage sigue rastreándome de forma nominativa.

El caso Criteo

La Fnac también envía un hash de mi dirección de correo electrónico a Criteo. ¿Qué dice su "Política de protección de datos personales", en el apartado relativo a la comunicación de datos a terceros?

Para permitirnos vincular tus distintos terminales (ordenadores, teléfono móvil, etc.) y ofrecerte una experiencia homogénea en los diferentes dispositivos que utilizas. Para saber más sobre el sistema de vinculación de los distintos dispositivos u oponerte a él, puedes visitar http://www.criteo.com/fr/privacy/

Vayamos, pues, a la política de privacidad de Criteo y leamos la sección relativa a la desactivación de los servicios de Criteo en las aplicaciones móviles. Allí también se indica:

Para iOS (versión 6 y posteriores), activa la opción «Seguimiento publicitario limitado»: para ello, en los ajustes de tu dispositivo, ve a «Privacidad» > «Publicidad» y activa la opción «Seguimiento publicitario limitado».

¿Qué debería cambiar la activación de la opción "Seguimiento publicitario limitado" según Criteo?

Criteo retirada del consentimiento en la app

Observo que el hash de mi dirección de correo electrónico se sigue recopilando: le permite a Criteo reconocer mi dispositivo y asociarme con los datos que Criteo ya tiene sobre mí. Quizá Criteo no almacene este hash, pero no puedo probarlo, y ¿para qué recopilarlo en primer lugar?

Cabe señalar que la Fnac no envía mi dirección de correo electrónico en claro a Criteo, pero que este acepta de sus clientes el envío de direcciones de correo en "texto plano", "para garantizar la mayor flexibilidad posible", según el sitio de soporte de Criteo, actualmente y de forma extraña fuera de línea, pero todavía accesible a través de la caché de Google. Criteo afirma a continuación "cifrar" los correos (por cierto, en francés no se dice «crypter» sino «chiffrer»). Tampoco aquí puedo probarlo, habría que fiarse de Criteo.

Criteo dirección de correo en claro

Resulta entonces especialmente revelador observar el doble discurso de Criteo: tranquilizador de cara a los usuarios y permisivo de cara a los anunciantes. Este es su compromiso con los usuarios:

Compromiso de Criteo

Si el identificador de mi smartphone es permanente, mi correo electrónico (o incluso un hash de mi correo) también lo es y, sin embargo, Criteo lo recopila, aunque desactive el seguimiento publicitario. La Fnac también sigue siendo culpable: ¿cómo justificar esta estrecha colaboración con un tercero tan poco respetuoso con la privacidad de sus clientes?

Imposible limitar el seguimiento en la app de la Fnac para iOS

Si limitar el seguimiento publicitario en el iPhone no basta, ¿cómo dejar de ser rastreado? Tendrías derecho a pensar que la Fnac ofrece una opción para rechazar el seguimiento en su aplicación (al fin y al cabo, aunque no funcione bien, la Fnac muestra un banner de consentimiento en su sitio web). Acabé encontrando la "Política de protección de datos personales" de la Fnac desde la app de iOS; es una auténtica carrera de obstáculos, tienes que:

  • Ir a "Mi cuenta".
  • Luego a "Mis datos de contacto".
  • Luego hacer clic en "Leer más", al final de la página.
  • Luego desplazarte hasta el final de la página y hacer clic en "aquí".

privacidad Fnac ios

Mala suerte una vez más: la Fnac no ofrece ninguna opción para negarse a que te fichen. En conclusión, a menos que instales bloqueadores de publicidad para aplicaciones (véase ¿Cómo proteger tu privacidad en un iPhone?), es imposible evitar la fuga de tus datos personales en la aplicación de la Fnac. Solo cabe esperar, pues, que en el futuro la CNIL tenga los medios y, sobre todo, la voluntad de hacer cumplir la ley y proteger así mejor tu privacidad.