La sensaciĆ³n de que el mĆ³vil āsabe demasiadoā sobre nosotros se ha convertido en un comentario habitual en conversaciones entre amigos y familiares. Muchos usuarios perciben que la publicidad que reciben es tan ajustada a sus gustos y hĆ”bitos que cuesta creer que todo proceda Ćŗnicamente de las cookies aceptadas en las webs y aplicaciones, lo que plantea dudas sobre la transparencia y confianza.
En este contexto, la AsociaciĆ³n de Usuarios de la ComunicaciĆ³n (AUC) ha dado un paso mĆ”s y ha llevado este malestar al plano judicial. La entidad acusa a Google de estar realizando una recopilaciĆ³n masiva y no consentida de datos personales de los usuarios de Android en EspaƱa a travĆ©s de sus propias aplicaciones y servicios preinstalados, hasta el punto de hablar, si se confirma, del mayor caso de espionaje digital conocido en el paĆs.
Una asociaciĆ³n de consumidores abre la batalla legal
La AUC, registrada como asociaciĆ³n de consumidores y usuarios ante el Ministerio de Sanidad, Consumo y Bienestar Social y presente en Ć³rganos consultivos como el Consejo de Consumidores y Usuarios (CCU) o la Agencia EspaƱola de ProtecciĆ³n de Datos (AEPD), iniciĆ³ su investigaciĆ³n a raĆz de la queja de un socio por la publicidad personalizada que recibĆa en su telĆ©fono Android.
Tras analizar el caso, la asociaciĆ³n encargĆ³ un informe pericial independiente y realizĆ³ su propio estudio interno. De acuerdo con sus conclusiones, el ecosistema Android estarĆa permitiendo a Google recabar un volumen muy elevado de datos sensibles: informaciĆ³n sobre ideologĆa, salud, religiĆ³n, orientaciĆ³n sexual, hĆ”bitos de consumo, actividad fĆsica o rutinas diarias, ademĆ”s de datos de uso de aplicaciones, llamadas, mensajes y localizaciĆ³n.
En base a esos hallazgos, la AUC ha puesto en marcha acciones judiciales preliminares contra Google Ireland Limited āresponsable de la prestaciĆ³n de servicios y del tratamiento de datos de los usuarios de la UniĆ³n Europeaā y Google Spain, encargada de la comercializaciĆ³n y despliegue de esos servicios en el mercado espaƱol.
El objetivo inmediato de la asociaciĆ³n es claro: obtener el listado de las personas potencialmente afectadas en EspaƱa, que calcula en torno a 37 millones de usuarios de Android, para poder informarles y preparar una demanda colectiva por una posible vulneraciĆ³n masiva de la normativa de protecciĆ³n de datos.
SegĆŗn fuentes jurĆdicas vinculadas al procedimiento, organizaciones de consumidores de Portugal y PaĆses Bajos ya han iniciado acciones parecidas contra Google por prĆ”cticas similares, lo que sitĆŗa el caso espaƱol en un marco europeo de creciente escrutinio sobre el uso de datos personales por parte de las grandes tecnolĆ³gicas.
El informe pericial que desencadena la demanda
La columna vertebral del caso es el informe elaborado por Doug Leith, catedrĆ”tico de Sistemas InformĆ”ticos en el Trinity College de DublĆn y referente internacional en materia de privacidad digital. El experto lleva aƱos analizando el comportamiento de Android y, segĆŗn la documentaciĆ³n aportada por la AUC, sus conclusiones avalan que desde al menos 2022 Google habrĆa accedido sin el debido consentimiento a una enorme cantidad de informaciĆ³n de los dispositivos.
El peritaje describe cĆ³mo el sistema recopilarĆa datos sobre el uso de aplicaciones (incluidas las de terceros), a quiĆ©n se llama y se envĆan mensajes, quĆ© actividad fĆsica se registra mediante los sensores del telĆ©fono, asĆ como datos de ubicaciĆ³n y conexiones inalĆ”mbricas capaces de revelar el domicilio, los lugares que se visitan con frecuencia, el trabajo, los centros mĆ©dicos a los que se acude o las rutinas cotidianas.
Una parte especialmente relevante del anĆ”lisis es la que se centra en el uso de identificadores persistentes, como el Android ID, determinadas cookies de seguimiento y cabeceras de autenticaciĆ³n vinculadas a cuentas de Google, incluido el acceso a Gmail y Drive. Estos elementos, combinados, permitirĆan reconstruir perfiles muy detallados de la actividad de cada usuario a lo largo del tiempo, asociando la informaciĆ³n a nombres, correos electrĆ³nicos o nĆŗmeros de telĆ©fono concretos.
El estudio destaca que en torno a un 26% de las conexiones del telĆ©fono con los servidores de Google incluyen el ID de Android, pero concentran aproximadamente el 99% de los datos enviados. Esta desproporciĆ³n, segĆŗn el informe, sugiere que prĆ”cticamente toda la informaciĆ³n relevante que se transmite puede vincularse directamente al dispositivo y a la cuenta personal del usuario.
AdemĆ”s, el perito sostiene que Google estarĆa almacenando en los terminales cookies e identificadores de seguimiento sin un consentimiento vĆ”lido, algo que la Directiva de Privacidad ElectrĆ³nica europea prohĆbe expresamente en el Ć”mbito de la navegaciĆ³n web y que, trasladado al entorno mĆ³vil, plantea dudas jurĆdicas similares.
ConfiguraciĆ³n inicial, opciones premarcadas y falta de control
Buena parte de las crĆticas del informe se concentran en el llamado proceso de āincorporaciĆ³nā, es decir, el momento en que el usuario enciende por primera vez su telĆ©fono Android āo tras un restablecimiento de fĆ”bricaā y comienza a configurar el dispositivo. Es ahĆ donde se activan los Google Mobile Services, el conjunto de aplicaciones y servicios propietarios de Google que acompaƱan a la mayorĆa de mĆ³viles con este sistema operativo.
Este paquete incluye herramientas tan habituales como Google Play Store, Maps, Gmail, Chrome, YouTube o Google Photos, que no forman parte del nĆŗcleo de Android de cĆ³digo abierto, pero que en la prĆ”ctica resultan casi imprescindibles para el uso cotidiano del telĆ©fono. SegĆŗn la pericial, Google Play estĆ” presente en casi todos los terminales Android, se actualiza automĆ”ticamente, no puede desinstalarse y su presencia para el usuario es prĆ”cticamente invisible.
De acuerdo con el informe, la mayorĆa de opciones de recopilaciĆ³n de datos aparecen activadas por defecto durante esta configuraciĆ³n inicial. Algunas prĆ”cticas ni siquiera se muestran al usuario de forma clara ni ofrecen un mecanismo sencillo para desactivarlas. Para deshabilitar las que sĆ tienen esa posibilidad, serĆa necesario entrar en la aplicaciĆ³n de Ajustes y navegar por varias pantallas y submenĆŗs, un recorrido que la mayorĆa de personas no recorre por completo.
Esta mecĆ”nica entra en colisiĆ³n con las exigencias del Reglamento General de ProtecciĆ³n de Datos (RGPD), que requiere un consentimiento libre, especĆfico e informado. La crĆtica principal es que el usuario medio acepta esas condiciones sin ser plenamente consciente de su alcance, mĆ”s por necesidad de poner en marcha el mĆ³vil que por una decisiĆ³n meditada sobre su privacidad.
El informe tambiĆ©n menciona el servicio Firebase Analytics, ofrecido por Google a desarrolladores de aplicaciones de terceros, que permite registrar quĆ© pantallas se visitan, quĆ© botones se pulsan o quĆ© productos se compran dentro de una app. SegĆŗn la AUC, este tipo de herramientas contribuyen a un rastreo sistemĆ”tico del comportamiento que va mĆ”s allĆ” de lo razonablemente necesario para prestar el servicio.
ProtecciĆ³n de datos, derechos fundamentales y posible espionaje digital
La AUC sostiene que la conducta descrita podrĆa suponer una vulneraciĆ³n grave del RGPD y de la normativa espaƱola de protecciĆ³n de datos, hasta el punto de incidir en el Ć”mbito de los derechos fundamentales recogidos en la ConstituciĆ³n y en la Carta de Derechos Fundamentales de la UniĆ³n Europea.
La asociaciĆ³n remarca que no se tratarĆa solo de informaciĆ³n tĆ©cnica o de funcionamiento del dispositivo, sino de datos especialmente protegidos, como creencias religiosas, opiniones polĆticas, estado de salud, orientaciĆ³n sexual o afiliaciĆ³n sindical. La combinaciĆ³n de geolocalizaciĆ³n precisa, uso de aplicaciones concretas y datos de comunicaciĆ³n permitirĆa perfilar con gran detalle la vida privada de una persona.
Ejemplos citados por la entidad incluyen, por ejemplo, la asistencia frecuente a centros mĆ©dicos especĆficos, la interacciĆ³n con aplicaciones religiosas o de contenido Ćntimo o la participaciĆ³n en eventos polĆticos detectables por la ubicaciĆ³n y el uso del dispositivo. Todo ello, cruzado con el historial de llamadas, mensajes y navegaciĆ³n, compondrĆa un mosaico muy preciso de los hĆ”bitos y relaciones del usuario.
Por eso, la asociaciĆ³n no duda en calificar el caso, si los tribunales confirman los hechos, como el āmayor caso de espionaje digitalā conocido en EspaƱa. A su juicio, estarĆamos ante una vigilancia silenciosa y generalizada, de enorme alcance, realizada por una empresa privada con finalidades principalmente comerciales.
Juristas que siguen el asunto subrayan que, si se acredita que la recopilaciĆ³n masiva de datos se ha realizado sin una base legal adecuada, las consecuencias podrĆan incluir sanciones econĆ³micas muy elevadas, obligaciones de modificar el diseƱo del sistema y posibles reclamaciones indemnizatorias individuales o colectivas.
Diligencias preliminares en Madrid y preparaciĆ³n de demandas colectivas
Para avanzar en esa direcciĆ³n, la AUC ha optado por utilizar la figura de las diligencias preliminares previstas en la Ley de Enjuiciamiento Civil. Ha presentado cuatro solicitudes ante los Juzgados de Primera Instancia de Madrid, una por cada grupo de usuarios afectados, con el fin de que se requiera a Google Ireland y Google Spain la informaciĆ³n necesaria para identificar a los usuarios impactados.
El artĆculo 15.2 de esa ley obliga a las asociaciones de consumidores que inician acciones judiciales en defensa de los intereses colectivos a comunicar la existencia del procedimiento a todos los potenciales afectados, dĆ”ndoles la oportunidad de sumarse o seguir el proceso por su cuenta. Para cumplir con esa obligaciĆ³n, la asociaciĆ³n necesita previamente saber a quĆ© personas se dirige.
Hasta la fecha, al menos dos juzgados madrileƱos han considerado que la AUC cumple los requisitos para solicitar estas diligencias y han remitido los requerimientos a Google. Sin embargo, la filial irlandesa ya ha manifestado su oposiciĆ³n a facilitar esos datos en uno de los procedimientos, lo que abre un primer frente de discusiĆ³n procesal ante los tribunales.
Una vez que, en su caso, se obtengan los datos de contacto de los usuarios de Android afectados en EspaƱa, la AUC tiene previsto presentar una demanda colectiva por cada grupo ante los mismos juzgados. Las estimaciones apuntan a que esta segunda fase podrĆa tardar alrededor de un aƱo en ponerse en marcha, en funciĆ³n de cĆ³mo evolucionen las diligencias preliminares.
Paralelamente, la asociaciĆ³n ha habilitado espacios informativos en sus canales para que cualquier usuario interesado pueda seguir la evoluciĆ³n del caso e incorporarse a las futuras acciones colectivas. La organizaciĆ³n insiste en que la defensa de la intimidad requiere tambiĆ©n una participaciĆ³n activa de la ciudadanĆa a la hora de exigir responsabilidades y exigir mayor transparencia.
Android domina el mercado espaƱol y amplifica el impacto
La dimensiĆ³n del caso se entiende mejor si se observa la cuota de mercado de Android en EspaƱa. SegĆŗn los Ćŗltimos datos disponibles, este sistema operativo estĆ” presente en aproximadamente tres de cada cuatro telĆ©fonos mĆ³viles del paĆs, lo que lo convierte en la plataforma dominante con holgura sobre sus competidores.
Eso implica que cualquier prĆ”ctica cuestionable en materia de privacidad en el entorno Android afecta potencialmente a la inmensa mayorĆa de los usuarios. La cifra de 37 millones de personas afectadas que maneja la AUC se sitĆŗa muy prĆ³xima al total de poblaciĆ³n con acceso a un dispositivo mĆ³vil en EspaƱa.
EspaƱa, ademĆ”s, tiene un historial relevante de conflictos jurĆdicos con Google. En 2014, el Tribunal de Justicia de la UniĆ³n Europea dictĆ³ la cĆ©lebre sentencia del caso Google Spain, que dio forma al conocido derecho al olvido y declarĆ³ que los motores de bĆŗsqueda son responsables del tratamiento de datos personales. AƱos mĆ”s tarde, en 2018, la ComisiĆ³n Europea impuso a la compaƱĆa una multa rĆ©cord por abuso de posiciĆ³n dominante con Android, por prĆ”cticas anticompetitivas relacionadas con la preinstalaciĆ³n de sus aplicaciones.
En aquella ocasiĆ³n el foco estaba en la competencia; en esta, el centro de atenciĆ³n es la privacidad de los usuarios y el respeto a la normativa europea sobre protecciĆ³n de datos. El precedente de sanciones importantes y el papel de EspaƱa en decisiones clave en materia tecnolĆ³gica hacen que este nuevo procedimiento sea seguido con especial interĆ©s.
A nivel europeo, el caso se suma a otras iniciativas de PaĆses Bajos, Portugal y distintas jurisdicciones comunitarias, lo que algunos expertos interpretan como un cambio de clima regulatorio: cada vez hay menos margen para prĆ”cticas opacas de recopilaciĆ³n de datos en grandes plataformas y mĆ”s presiĆ³n para introducir controles efectivos.
La posiciĆ³n de Google: acusaciones āincorrectasā y debate sobre la intrusiĆ³n
Ante las informaciones difundidas por la AUC y los medios, Google ha negado tajantemente las acusaciones. Un portavoz de la compaƱĆa ha seƱalado que las afirmaciones sobre el funcionamiento de Android son āincorrectasā y ha defendido que la empresa cumple las normas de privacidad y ofrece herramientas para que los usuarios gestionen sus preferencias.
La compaƱĆa sostiene que gran parte de los datos que se recopilan son necesarios para prestar servicios seguros y personalizados, y que el usuario puede revisar y ajustar su configuraciĆ³n de privacidad en cualquier momento. Desde su punto de vista, el modelo actual serĆa compatible con los requisitos del RGPD y el resto de la normativa europea.
Google tambiĆ©n ha cargado contra la estrategia procesal de la AUC, al considerar que la demanda āpretende errĆ³neamente proteger la privacidad de los usuarios mientras solicita los datos personales de millones de personas sin su consentimiento para preparar acciones colectivas especulativasā. A juicio de la empresa, acceder a esa peticiĆ³n supondrĆa una āintrusiĆ³n masivaā en la privacidad, por lo que ha pedido a los tribunales que desestimen esas solicitudes.
Este choque de argumentos evidencia el conflicto de fondo entre el derecho a la intimidad y los modelos de negocio basados en el dato. Para la AUC, la clave estĆ” en que la supuesta recopilaciĆ³n se habrĆa realizado sin las garantĆas de consentimiento exigidas; para Google, en cambio, el problema estarĆa en que la asociaciĆ³n reclama informaciĆ³n altamente sensible de millones de usuarios bajo la bandera de su protecciĆ³n.
Mientras los juzgados de Madrid analizan las diligencias preliminares, el caso reabre el debate pĆŗblico sobre hasta dĆ³nde pueden llegar las grandes plataformas en el aprovechamiento de la informaciĆ³n personal y quĆ© papel debe jugar la justicia para fijar esos lĆmites en el Ć”mbito digital.
En un paĆs donde Android es el sistema operativo predominante y donde ya se han dictado resoluciones judiciales clave en materia de datos y competencia, la ofensiva de la AUC contra Google sitĆŗa la privacidad de millones de usuarios de mĆ³viles en el centro del tablero. A la espera de que los tribunales se pronuncien sobre las diligencias y, en su caso, sobre las futuras demandas colectivas, lo que ya se ha puesto de manifiesto es una creciente preocupaciĆ³n social y jurĆdica por la opacidad en la recopilaciĆ³n de datos y la necesidad de que el usuario recupere un mayor control sobre la informaciĆ³n que genera cada vez que enciende su telĆ©fono.
