Tu teléfono vende tu ubicación — esta es la industria que se beneficia de ello

Tu teléfono sabe dónde duermes, dónde trabajas, a qué médico visitas, a qué lugar de culto asistes, a qué mítines políticos asistes y a qué bares cierras los viernes por la noche. Esta información — derivada de la señal GPS que tu teléfono emite, las redes Wi-Fi a las que se conecta y los beacons Bluetooth con los que interactúa — es recopilada por las aplicaciones en tu dispositivo, agregada por intermediarios de datos, empaquetada en conjuntos de datos de movilidad y vendida a compradores que nunca conocerás, para propósitos que nunca te fueron revelados.

Esta no es una preocupación hipotética de privacidad. Es una industria activa de miles de millones de dólares que ha estado operando a escala comercial desde aproximadamente 2015 y que toca los datos de la mayoría de los usuarios de teléfonos inteligentes en Estados Unidos, Europa y muchas otras regiones. Entender cómo funciona, quién se beneficia y qué — si algo — se puede hacer al respecto requiere mirar más allá del lenguaje tranquilizador en los diálogos de permisos de las aplicaciones hacia la infraestructura que esos permisos alimentan.

Cómo se recopilan los datos de ubicación

El mecanismo de recopilación principal es el modelo SDK (Software Development Kit). Las empresas intermediarias de datos de ubicación proporcionan SDK gratuitos a los desarrolladores de aplicaciones — bibliotecas de código que manejan funciones como análisis, atribución de publicidad o datos meteorológicos. A cambio, el SDK recopila señales de ubicación de cada usuario de la aplicación y las envía de vuelta a los servidores del intermediario. El desarrollador de la aplicación obtiene herramientas de análisis gratuitas; el intermediario obtiene datos de ubicación de la base de usuarios de la aplicación.

La escala de implementación de SDK es asombrosa. SafeGraph, uno de los mayores intermediarios de datos de ubicación de EE.UU. antes de fusionarse con Placekey y cambiar de marca en 2022, estaba recopilando datos de SDK integrados en más de 45 millones de aplicaciones. Veraset, Foursquare, X-Mode (ahora Outlogic), Unacast y docenas de actores más pequeños operan redes SDK similares. La implementación superpuesta de múltiples redes SDK significa que la ubicación de un solo usuario de teléfono inteligente puede ser recopilada simultáneamente por cinco o más intermediarios de datos distintos a través de diferentes aplicaciones que ha instalado.

Los datos de ubicación recopilados suelen ser coordenadas GPS con marca de tiempo — latitud, longitud y marca de tiempo — capturadas en intervalos que van desde unos pocos segundos hasta unos pocos minutos cuando la aplicación está en uso o ejecutándose en segundo plano. A lo largo de meses y años, esto produce un historial de movimientos que es más revelador que la presencia en redes sociales de la mayoría de las personas: muestra no lo que alguien dice que hace, sino lo que realmente hace, de manera consistente, a lo largo del tiempo.

Para qué se venden los datos

Los usos de los datos de ubicación comercial son más variados de lo que la mayoría de la gente cree. El uso más conocido es la publicidad dirigida: saber que un usuario visita regularmente un tipo particular de establecimiento minorista permite a los anunciantes servir anuncios relevantes para la ubicación. Este es el caso de uso que las tiendas de aplicaciones enfatizan en las divulgaciones de permisos y que la mayoría de los usuarios entienden vagamente.

Menos visibles son las aplicaciones financieras de los datos de ubicación. Los hedge funds compran conjuntos de datos de movilidad para rastrear el tráfico peatonal en ubicaciones minoristas antes de los anuncios de resultados — si el tráfico peatonal en las tiendas de un competidor está disminuyendo, eso es una señal de negociación. Los REIT y los inversores en bienes raíces comerciales utilizan datos de movilidad para evaluar la viabilidad de propiedades potenciales. Las compañías de seguros han explorado el uso de datos de movilidad para la suscripción conductual (cómo conduce alguien, dónde estaciona, si su dirección de casa declarada coincide con su ubicación real de sueño).

El uso gubernamental es extenso y legalmente turbio. The Wall Street Journal, Vice/Motherboard y The New York Times han documentado todos cómo agencias gubernamentales de EE.UU. — incluyendo el Departamento de Defensa, IRS, ICE y CBP — han comprado datos de ubicación comercial para rastrear personas sin obtener órdenes judiciales. La teoría legal es que la compra de datos disponibles comercialmente no constituye un registro bajo la Cuarta Enmienda, porque los usuarios "voluntariamente" los compartieron con las aplicaciones. La decisión de la Corte Suprema en Carpenter v. United States en 2018 sostuvo que obtener datos históricos de ubicación de torres celulares sin una orden judicial es inconstitucional, pero el fallo no cubrió explícitamente los conjuntos de datos de ubicación comprados comercialmente, creando una zona gris legal que las agencias han explotado.

El problema del consentimiento

Los intermediarios de datos de ubicación argumentan que la recopilación es consensuada — los usuarios aceptan la recopilación de datos cuando aceptan los permisos de la aplicación. Este argumento no resiste el escrutinio por varias razones. Los diálogos de permisos de las aplicaciones no revelan que los datos de ubicación se venderán a terceros, quienes los agregarán con datos de otras aplicaciones, los retendrán indefinidamente y los venderán a compradores, incluyendo agencias gubernamentales. El diálogo de permisos dice "Permitir acceso a la ubicación" — no dice "Su ubicación se combinará con datos de ubicación de sus otras aplicaciones y se venderá a 200 empresas, incluidos hedge funds, compañías de seguros y fuerzas del orden federales."

El "consentimiento" también está estructuralmente coaccionado: muchas aplicaciones no funcionan sin el permiso de ubicación incluso cuando la ubicación no es necesaria para su función principal. Un juego que solicita acceso a la ubicación para "personalizar su experiencia" está explotando el deseo de los usuarios de usar el juego para extraer datos valiosos que no tienen nada que ver con el juego. La Comisión Federal de Comercio ha documentado numerosos casos de aplicaciones que solicitan permisos innecesarios específicamente para la monetización de datos.

Qué está cambiando

La presión regulatoria ha ido en aumento. La FTC ha presentado acciones de cumplimiento contra varios intermediarios de datos, incluido un acuerdo de 2024 con X-Mode/Outlogic que le prohibió vender datos de ubicación sensibles (datos que revelan visitas a instalaciones médicas, organizaciones religiosas o eventos políticos) sin consentimiento explícito. La FTC también llegó a un acuerdo con InMarket en 2024, prohibiéndole vender datos de ubicación derivados de identificadores de publicidad sin consentimiento.

La transparencia de seguimiento de aplicaciones de Apple (ATT), lanzada en iOS 14.5 en 2021, requirió que las aplicaciones pidieran permiso antes de rastrear a los usuarios a través de otras aplicaciones y sitios web. El impacto fue significativo: se estima que entre el 75 y el 80% de los usuarios de iOS rechazan el seguimiento cuando se les pregunta explícitamente. Esto redujo sustancialmente la señal disponible para los SDK centrados en publicidad, y varias empresas de datos de ubicación que dependían de datos de iOS reportaron impactos significativos en los ingresos.

El GDPR de la UE ha sido más agresivo en exigir consentimiento afirmativo para la recopilación de datos de ubicación. Varias grandes empresas de tecnología publicitaria han enfrentado multas sustanciales por GDPR por procesar datos de ubicación sin una base legal adecuada. Sin embargo, la aplicación ha sido desigual entre los estados miembros de la UE, y la infraestructura de consentimiento que muchas empresas han implementado (banners de consentimiento, Marco de Transparencia y Consentimiento del IAB) ha sido encontrada repetidamente inadecuada por las autoridades de protección de datos.

Qué puedes hacer realmente

La protección más efectiva es limitar los permisos de ubicación a nivel del sistema operativo. Tanto iOS como Android ahora permiten restringir la "ubicación precisa" a "ubicación aproximada" para aplicaciones que no necesitan precisión genuina, y ambos permiten limitar el acceso a la ubicación a "solo cuando se usa la aplicación" en lugar del acceso en segundo plano. Revisar y revocar los permisos de ubicación para aplicaciones que no los necesitan reduce materialmente la superficie de recopilación del SDK.

Restablecer periódicamente tu identificador de publicidad reduce la vinculabilidad de tus datos de ubicación a una identidad persistente. En iOS, esto está en Configuración > Privacidad > Seguimiento; en Android bajo Google > Anuncios. No evita la recopilación, pero rompe la continuidad a largo plazo del conjunto de datos asociado con tu dispositivo.

El problema estructural — que la recopilación de datos de ubicación está integrada en una infraestructura comercial en la que los desarrolladores de aplicaciones participan pasivamente a través de la adopción de SDK — no se puede resolver con configuraciones individuales de usuario. Los cambios que lo abordarían requieren requisitos regulatorios para la divulgación afirmativa de las ventas de datos, requisitos de orden judicial para el acceso gubernamental y sanciones significativas para los intermediarios que los violen. Estados Unidos está comenzando a moverse en esa dirección, pero la distancia entre la aplicación actual y la protección adecuada sigue siendo grande.