El 14% de las políticas de privacidad de las aplicaciones de Android contienen contradicciones sobre la recopilación de datos.


gp-policy.png

Una gran cantidad de aplicaciones móviles de Android que figuran en la tienda oficial de Google Engage in contienen lenguaje contradictorio en sus políticas de privacidad con respecto a las prácticas de recopilación de datos.

En un estudio académico publicado el año pasado, los investigadores crearon una herramienta llamada PolicyLint que analizaba el lenguaje utilizado en las políticas de privacidad de 11,430 aplicaciones de Perform Retail outlet.

Descubrieron que el 14.2% (1,618 aplicaciones) contenía una política de privacidad con declaraciones lógicas contradictorias sobre la recopilación de datos.

Los ejemplos incluyen políticas de privacidad que declararon en una sección que no recopilan datos personales, solo para contradecirse en secciones posteriores, donde afirman que recopilan correos electrónicos o nombres de clientes, que son claramente información personalmente identificable.

En algunos casos, las plantillas son las culpables

Si bien el equipo de investigación no pudo determinar la intención del fabricante de la aplicación al usar declaraciones contradictorias en su política de privacidad, los investigadores sienten que el propósito principal period engañar a los usuarios si alguna vez se tomaban el tiempo de leer las políticas.

Sin embargo, también descubrieron evidencia de lo contrario. Por ejemplo, el equipo de investigación encontró 59 aplicaciones que usaban servicios en línea para generar automáticamente una política de privacidad. Una mirada más profunda a los servicios en línea reveló que las declaraciones contradictorias eran parte de la plantilla en sí, y no la adición del fabricante de la aplicación.

«Creo que encontramos cuatro o cinco plantillas diferentes», dijo Benjamin Andow, de IBM Study, y uno de los autores del estudio.

Sin embargo, la gran mayoría de otras políticas de privacidad eran exclusivas de cada aplicación y no parecían ser el resultado de un accidente. En estos casos, el equipo de investigación dice que estos fabricantes de aplicaciones son susceptibles a multas de los vigilantes de privacidad de la UE y los EE. UU.

«Las autocontradicciones pueden conducir a la identificación de declaraciones engañosas, que son exigibles por la FTC y las DPA (autoridades de protección de datos) de la UE», dijo Andow, sugiriendo que su investigación podría usarse para localizar a los abusadores de GDPR.

Notificar a los vendedores

Además, como parte del proceso de verificación de la precisión de la herramienta PolicyLint, el equipo de investigación también tomó una muestra de 510 políticas de privacidad con declaraciones contradictorias y verificó manualmente su corrección.

Dado que este proceso implicó un análisis cuidadoso de toda la política de la aplicación, el equipo de investigación también notificó al fabricante de la aplicación sobre su política de privacidad inexacta.

De las 510 aplicaciones, el equipo de investigación encontró correos electrónicos de contacto para 260 desarrolladores, que notificaron por correo electrónico. De los 260, 244 recibieron el correo electrónico, ya que 16 de las direcciones de correo electrónico de contacto público terminaron siendo inválidas o inalcanzables.

De los 244 correos electrónicos que envían, los investigadores dijeron que solo recibieron 11 respuestas, después de lo cual, solo tres desarrolladores corrigieron sus políticas.

gp-notify.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/01/21/d89e8f6d-d8c1-43cb-934f-c00d7b229ee2/gp-notification.png

Hay más detalles disponibles en el documento técnico del equipo, titulado «PolicyLint: Investigando las contradicciones de la política de privacidad interna en Google Participate in», disponible para descargar en formato PDF desde aquí o aquí.

El equipo incluye investigadores y académicos de la Universidad Estatal de Carolina del Norte, la Universidad de Illinois en Urbana-Champaign e IBM Research.

A continuación se muestra un video de la presentación de Andow en una conferencia de seguridad en 2019.

(incrustar) https://www.youtube.com/watch?v=ORY2YSr1VNI (/ incrustar)

Los hallazgos del documento son algo consistentes con otro estudio de 2019 llamado «Sobre la ridiculez de la notificación y el consentimiento: contradicciones en las políticas de privacidad de la aplicación«.

Este estudio separado analizó una muestra más grande de aplicaciones de Play Retailer en busca de inconsistencias entre las prácticas de recopilación de datos y lo que se reveló explícitamente en las políticas de privacidad.

El equipo de investigación descubrió que el 10.5% de las 68,051 aplicaciones que analizaron compartían datos personales con servicios de terceros, sin embargo, no lo declararon en sus políticas de privacidad. Además, solo el 22.2% de las 68,051 aplicaciones nombraron explícitamente socios o afiliados de terceros en sus políticas de privacidad, con la gran mayoría de las aplicaciones ocultas donde los datos recopilados de los usuarios terminan.



Enlace a la noticia unique