Las aplicaciones de móvil, las populares apps, también utilizan cookies para rastrear la actividad de los usuarios y no siempre les avisan de ello. Un estudio de la Federal Trade Commission estadounidense (FTC, el equivalente de la Comisión Nacional del Mercado y la Competencia) ha detectado que la mayoría de estos programas recopila información de los propietarios de móviles y las traspasa a terceras empresas, y no solo a los dueños de la aplicación o del sistema operativo, como Google (Android) o Apple (iOS, del iPhone) para su control interno. Entre los receptores externos están algunas grandes empresas de análisis de mercados como Comscore, Omniture, Fiksu, Criteo y Salesforce.

En el informe, cinco investigadores del MIT, Carnegie Mellon y Harvard analizaron con herramientas informáticas 110 apps de las más populares de EEUU --algunas de ellas también muy populares en España-- y detectaron que la mayoría recopilaban información que no necesitaban para su funcionamiento y que era altamente sensible, como el nombre del usuario, su correo electrónico y su localización, pero que además la compartían con otros. Esto se daba más en las apps de Android (73% frente al 16% de iPhone), mientras que las programadas para dispositivos de Apple solían recopilar más la localización del usuario (47% frente a 33%). El promedio es que los programas para Android envían información a 3,1 empresas y las de Apple, a 2,7.

GOOGLE Y APPLE El estudio, elaborado bajo la dirección de Latanya Sweeney, excomisionada de la FTC, no determina los usos de esa información, pero sí que Google es quien recibe más datos (36%) y que Apple, que siempre ha hecho bandera de que no piensa hacer negocio de los datos de los usuarios, recibe datos del 17% de las apps que se instalan en sus dispositivos. A Facebook y a Yahoo les llegan el 14%.

"Las apps de móvil tienen su tipo de cookies, como las webs, que van trazando la actividad directa del usuario para publicidad o análisis. Desde cuántas veces se usan y cómo, a suministrar información para retargeting (volver a mostrar como anuncio un servicio que interesó al usuario) o publicidad personalizada", dice Dionís Guzmán, delegado de la Mobile Marketing Association.

Los autores del informe sostienen que tan solo el 67% de las apps de iOS y el 75% de las aplicaciones de Android avisan de esta cesión de datos al usuario, y que de estas, solo el 62% lo explican de forma comprensible. Además, la mayoría ni siquiera encriptan la información que captan y reenvían, lo que convierte esos datos en potencial objetivo de un ataque.

OBLIGADAS A AVISAR "Las apps están obligadas a cumplir con la normativa de cookies y avisar al usuario. Las apps también tienen que prever en las políticas de privacidad que esos datos pueden cederse, dando la opción al usuario de que no lo preste para ese fin, ya que es secundario a la original", señala Paula Ortiz, directora de servicios jurídicos de IAB Spain, la patronal de la publicidad interactiva y coautora de la Guía de usos de las cookies.

La Agencia Española de Protección de Datos recuerda que "solo si las cookies son estrictamente necesarias para prestar el servicio, no tienen por qué avisar al usuario", en referencia a aquellas que mantienen la sesión en un pago, por ejemplo. Elsa Bahamonde, directora en España de Criteo, la principal empresa de retargeting y dueña de AD-X, sostiene que lo suyo "no son cookies sino que rastreamos por SDK (herramientas de desarrollo)o el ID (identificador)". "No trabajamos con datos personales, sino con datos anónimos y los cruzamos para saber qué hace el usuario en cada app", afirma.