Las bicis de Mobike mandan datos de españoles a China e inclumplen la Ley de Datos

Mobike, el servicio de bicicletas compartidas que opera en ciudades como Madrid Barcelona o Zaragoza, inclumple la LOPD (Ley Orgánica de Protección de Datos), normativa española basada en el RGPD (Reglamento General de Protección de Datos) europeo, una regulación aprobada en mayo del año pasado para garantizar el tratamiento de los datos de los ciudadanos de la UE por parte de las empresas.

La Política de Privacidad de la app con la que Mobike sirve el servicio a sus clientes manifiesta expresamente el envío de sus datos a China y Singapur.

Los datos que recopilemos de usted se transferirán, y se procesarán y utilizarán en un destino fuera del Área Económica Europea ("EEE"), como China y Singapur, que pueden tener un nivel de protección de datos diferente al de Europa. El EEE. También será procesado por el personal que opera fuera del EEE que trabaja para nosotros. Esto incluye al personal involucrado, entre otras cosas, en el procesamiento de sus detalles de pago y la prestación de servicios de soporte, explica la Política de Privacidad de la compañía.

La aceptación de la Política de Privacidad se hace con el móvil. En el momento en el que el usuario introduce su número y pulsa sobre 'Siguiente', acepta las condiciones de tratamiento de datos. No es un proceso claro para el usuario, que acepta, por defecto, el envío de datos a China

Otro problema está en la información recogida por la aplicación. El RGPD obliga a que la información recabada de un usuario por cualquier servicio debe ser la estrictamente necesaria para la prestación de ese servicio.

Recopilamos datos sobre su dispositivo móvil, incluidos, por ejemplo, el modelo de hardware, el sistema operativo y la versión, los nombres y las versiones de software y archivos, el idioma preferido, el identificador único del dispositivo, los identificadores de publicidad, el número de serie, los datos de movimiento del dispositivo y Información de la red móvil (...) También podemos recopilar la ubicación precisa de su dispositivo cuando la aplicación se ejecuta en primer plano o en segundo plano (...) y el contenido de los SMS de gestión del servicio, declara el texto.

"Mobike tiene una política de tratamiento y recogida de datos que va más allá de la mera prestación del servicio, como puede ser el registro de itinerarios a través del GPS o el identificador del teléfono. El problema es además a dónde se mandan esos datos, que además pueden compartirse con terceros. China no cuenta con las debidas garantías de tratamiento de datos. Es un riesgo que los perfiles conseguidos de cada usuario acaben en ese país. Mobike inclumple la ley. Parece una empresa creada para rentabilizar los la información de los clientes más que para ofrecer un servicio de bicisharing", asegura Sergio Carrasco Mayans, abogado especializado en nuevas tecnologías de Faseconsulting.

Encontrar la Política de Privacidad de la compañía no es sencillo, algo a lo que también obliga el RGPD. La web no muestra el texto informativo y hay que dirigirse a un enlace de corte internacional para poder leer la misma, o entrar en la aplicación

Mobike puede saber el nivel adquisitivo de cada usuario mediante la recogida de información como los recorridos, el precio abonado en cada trayecto y otros detalles de cada transacción no detallados por la compañía.

Política de Privacidad escondida

Encontrar la Política de Privacidad de la compañía no es sencillo, algo a lo que también obliga el RGPD. La web no muestra el texto informativo y hay que dirigirse a un enlace de corte internacional para poder leer la misma, o entrar en la aplicación.

De igual forma, la aceptación de las mismas no tiene un formato ajustado a la regulación. "Si la aplicación va a enviar los datos de usuarios a otras empresas debería haber un consentimiento explícito en la aceptación de las condiciones. Para utilizar y recoger datos con el fin de prestar el servicio no es necesario algo así, pero para enviarlos a China o mandarlos a terceros es obligado dejárselo claro al usuario", manifiesta Leandro Núñez, abogado y socio de Audens.

Algo que no sucede en la aplicación de Mobike. La aceptación de la Política de Privacidad se circunscribe al registro, que se realiza con el teléfono móvil. En el momento en el que el usuario introduce su número de teléfono y pulsa sobre 'Siguiente', acepta por defecto las condiciones de tratamiento de datos.

"Una web ajustada a la RGDP sería, por ejemplo, la de Samsung, en la que se desgranan los diferentes servicios y el uso que se va a hacer con sus datos para que el usuario acepte o niegue dicho tratamiento", explica Núñez.

"Siempre que los datos de los usuarios se compartan con terceros o se utilicen para campañas publicitarias hay que pedir el consentimiento por separado, pero Mobike no lo hace. También deberían explicar qué datos se dan y qué datos no, algo que tampoco está claro. Además, hay un principio establecido en la LOPD que hace referencia a la proporcionalidad en el tratamiento de los datos. Mandarlos a China no es proporcional para el servicio que se da. Compartirlos con terceros, tampoco. Mobike podría estar incumpliendo por todo ello la normativa", explica Núñez.

Sergio Carrasco, por su parte, asegura que "todo parece responder a la creación de una gran base de datos de clientes que se envía a China y luego se vende a otras empresas para que le saquen rédito comercial o publicitario".

El caso de Ofo

Ofo, otra empresa china de bicisharing, se encuentra en concurso de acreedores, pero hasta el momento de darse esta situación también enviaba datos de usuarios a China, tal y como puede comprobarse en su Política de Privacidad. En cuanto a los datos que recopilaba, eran también similares a los de Mobike.

La Agencia Española de Protección de Datos (AEPD) tiene como política interna investigar casos como el de Mobike, empresa que por otra parte ya está siendo inspeccionada en Alemania por el regulador competente en lo referente al tratamiento de datos.