TikTok, Grindr y AppsFlyer, en el punto de mira por el rastreo de datos sensibles

Nucleo Visual » Nucleo Tecnológico » TikTok, Grindr y AppsFlyer, en el punto de mira por el rastreo de datos sensibles

Un nuevo frente se abre en el debate sobre la privacidad digital en Europa tras una serie de denuncias que ponen en el centro a TikTok, Grindr y la empresa de analítica móvil AppsFlyer. Un usuario europeo descubrió que su actividad en distintas aplicaciones, incluida la app de citas LGBTQ+ Grindr, habría sido rastreada y vinculada con su perfil en TikTok sin un consentimiento claro.

La situación ha encendido las alarmas entre organizaciones de derechos digitales y autoridades de protección de datos, ya que se trata de información especialmente sensible, vinculada a la orientación sexual y a los hábitos online del usuario. El caso se está canalizando a través de la vía regulatoria de la Unión Europea, donde el Reglamento General de Protección de Datos (RGPD) fija una protección reforzada para este tipo de datos.

La denuncia de noyb ante las autoridades de Austria

El grupo de defensa de la privacidad None of Your Business, conocido como noyb y con sede en Viena, ha presentado quejas formales ante la autoridad de protección de datos de Austria contra TikTok, Grindr y AppsFlyer. En su escrito, la organización sostiene que estas empresas han vulnerado la normativa europea al rastrear la actividad de usuarios en distintas apps sin una base jurídica adecuada ni un consentimiento informado.

Según explica noyb, el origen del caso está en una solicitud de acceso a datos realizada por un usuario, amparada en el RGPD. A través de esta petición, la persona afectada descubrió que TikTok había obtenido y registrado información sobre su uso de Grindr, LinkedIn y otras aplicaciones, así como detalles vinculados a un producto que habría añadido a un carrito de compra online.

noyb afirma que esta información solo fue revelada por TikTok tras varias consultas insistentes, algo que la organización considera incompatible con los requisitos de transparencia establecidos por el RGPD. En su comunicación señalan que informar meses después, y solo tras insistir repetidamente, no encaja con el estándar de claridad y rapidez que exige la normativa europea.

La organización ha pedido a los reguladores austriacos que abran una investigación formal, ordenen el fin de estas prácticas si se confirman y estudien la imposición de sanciones. Bajo el RGPD, las multas por vulneraciones graves pueden alcanzar hasta el 4% de la facturación global anual de una compañía, por lo que el impacto potencial para las empresas implicadas podría ser considerable.

Así habría rastreado TikTok la actividad de Grindr

El punto más delicado de la denuncia es la acusación de que TikTok rastreó la actividad de Grindr de al menos un usuario, no directamente, sino a través de la intermediación de AppsFlyer. Esta firma, especializada en analítica y marketing móvil, ofrece herramientas para seguir instalaciones de apps, medir campañas publicitarias y analizar el comportamiento de uso.

De acuerdo con noyb, AppsFlyer habría servido de puente para transferir a TikTok datos sobre el uso de Grindr y otras apps, enlazándolos con el perfil concreto del usuario. Este tipo de seguimiento entre aplicaciones permite construir un mapa muy detallado de los hábitos y preferencias de la persona, incluyendo información vinculada a su vida privada y a aspectos sensibles como su sexualidad.

La organización sostiene que ni Grindr ni AppsFlyer disponían de una base legal válida para compartir estos datos con TikTok. Bajo el RGPD, el tratamiento de datos sensibles exige condiciones muy estrictas, y el consentimiento debe ser explícito, informado y específico. noyb duda de que los usuarios fueran realmente conscientes de que su actividad en una app de citas podía terminar integrada en los sistemas publicitarios y de analítica de una red social de vídeo como TikTok.

Por su parte, TikTok habría indicado que los datos obtenidos se usaron para publicidad personalizada, análisis y seguridad. Son objetivos habituales en la industria publicitaria digital, pero cuando se trata de información que puede revelar la orientación sexual, el RGPD exige precauciones extra y limita de forma estricta estos usos salvo contadas excepciones.

Datos sensibles y riesgo para usuarios LGBTQ+ en Europa

Uno de los elementos clave del caso es que la información involucrada no es un simple dato técnico, sino que puede revelar la condición LGBTQ+ de la persona. El mero hecho de utilizar una app de citas como Grindr ya ofrece indicios sobre la orientación sexual, algo que el RGPD considera un dato especialmente protegido por el potencial riesgo de discriminación, acoso o daño social y laboral.

Defensores de los derechos LGBTQ+ y expertos en privacidad advierten desde hace años de los peligros asociados a la gestión deficiente de estos datos por parte de plataformas digitales. En contextos hostiles, o ante filtraciones y usos indebidos, la exposición de la orientación sexual de una persona puede tener consecuencias graves, que van mucho más allá de un anuncio mal segmentado.

En el caso que nos ocupa, noyb subraya que la combinación de información procedente de Grindr, LinkedIn y actividades de compra online permitiría crear un perfil muy detallado de la vida del usuario, conectando su identidad profesional, su vida privada y sus preferencias afectivas o sexuales. Esa mezcla de datos plantea un escenario especialmente sensible desde el punto de vista de la protección de datos europea.

Las alegaciones llegan en un momento en el que las autoridades de protección de datos de la UE intensifican su supervisión sobre las grandes plataformas y sobre el ecosistema de empresas de analítica y publicidad que operan en segundo plano. Para millones de personas LGBTQ+ que utilizan aplicaciones de citas y redes sociales en España y el resto de Europa, la confianza en la seguridad de estas herramientas se convierte en una cuestión central.

Contexto europeo: sanciones previas y creciente escrutinio

El caso de TikTok, Grindr y AppsFlyer no surge en el vacío. En los últimos años, varias autoridades europeas han adoptado una posición más firme frente a las grandes tecnológicas por cuestiones de privacidad. TikTok, propiedad de la compañía china ByteDance, ya fue multada en Irlanda con 530 millones de euros por problemas relacionados con las transferencias internacionales de datos y la protección de menores en la plataforma.

Grindr tampoco es ajena a la presión regulatoria. En Londres, la app de citas se enfrenta a una demanda colectiva presentada por usuarios que alegan que su estado serológico respecto al VIH habría sido compartido con terceros sin consentimiento entre 2018 y 2020. Este tipo de información sanitaria se considera, al igual que la orientación sexual, un dato especialmente sensible bajo la legislación europea.

El papel de AppsFlyer, aunque menos conocido para el gran público, resulta crucial dentro del engranaje publicitario digital. Empresas como esta operan como intermediarias en el intercambio de datos entre apps, anunciantes y plataformas, ofreciendo métricas sobre instalaciones, conversiones y comportamiento de usuarios. Para los reguladores, el desafío está en asegurar que estos flujos de información respeten los principios del RGPD y no se conviertan en una puerta trasera para esquivar las restricciones sobre datos sensibles.

En este contexto, la denuncia ante la autoridad austriaca se percibe como un caso de prueba que podría marcar el límite de lo admisible en el rastreo entre aplicaciones cuando están implicados datos LGBTQ+ o información sanitaria. Según cómo se resuelva, podría impulsar cambios en las prácticas de seguimiento y segmentación publicitaria en toda la región.

Lo que puede ocurrir ahora con TikTok, Grindr y AppsFlyer

Tras la presentación formal de las quejas, corresponde ahora a la autoridad de protección de datos de Austria analizar los hechos y decidir si abre una investigación en profundidad. Si se confirman vulneraciones del RGPD, las empresas podrían enfrentarse a sanciones económicas importantes, así como a la obligación de modificar sus sistemas de rastreo y sus acuerdos de intercambio de datos.

Para TikTok, el asunto se suma a una lista creciente de preocupaciones en Europa sobre cómo gestiona la información de sus usuarios, especialmente en lo referente a transferencias de datos fuera de la UE y al perfilado para fines comerciales. Grindr, por su parte, vuelve a estar bajo el foco por la forma en la que trata algunos de los datos más delicados que puede manejar una plataforma digital.

AppsFlyer, aunque más discreta mediáticamente, se ve arrastrada al debate público sobre la opacidad del ecosistema publicitario online. La cuestión de fondo es hasta qué punto los usuarios europeos conocen realmente qué empresas acceden a su información y con qué fines comerciales o analíticos se utiliza.

Los responsables de TikTok, Grindr y AppsFlyer, según relatan diversos medios, no han respondido de inmediato a las acusaciones ni han ofrecido una versión detallada de su postura ante las denuncias de noyb. No se descarta que, a medida que avance el proceso en Austria, las compañías difundan explicaciones o documentos adicionales para defender la legalidad de sus prácticas.

Mientras tanto, el caso ya está sirviendo para reabrir el debate sobre cuánta información personal compartimos al aceptar condiciones de uso y cómo se traduce eso en seguimiento entre plataformas, un ámbito en el que el RGPD intenta poner límites claros, pero donde la tecnología y los modelos de negocio avanzan muy rápido.

El episodio muestra hasta qué punto el rastreo digital se ha vuelto complejo y poco visible para el usuario medio, y pone el acento en la necesidad de que empresas y reguladores refuercen la transparencia y la protección de datos sensibles, especialmente cuando afectan a colectivos vulnerables como las personas LGBTQ+ en España y el resto de Europa.