TikTok, AppsFlyer y Grindr: la denuncia que expone seguimiento fuera de la app y posibles incumplimientos del RGPD

Qué ha ocurrido

Una investigación promovida por la organización europea Noyb (None of Your Business) ha puesto de manifiesto que TikTok estaría recibiendo información sobre la actividad de usuarios fuera de su propia aplicación, procedente de otras apps como plataformas de comercio electrónico y la aplicación de citas Grindr. El descubrimiento parte de la ejecución del derecho de acceso amparado en el artículo 15 del Reglamento General de Protección de Datos (RGPD): un usuario europeo solicitó sus datos y, tras una primera respuesta incompleta, obtuvo evidencias de un intercambio de información entre distintas empresas mediante intermediarios publicitarios.

Según la denuncia, AppsFlyer —una empresa israelí especializada en analítica y atribución publicitaria— habría actuado como intermediaria, recibiendo datos de otras aplicaciones y reenviándolos a TikTok. Los datos referidos incluyen acciones concretas (por ejemplo, añadir productos a un carrito) y la simple utilización de apps de citas. En el caso de Grindr, la información inferida podría revelar orientación sexual o aspectos de la vida íntima, categorías que el RGPD considera “datos especialmente protegidos” (artículo 9)

Por qué importa: marco legal y antecedentes

El caso plantea al menos tres cuestiones jurídicas centrales bajo el RGPD:

• No existiría una base legal válida conforme al artículo 6 para el compartimiento general de esos datos con terceros.
• El tratamiento de categorías especiales de datos (artículo 9), como la orientación sexual, está prohibido salvo en circunstancias muy tasadas o con consentimiento explícito.
• La obligación de transparencia y de facilitar una copia completa de los datos personales solicitados por el interesado (artículos 12 y 15) podría no haberse cumplido si la herramienta de descarga de TikTok ofrece solo un “resumen” parcial.

Este episodio conecta con precedentes relevantes en Europa: la acción de Max Schrems y las sentencias que llevaron a la caída de Safe Harbor, la sucesiva negociación de transferencias internacionales y la creación de organizaciones como Noyb para litigar incumplimientos masivos de privacidad. Bajo el artículo 83 del RGPD, las autoridades pueden imponer sanciones “efectivas, proporcionadas y disuasorias” —incluidos importes que en la práctica pueden alcanzar un porcentaje significativo de la facturación global—, por lo que las consecuencias regulatorias potenciales son relevantes.

Cómo funciona técnicamente (resumen para profesionales)

La dinámica descrita por Noyb encaja con modelos técnicos ya conocidos en la industria móvil y publicitaria:

• Muchas apps integran SDKs (kits de desarrollo) o APIs de terceros para medición, atribución y publicidad. Estas integraciones permiten a intermediarios recibir señales de eventos (instalaciones, clicks, compras, añadidos al carrito).
• Los Mobile Measurement Partners (MMP) como AppsFlyer agregan y normalizan esos eventos para clientes publicitarios y plataformas, y pueden enviar “postbacks” o reportes a otros actores que participan en campañas.
• La combinación de identificadores (ID de publicidad, huellas de dispositivo, direcciones IP, timestamps) permite correlacionar actividad entre aplicaciones aun cuando no exista una cuenta común explícita.

En la práctica, esa cadena técnica implica que información generada en apps de comercio o de citas pueda terminar en plataformas sociales, incluso si el usuario ya ha desinstalado una de las aplicaciones receptoras. Esto explica por qué, como subraya la investigación, “desinstalar TikTok no basta” si los flujos de datos continúan por otros intermediarios.

Implicaciones y riesgos

Los riesgos vinculados a estos flujos de datos son múltiples y van más allá del mero uso publicitario:

• Exposición de datos sensibles: la inferencia de orientación sexual o hábitos íntimos conlleva un riesgo de discriminación, estigmatización o daño reputacional.
• Perfiles integrales y toma de decisiones automatizada: la agregación de señales entre apps permite construir perfiles muy detallados que podrían emplearse para segmentación extrema o decisiones automatizadas.
• Falta de control por parte del usuario y problemas de transparencia: si los sujetos no reciben una copia completa de lo que se procesa ni conocen el destino de sus datos, se rompe el control efectivo que pretende garantizar el RGPD.
• Riesgos regulatorios y contractuales: controladores y procesadores que no evalúen correctamente bases legales, medidas de seguridad o cláusulas contractuales con terceros se exponen a reclamaciones, multas y obligaciones de cesar actividades.

“El caso demuestra cómo las grandes plataformas construyen un perfil integral de la vida digital de las personas, mucho más allá de lo que el usuario percibe”, según Kleanthi Sardeli, abogada de Noyb.

Recomendaciones prácticas

Para usuarios

• Ejercer derechos: solicitar acceso completo (art. 15), rectificación y supresión cuando proceda; conservar los correos y respuestas para agotar vías administrativas si la respuesta es insuficiente.
• Revisar permisos: limitar permisos de apps y optar por configuraciones que reduzcan recopilación de datos; desactivar seguimiento publicitario cuando sea posible.
• Evaluar el alcance de SDKs: preferir aplicaciones con políticas de privacidad claras y evitar instalar aplicaciones de orígenes dudosos.

Para desarrolladores y empresas

• Revisar contratos con MMPs y proveedores: asegurar que los encargados de tratamiento actúen conforme al RGPD, que exista una base legal y que se respete la minimización de datos.
• Realizar DPIA (Evaluación de Impacto sobre la Protección de Datos) cuando el procesamiento pueda implicar alto riesgo, especialmente si se manejan categorías especiales de datos.
• Garantizar transparencia: proporcionar al interesado un extracto completo y comprensible de los datos tratados, incluyendo transferencias a terceros y finalidades.
• Implementar privacidad por diseño: anonimización o pseudonimización, retención limitada y controles de acceso técnico que reduzcan la posibilidad de correlación indebida entre fuentes.

Para reguladores y responsables de cumplimiento

• Priorizar investigaciones sobre flujos entre plataformas y actores intermedios en el ecosistema publicitario.
• Exigir auditorías técnicas que muestren cómo se generan, transfieren y correlacionan eventos entre apps y servidores de terceros.

Casos comparables y contexto sectorial

El problema expuesto por Noyb no es aislado: la industria publicitaria digital se basa históricamente en cadenas de intermediarios (ad exchanges, DSPs, SSPs, MMPs) que intercambian señales para atribución y segmentación. Casos previos han llevado a sanciones y cambios de prácticas en ropa de privacidad, y la jurisprudencia europea sobre transferencias internacionales (Safe Harbor, Schrems) demostró la capacidad de la normativa para obligar a cambios en modelos de negocio que dependen de flujos transfronterizos.

Además, múltiples investigaciones y quejas ante autoridades de protección de datos han señalado en los últimos años la dificultad de que los usuarios comprendan y controlen la telaraña de terceros presentes en aplicaciones móviles.

Conclusión

La denuncia de Noyb que involucra a TikTok, AppsFlyer y Grindr vuelve a poner en foco la tensión entre modelos de negocio basados en atribución publicitaria y las obligaciones del RGPD: base legal adecuada, transparencia plena y especial protección para datos sensibles. Técnicamente, las prácticas descritas son factibles y están integradas en la cadena de valor digital, lo que exige atención tanto de reguladores como de responsables de producto y seguridad.

Para los usuarios, la recomendación inmediata es ejercer derechos y limitar permisos; para las empresas, revisar contratos y aplicar principios de privacidad por diseño. Y para las autoridades, el caso refuerza la necesidad de auditar flujos de datos entre plataformas e intermediarios con rigor técnico y sancionador cuando proceda.

Source: www.genbeta.com