- La AUC impulsa acciones judiciales por la supuesta recopilación masiva de datos de hasta 37 millones de usuarios de Android en España.
- Un informe pericial del profesor Doug Leith describe acceso a información sensible y creación de perfiles detallados sin consentimiento válido.
- Los jueces de Madrid han admitido diligencias preliminares para identificar a los afectados y preparar posibles demandas colectivas.
- Google rechaza las acusaciones, habla de alegaciones incorrectas y alerta de una posible intrusión masiva en la privacidad.
La Asociación de Usuarios de la Comunicación (AUC) ha abierto un frente judicial inédito en España al acusar a Google de recopilar, sin un permiso válido, enormes cantidades de datos personales de usuarios de móviles Android en el país. Según los cálculos de la organización, el alcance potencial del caso roza los 37 millones de personas, lo que situaría esta disputa como una de las mayores controversias sobre privacidad digital vistas hasta ahora en territorio español.
La iniciativa de la AUC se apoya en un informe pericial independiente y busca que los tribunales aclaren hasta qué punto los móviles Android han servido como puerta de entrada para un seguimiento continuo de la vida cotidiana de sus propietarios. No se habla solo de estadísticas técnicas o de errores de configuración, sino de la posible creación de perfiles detallados a partir de datos considerados especialmente sensibles por la normativa europea.
Un informe técnico que destapa una posible vigilancia masiva
El núcleo de la acusación descansa en el trabajo del profesor Doug Leith, catedrático de Sistemas Informáticos en el Trinity College de Dublín y referente internacional en materia de privacidad y seguridad en dispositivos conectados. Este experto lleva años desentrañando cómo se comporta el ecosistema Android en segundo plano y qué tipo de información viaja hacia los servidores de Google sin que el usuario lo perciba de forma clara.
En su estudio más reciente, que respalda la actuación de la AUC, Leith analiza cómo Android y los servicios móviles de Google almacenan identificadores y cookies en los teléfonos, así como el volumen de datos que envían a la nube, incluso cuando el usuario no está utilizando de forma activa las aplicaciones de la compañía. Según sus conclusiones, desde al menos 2022 se habría producido una recopilación sistemática de información que va bastante más allá de lo estrictamente necesario para prestar el servicio.
El informe describe un escenario en el que Google tendría acceso a datos sobre qué apps se abren y con qué frecuencia, además de información relacionada con llamadas y mensajes (números implicados, horarios, duración de la comunicación) y con la ubicación precisa del dispositivo. Esta localización se registraría de forma recurrente a lo largo del día, lo que permitiría deducir con relativa facilidad el domicilio habitual, los trayectos diarios, las visitas a centros médicos o incluso los lugares de culto.
También se mencionan datos relativos a la actividad física (pasos, movimiento, uso de sensores del teléfono) y al uso de aplicaciones que, por su temática, revelan información íntima sobre la persona: apps religiosas, de salud mental o física, de control del embarazo, de citas o de contenido sexual. Todo ello encaja en las categorías de datos especialmente protegidos por el Reglamento General de Protección de Datos (RGPD), que exigen un nivel de cautela y transparencia mucho mayor.
La AUC sostiene que la combinación de estos elementos dibuja un posible escenario de espionaje digital a gran escala sobre usuarios españoles, con una capacidad de reconstruir rutinas y preferencias que va mucho más allá de la simple personalización de anuncios.
Identificadores persistentes y creación de perfiles detallados
Una cuestión clave señalada por el informe de Leith es el uso de identificadores persistentes para vincular todos esos datos dispersos a una misma persona. Entre ellos se menciona el Android ID, ciertas cookies específicas y los datos asociados a las cuentas de Google empleadas para servicios como Gmail, Play Store o YouTube. La combinación de varios identificadores enviados simultáneamente permitiría, según el análisis, reconstruir historiales muy completos de cada dispositivo y de su usuario.
El estudio apunta a que en alrededor del 26% de las conexiones que un terminal Android establece con servidores de Google se incluye el Android ID, pero esas conexiones concentrarían cerca del 99% del volumen de datos trasferidos. En la práctica, eso significa que casi toda la información relevante podría vincularse de manera directa a una identidad concreta, o al menos a un perfil estable en el tiempo.
Otro aspecto polémico es el supuesto almacenamiento de cookies de seguimiento en el propio teléfono sin un consentimiento expreso, algo que, en el entorno web, la Directiva de Privacidad Electrónica europea prohíbe de forma tajante salvo contadas excepciones técnicas. Aplicar prácticas similares en un sistema operativo móvil, donde el usuario tiene menos visibilidad de lo que ocurre, abre un debate sobre si se está respetando el espíritu de las normas europeas.
Según la AUC y los expertos que la asesoran, el entramado de identificadores y cookies permitiría a Google cruzar información procedente de múltiples fuentes: aplicaciones propias, apps de terceros con servicios de Google integrados, conexiones inalámbricas y otros datos del sistema. El resultado sería un perfilado muy fino de gustos, ideología, estado de salud, creencias religiosas o vida sexual, categorías todas ellas especialmente sensibles para el RGPD.
El momento crítico: la configuración inicial del móvil Android
La demanda pone el foco también en lo que sucede cuando un usuario enciende por primera vez un móvil Android. En ese momento arranca el asistente de voz de Google de los Google Mobile Services (GMS), el paquete que incluye herramientas tan habituales como Play Store, Maps, Gmail, Chrome, YouTube o Google Photos. Aunque Android como sistema tiene una base de código abierto, estos servicios adicionales son propietarios y llegan preinstalados en la mayoría de los dispositivos vendidos en España.
El informe sostiene que el proceso de alta y configuración no cumple los requisitos de un consentimiento libre, específico e informado que exige la legislación europea. Muchas opciones de recopilación de datos aparecerían activadas por defecto, el lenguaje utilizado resultaría poco claro para el usuario medio y ciertas prácticas de tratamiento de datos ni siquiera se mostrarían de forma visible en la pantalla.
Para desactivar una parte de esas funciones, el usuario debe ir después a los menús de Ajustes y recorrer varias pantallas poco intuitivas, algo que la mayoría de personas no suela hacer. La AUC subraya que, en la práctica, esta estructura de opciones desincentiva la revisión crítica de la configuración y convierte el supuesto consentimiento en un trámite meramente formal.
En paralelo, otro informe difundido por la asociación incide en que la cuenta de Google necesaria para usar Play Store está presente en casi todos los terminales Android, se actualiza de forma automática y no se puede eliminar completamente del sistema, lo que hace que su papel en la recopilación de datos sea “casi invisible” para el usuario. Desde la perspectiva de la AUC, “toda la recopilación de datos está activada de serie y buena parte de ella no puede ser detenida de forma realista por la persona que usa el teléfono”.
De una queja por anuncios personalizados a un caso potencialmente histórico
El origen de este conflicto no estuvo en un macroestudio ni en una campaña internacional, sino en la queja individual de un socio de la AUC preocupado por la forma en que se le mostraban anuncios personalizados en su móvil. Esa reclamación sirvió de chispa para que la asociación pusiera en marcha una investigación más amplia sobre el comportamiento de Android y los servicios de Google en España.
A medida que se analizaron los datos técnicos y se contrastaron con el marco jurídico europeo, la organización concluyó que no se trataba de un problema puntual, sino de un posible patrón sistémico. Con el respaldo del informe pericial de Doug Leith, la AUC dio el salto a la vía judicial y presentó cuatro solicitudes de diligencias preliminares ante los Juzgados de Primera Instancia de Madrid.
Estas diligencias no constituyen todavía una demanda colectiva en sentido estricto, sino un paso previo para obtener información que permita identificar a los usuarios afectados. La AUC pide que se ordene a Google facilitar los datos necesarios para contactar con quienes, según sus estimaciones, podrían sumar hasta 37 millones de personas en España, prácticamente la totalidad de la base de usuarios de Android en el país.
La asociación se apoya en el artículo 15.2 de la Ley de Enjuiciamiento Civil, que obliga a las organizaciones de consumidores a informar de manera efectiva a todos los afectados cuando se plantean acciones para defender sus derechos. De momento, al menos dos de esas solicitudes habrían sido admitidas a trámite por los tribunales madrileños, lo que despeja el camino para que el caso siga avanzando en la justicia ordinaria.
Si finalmente se logra identificar a los usuarios afectados y se constata la existencia de un patrón de tratamiento de datos contrario al RGPD, la AUC prevé presentar una serie de demandas colectivas contra Google Spain y Google Ireland. Este segundo actor es el responsable del tratamiento de datos de los usuarios europeos, mientras que la filial española tiene un papel fundamental en la comercialización de los servicios y en la relación con el mercado local.
Posturas enfrentadas: privacidad frente a modelo de negocio
La AUC no ha escatimado calificativos y considera que, de verificarse las acusaciones, estaríamos ante “el mayor caso de espionaje digital” ocurrido hasta ahora en España. Su secretario general, Bernardo Hernández, ha señalado que en este asunto “la tecnología y las ganas de ofrecer servicios han ido por delante de las cautelas necesarias para preservar la intimidad de las personas”. A su juicio, Google podría brindar funcionalidades similares “sin recopilar toda una serie de datos claramente excesivos”.
Desde el lado de la compañía, la respuesta ha sido contundente. Portavoces de Google han asegurado que las alegaciones sobre el funcionamiento de Android son incorrectas y han pedido que los tribunales desestimen las pretensiones de la AUC. La empresa defiende que la recopilación de información es necesaria para mejorar la seguridad y la experiencia de uso, y subraya que los usuarios cuentan con herramientas de configuración de la privacidad.
Google también ha criticado el enfoque elegido por la asociación de consumidores. A su entender, la solicitud de datos para identificar a millones de usuarios con vistas a futuras demandas colectivas equivaldría en sí misma a una “intrusión masiva” en la privacidad, justo aquello que la AUC dice querer evitar. En palabras de uno de sus portavoces, la iniciativa “pretende erróneamente proteger la intimidad de los usuarios mientras exige información personal para preparar acciones colectivas de carácter especulativo”.
Este choque de narrativas condensa un debate recurrente en la economía digital europea: el equilibrio entre un modelo de negocio basado en los datos y el derecho de los ciudadanos a mantener el control de su información personal. Mientras la justicia analiza el caso, el asunto vuelve a plantear preguntas sobre la transparencia de las grandes plataformas tecnológicas y la comprensión real que la mayoría de usuarios tiene sobre lo que ocurre en la trastienda de sus dispositivos.
Un frente europeo y el peso del precedente español con Google
El procedimiento iniciado en España no surge en el vacío ni es un fenómeno aislado. La propia AUC recuerda que organizaciones de consumidores en Países Bajos y Portugal ya han puesto en marcha acciones similares frente a Google por prácticas de recopilación de datos que consideran comparables. Este movimiento coordinado indica que el debate sobre la opacidad en el tratamiento de información en el ecosistema Android está ganando fuerza en varios países europeos.
España, además, no es ajena a los choques legales con la compañía estadounidense. En 2014, el Tribunal de Justicia de la Unión Europea, a raíz del conocido caso Google Spain, consolidó el llamado “derecho al olvido”, estableciendo que los motores de búsqueda tienen responsabilidades claras como responsables del tratamiento de datos personales. Aquella sentencia marcó un antes y un después en la forma en que las grandes tecnológicas abordan las solicitudes de eliminación de resultados.
Años más tarde, en 2018, la Comisión Europea impuso a Google una multa récord de 4.340 millones de euros por abusar de su posición dominante con Android, entre otras cosas por exigir la preinstalación de sus propias aplicaciones y limitar la capacidad de los fabricantes para ofrecer alternativas. Ese expediente se centraba en la competencia y el mercado, pero demostró hasta qué punto la Unión Europea está dispuesta a intervenir cuando considera que se vulneran sus reglas.
Ahora, la atención se desplaza a la privacidad y la protección de datos. El RGPD marca que el consentimiento debe ser libre, específico, informado e inequívoco, y que los datos que revelan ideología, salud, religión o aspectos de la vida sexual se encuentran bajo una protección reforzada. Si los tribunales españoles concluyen que la recopilación realizada por Google no encaja en este marco, la compañía podría enfrentarse tanto a sanciones económicas significativas como a la obligación de revisar en profundidad sus prácticas en toda la Unión.
El caso español, unido a los procedimientos en otros Estados miembros, podría contribuir a perfilar un estándar europeo más estricto sobre el tipo de datos que los sistemas operativos móviles pueden tratar por defecto, el nivel de detalle de la información que se debe facilitar al usuario y las opciones reales para limitar o desactivar el seguimiento.
Android domina el mercado español y multiplica el impacto potencial
La dimensión del asunto se entiende mejor al mirar las cifras de implantación del sistema operativo. Con una cuota de mercado que ronda el 76,7% de los móviles en España, Android es la plataforma predominante entre los usuarios. Eso implica que cualquier práctica polémica en materia de privacidad no afecta a una minoría, sino a la mayor parte de la población con smartphone en el país.
En un contexto en el que el teléfono móvil se ha convertido en la herramienta central para comunicarse, pagar, trabajar o acceder a servicios públicos, el grado de visibilidad que tiene el usuario sobre el tratamiento de sus datos adquiere especial relevancia. La AUC insiste en que buena parte de la recopilación detectada no sería estrictamente necesaria para que el dispositivo o las aplicaciones funcionen correctamente, lo que refuerza sus dudas sobre la proporcionalidad de las prácticas de Google.
Mientras se tramitan las diligencias y se decide si se dará paso a demandas colectivas, la asociación ha habilitado en su página web un espacio informativo para que los ciudadanos puedan seguir la evolución del caso y, llegado el momento, valorar si desean sumarse a las futuras acciones judiciales. Desde la organización recuerdan que la defensa de la intimidad y de la protección de datos no se limita a lo que dicten los jueces, sino que requiere también una participación activa de los usuarios.
Por ahora, el litigio abre una puerta a que se clarifique, con el respaldo de los tribunales, hasta dónde pueden llegar empresas como Google a la hora de recoger y explotar información personal en Europa. Lo que se decida en este procedimiento, y en los que se desarrollan en otros países de la UE, servirá para marcar el terreno de juego en el que se moverán las grandes plataformas tecnológicas y para definir qué margen real tiene el usuario a la hora de controlar lo que su móvil cuenta de él a terceros.
